Edgar Bangkok
09-04-2009, 04:08
giovedì 9 aprile 2009
Ricordo ancora una volta che pur avendo lasciato in chiaro i vari links, sconsiglio di visitarli a meno che non si siano prese tutte le misure del caso (NOscript attivo, pc virtuale, sandbox ecc....) in quanto, almeno al momento di scrivere il post, si tratta di links ad exploits o comunque links a pagine che distribuiscono files malware tuttora attivi ed anche in alcuni casi scarsamente riconosciuti dai principali software Av, almeno per quanto si riferisce ad una scansione online VT.
Websense Security Labs ha scoperto che il sito ufficiale della Fiat Singapore e' stato compromesso
Vediamo qualche dettaglio andando a visitare il sito che attualmente presenta infatti l'iframe che linka a malware.
Questa la homepage del sito della nota casa automobilistica italiana che come vediamo gia' dall'avviso di NOSCRIPT
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/fiat%20singapore%20comprom/homepage2009-04-09_085445.jpg
presenta il seguente codice di iframe nascosto
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/fiat%20singapore%20comprom/sourceconiframe.jpg
che punta dopo un redirect
(log sul blog)
a questa pagina con whois
(whois sul blog)
Anche in questo caso il tentativo di accedere piu' volte alla pagina linkata porta alla non visualizzazione dei contenuti malware dopo la prima volta che la si visita (riconoscimento dell'IP di chi carica la pagina)
Questo il source della pagina
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/fiat%20singapore%20comprom/sourceredirect.jpg
che come vediamo contiene riferimenti a files sia pdf che swf in realta'
(report sul blog)
ed anche
(report sul blog)
Questa una analisi piu' dettagliata del file PDF
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/fiat%20singapore%20comprom/wepawetpdf.jpg
Tra gli altri files malware successivamente linkati abbiamo anche
(report sul blog)
Ecco un dettaglio di alcuni dei files presenti
(report sul blog)
Anche questa volta dovrebbe trattarsi di codice maligno che sfrutta il noto e diffuso Luckysploit kit.
Edgar :D
fonte: http://edetools.blogspot.com/2009/04/compromesso-sito-fiat-singapore.html
Ricordo ancora una volta che pur avendo lasciato in chiaro i vari links, sconsiglio di visitarli a meno che non si siano prese tutte le misure del caso (NOscript attivo, pc virtuale, sandbox ecc....) in quanto, almeno al momento di scrivere il post, si tratta di links ad exploits o comunque links a pagine che distribuiscono files malware tuttora attivi ed anche in alcuni casi scarsamente riconosciuti dai principali software Av, almeno per quanto si riferisce ad una scansione online VT.
Websense Security Labs ha scoperto che il sito ufficiale della Fiat Singapore e' stato compromesso
Vediamo qualche dettaglio andando a visitare il sito che attualmente presenta infatti l'iframe che linka a malware.
Questa la homepage del sito della nota casa automobilistica italiana che come vediamo gia' dall'avviso di NOSCRIPT
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/fiat%20singapore%20comprom/homepage2009-04-09_085445.jpg
presenta il seguente codice di iframe nascosto
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/fiat%20singapore%20comprom/sourceconiframe.jpg
che punta dopo un redirect
(log sul blog)
a questa pagina con whois
(whois sul blog)
Anche in questo caso il tentativo di accedere piu' volte alla pagina linkata porta alla non visualizzazione dei contenuti malware dopo la prima volta che la si visita (riconoscimento dell'IP di chi carica la pagina)
Questo il source della pagina
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/fiat%20singapore%20comprom/sourceredirect.jpg
che come vediamo contiene riferimenti a files sia pdf che swf in realta'
(report sul blog)
ed anche
(report sul blog)
Questa una analisi piu' dettagliata del file PDF
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/fiat%20singapore%20comprom/wepawetpdf.jpg
Tra gli altri files malware successivamente linkati abbiamo anche
(report sul blog)
Ecco un dettaglio di alcuni dei files presenti
(report sul blog)
Anche questa volta dovrebbe trattarsi di codice maligno che sfrutta il noto e diffuso Luckysploit kit.
Edgar :D
fonte: http://edetools.blogspot.com/2009/04/compromesso-sito-fiat-singapore.html