Edgar Bangkok
04-08-2009, 05:09
martedì 4 agosto 2009
AVVISO IMPORTANTE!
Ricordo che anche se alcuni indirizzi IP e/o links sono lasciati in chiaro negli screenshot, si tratta di pagine che propongono eseguibili malware scarsamente riconsciuti e che vanno visitate utilizzando possibilmente noscript attivato, sandboxie, ecc.....
Era gia successo in passato (vedi questo post (http://edetools.blogspot.com/2009/04/recentissimo-inserimento-di-links-e.html)) che il sito principale di una nota Associazione Italiana fosse compromesso con l'inclusione di links a siti di pharmacy.
La cosa si e' ripetuta con maggiore gravita' ieri, visto che questa volta i links introdotti attraverso le pagine incluse nei siti, puntano, se richiamati dalla pagina di un motore di ricerca,
http://i241.photobucket.com/albums/ff186/EdgarBangkok/ricercaperITA.jpg
a falso player che distribuisce malware sotto forma di falso install flash.(in maniera random sono caricate anche pagine a fake motore di ricerca ecc....)
http://i241.photobucket.com/albums/ff186/EdgarBangkok/fakeplayer2009-08-04_081931.jpg
Da notare che non solo il sito principale della associazione e' stato preso di mira ma anche alcuni dei siti delle sedi regionali della stessa.
Ecco i dettagli
Questo il folder creato all'interno dei siti e che ospita decine di subfolder in data attuale
http://i241.photobucket.com/albums/ff186/EdgarBangkok/listafoldercondata.jpg
che al loro interno contengono pagine come questa
(screenshot sul bloog)
che a sua volta, tramite links e redirect puntano a
Il redirect viene eseguito puntando a differenti server che hostano pagine simili, cosa che possiamo notare dai diversi IP coinvolti nel download dell'eseguibile
(screenshot sul bloog)
di cui vediamo una analisi VT
http://i241.photobucket.com/albums/ff186/EdgarBangkok/vtfakeplayer.jpg
Notare che il malware viene identificato come Koobface da alcuni software Av, su VT
Alcune note da Wikipedia:
Koobface e' un virus informatico che colpisce gli utenti della rete sociale di Facebook. Koobface ultimamente dopo l'infezione, tenta di ottenere informazioni sensibili dalle vittime come numeri di carta di credito.
Koobface si diffonde inviando messaggi con richieste di amicizia agli utenti di Facebook e con un indirizzo a un sito al di fuori di Facebook dove viene richiesto un aggiornamento fasullo di Adobe Flash Player. Scaricando il file fasullo il pc viene infettato.
Sono state identificate due varianti del virus: Net-Worm.Win32.Koobface.a. (che attacca Myspace) e Net-Worm.Win32.Koobface.b, che attacca Facebook.
Ecco alcune altre caratteristiche particolari di questo attaco ai siti IT:
In primo luogo sono stati essenzialmente coinvolti siti .IT come vediamo dai links presenti nelle pagine incluse (sono 4 i siti IT colpiti e altri 3 su dominio .com)
(screenshot sul bloog)
(screenshot sul bloog)
(screenshot sul bloog)
(screenshot sul bloog)
Inoltre se si effettua il caricamento nel browser delle pagine attraverso i links presenti sui siti colpiti NON viene eseguito nessun redirect.(utilizzo di referer per attivare i links)
Solo utilizzando i risultati della ricerca in rete si ha l'attivazione dei links visto che lo scopo dell'attacco e' quello di creare links pericolosi solo per chi effettuasse delle ricerche in rete.
E' stata inviata una mail (nella speranza che venga letta ) all'indirizzo mail presente sul sito principale per informare dell'accaduto e perche' vengano prese le dovute azioni di bonifica dei siti colpiti.
Edgar :D
fonte: http://edetools.blogspot.com/2009/08/compromessi-alcuni-siti-di-nota.html
AVVISO IMPORTANTE!
Ricordo che anche se alcuni indirizzi IP e/o links sono lasciati in chiaro negli screenshot, si tratta di pagine che propongono eseguibili malware scarsamente riconsciuti e che vanno visitate utilizzando possibilmente noscript attivato, sandboxie, ecc.....
Era gia successo in passato (vedi questo post (http://edetools.blogspot.com/2009/04/recentissimo-inserimento-di-links-e.html)) che il sito principale di una nota Associazione Italiana fosse compromesso con l'inclusione di links a siti di pharmacy.
La cosa si e' ripetuta con maggiore gravita' ieri, visto che questa volta i links introdotti attraverso le pagine incluse nei siti, puntano, se richiamati dalla pagina di un motore di ricerca,
http://i241.photobucket.com/albums/ff186/EdgarBangkok/ricercaperITA.jpg
a falso player che distribuisce malware sotto forma di falso install flash.(in maniera random sono caricate anche pagine a fake motore di ricerca ecc....)
http://i241.photobucket.com/albums/ff186/EdgarBangkok/fakeplayer2009-08-04_081931.jpg
Da notare che non solo il sito principale della associazione e' stato preso di mira ma anche alcuni dei siti delle sedi regionali della stessa.
Ecco i dettagli
Questo il folder creato all'interno dei siti e che ospita decine di subfolder in data attuale
http://i241.photobucket.com/albums/ff186/EdgarBangkok/listafoldercondata.jpg
che al loro interno contengono pagine come questa
(screenshot sul bloog)
che a sua volta, tramite links e redirect puntano a
Il redirect viene eseguito puntando a differenti server che hostano pagine simili, cosa che possiamo notare dai diversi IP coinvolti nel download dell'eseguibile
(screenshot sul bloog)
di cui vediamo una analisi VT
http://i241.photobucket.com/albums/ff186/EdgarBangkok/vtfakeplayer.jpg
Notare che il malware viene identificato come Koobface da alcuni software Av, su VT
Alcune note da Wikipedia:
Koobface e' un virus informatico che colpisce gli utenti della rete sociale di Facebook. Koobface ultimamente dopo l'infezione, tenta di ottenere informazioni sensibili dalle vittime come numeri di carta di credito.
Koobface si diffonde inviando messaggi con richieste di amicizia agli utenti di Facebook e con un indirizzo a un sito al di fuori di Facebook dove viene richiesto un aggiornamento fasullo di Adobe Flash Player. Scaricando il file fasullo il pc viene infettato.
Sono state identificate due varianti del virus: Net-Worm.Win32.Koobface.a. (che attacca Myspace) e Net-Worm.Win32.Koobface.b, che attacca Facebook.
Ecco alcune altre caratteristiche particolari di questo attaco ai siti IT:
In primo luogo sono stati essenzialmente coinvolti siti .IT come vediamo dai links presenti nelle pagine incluse (sono 4 i siti IT colpiti e altri 3 su dominio .com)
(screenshot sul bloog)
(screenshot sul bloog)
(screenshot sul bloog)
(screenshot sul bloog)
Inoltre se si effettua il caricamento nel browser delle pagine attraverso i links presenti sui siti colpiti NON viene eseguito nessun redirect.(utilizzo di referer per attivare i links)
Solo utilizzando i risultati della ricerca in rete si ha l'attivazione dei links visto che lo scopo dell'attacco e' quello di creare links pericolosi solo per chi effettuasse delle ricerche in rete.
E' stata inviata una mail (nella speranza che venga letta ) all'indirizzo mail presente sul sito principale per informare dell'accaduto e perche' vengano prese le dovute azioni di bonifica dei siti colpiti.
Edgar :D
fonte: http://edetools.blogspot.com/2009/08/compromessi-alcuni-siti-di-nota.html