[NEWS] Asprox botnet

[Edgar Bangkok]

22 maggio 2008

Oltre alle decine di siti ancora compromessi con script di provenienza cinese, come scritto nel precedente post, abbiamo online ancora decine di siti .it con all'interno riferimenti al sito malware banner82(dot)com.
mentre piu' in generale , facendo una ricerca sul web appaiono ancora compromessi migliaia di siti in tutto il mondo con javascript che punta a banner82
Avevo gia' descritto banner82 in questo post al riguardo della tipologia fast flux utilizzata per mascherare l'IP di provenienza.
Queste alcune pagine di siti IT che al momento di scrivere il post presentavano ancora l'evidenza dell avvenuto attacco con la presenza al loro interno dello script che punta a banner82(dot)com
(img sul blog)
ed anche
(img sul blog)
ed ancora
(img sul blog)
Vediamo ora qualche dettaglio in piu' sulla botnet a cui fa capo banner8(dot)com anche attraverso alcune informazioni tratte da post pubblicati da Dancho Danchev.
Gia' da febbraio 2008 Danchev in un suo post aveva evidenziato la presenza di una botnet utilizzata per attivita' di phishing.
La creazione di tale botnet e' stata possibile attraverso lo sviluppo di un trojan (messo a punto lo scorso anno) denominato Asprox trojan, il cui scopo iniziale era quello di creare una botnet di spam
Inizialmente dedicata a inviare email di phishing, Asprox botnet si e' successivamente evoluta in strumento di diffusione di malware attraverso attacchi di sql injection contro numerosi siti web con l'inserimento di un iframe all'interno dei siti attaccati che puntava a direct84.com e successivo reindirizzamento su altre pagine con malware.
Con il piu' recente attacco di SQL injection lanciato dalla Asprox botnet abbiamo ora il tentativo di infettare nuovi host da aggiungere al botnet Banner82 per aumentare e consolidare la rete di computers zombies infetti.
I passaggi che provocano lo scaricamento del malware sul pc di chi visita un sito compromesso comprendono una prima esecuzione dello script b.js hostato su banner82(dot)com ( il cui IP varia in quanto facente parte della botnet fastflux Asprox )

Questo lo script presente su sito infetto
(img sul blog)
che carica ed esegue il successivo script b.js
(img sul blog)
di cui vediamo una breve descrizione riga per riga del codice sorgente
(tabella presente sul blog)
da cui si rileva che viene utilizzata una gestione dei cookies per filtrare l esecuzione del codice
Codice, che una volta eseguito, linka a due contenuti malware sotto forma di script offuscati.
Ed il cui whois punta a
(img sul blog)
Notate, nel secondo whois, il riferimento all'organizzazione che ha registrato il dominio e che punta a nota nazione europea che ospita numerosi server web da cui provengono minacce malware.
I due script presenti a loro volta tentano di caricare exploit che sfruttano diverse vulnerabilita del browser explorer o di software installati sul pc colpito.(di solito player video)

Edgar

fonte: http://edetools.blogspot.com/