sabato 14 aprile 2012

Ancora presenza di codici Black-Hole Exploit su siti IT (14 Aprile)

Una ricerca su siti IT permette attualmente di rilevare ancora attacchi legati a Black-Hole Exploit e che, esaminando le date presenti, parrebbero risalire a non piu' di qualche giorno fa.

Ecco ad esempio come appare un codice incluso (in alto un dettaglio degli headers)

all'interno di sito di ambasciata in Italia di noto stato africano e di cui vediamo un particolare della homepage
Il codice incluso nel sito genera questa tipica pagina dal noto layout Black-Hole

mentre , osservando gli headers, possiamo valutare in data 12 Aprile il momento della probabile inclusione del codice sul sito compromesso.

La pagina presenta differenti links a ulteriori siti compromessi, tra cui uno e' su dominio IT e sempre sul medesimo range IP di quello dell'ambasciata africana.
Come sempre la presenza da 3 ai 4 link garantisce una certa affidabilita' nel puntare a pagina con exploits attivi.

A sua volta ognuna delle 4 pagine linkate presentano il consueto redirect ad exploits

C'e' anche da ricordare che un reverse IP sul range visto sopra porta a rilevare oltre al sito dell'ambasciata anche altri siti IT compromessi e tutti con inclusi alcun codici attribuibili a Black-Hole Exploit.
Questa una analisi Webscanner:


Edgar

Nessun commento: