Edgar Bangkok
13-11-2009, 05:06
venerd́ 13 novembre 2009
AVVISO ! Ricordo che anche se i links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!! Si tratta di pagine con di links anche a files eseguibili spesso poco riconosciuti dagli AV.
Ad essere colpito e' il sito di una nota e famosa associazione che si occupa della diffusione nel mondo e dell'insegnamento agli stranieri della lingua italiana.
In pratica, una ricerca in rete ,
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/hacking%20incluso%20as%20ita/search.jpg
porta a trovare decine di codici inclusi all'interno del sito che corrispondono a pagine come questa
(img sul blog)
e nel contenuto delle quali e' presente il link a questo script java offuscato che punta a
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/hacking%20incluso%20as%20ita/decodedjavaobfu.jpg
La conseguenza dell'esecuzione dello script e' ad esempio l'apertura di questo falso scanner Av
(img sul blog)
hostato su diversi IP con whois
(img sul blog)
(img sul blog)
con file eseguibile praticamente sconosciuto ad una analisi VT
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/hacking%20incluso%20as%20ita/vtscanner.jpg
Come sempre l'uso di codici che generano pagine incluse come quelle viste sopra ha lo scopo principale di fornire in maniera 'free' a chi gestisce questo genere di attacchi , spazio web per links a falsi Av, malware, pharmacy ....
Al momento per chi visitasse il sito compromesso non ci sono rischi in quanto si tratta di pagine nascoste ad un normale visitatore.
Vista anche la notorieta' ed importanza dell'associazione e' stata inviata un mail a chi gestisce il sito informando del problema riscontrato perche' possano essere prese le azioni di bonifica necessarie.
Edgar :D
fonte: http://edetools.blogspot.com/2009/11/ancora-inclusione-di-codici-con-links.html
AVVISO ! Ricordo che anche se i links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!! Si tratta di pagine con di links anche a files eseguibili spesso poco riconosciuti dagli AV.
Ad essere colpito e' il sito di una nota e famosa associazione che si occupa della diffusione nel mondo e dell'insegnamento agli stranieri della lingua italiana.
In pratica, una ricerca in rete ,
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/hacking%20incluso%20as%20ita/search.jpg
porta a trovare decine di codici inclusi all'interno del sito che corrispondono a pagine come questa
(img sul blog)
e nel contenuto delle quali e' presente il link a questo script java offuscato che punta a
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/hacking%20incluso%20as%20ita/decodedjavaobfu.jpg
La conseguenza dell'esecuzione dello script e' ad esempio l'apertura di questo falso scanner Av
(img sul blog)
hostato su diversi IP con whois
(img sul blog)
(img sul blog)
con file eseguibile praticamente sconosciuto ad una analisi VT
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/hacking%20incluso%20as%20ita/vtscanner.jpg
Come sempre l'uso di codici che generano pagine incluse come quelle viste sopra ha lo scopo principale di fornire in maniera 'free' a chi gestisce questo genere di attacchi , spazio web per links a falsi Av, malware, pharmacy ....
Al momento per chi visitasse il sito compromesso non ci sono rischi in quanto si tratta di pagine nascoste ad un normale visitatore.
Vista anche la notorieta' ed importanza dell'associazione e' stata inviata un mail a chi gestisce il sito informando del problema riscontrato perche' possano essere prese le azioni di bonifica necessarie.
Edgar :D
fonte: http://edetools.blogspot.com/2009/11/ancora-inclusione-di-codici-con-links.html