[NEWS] Asprox scripts – Casi limite

Edgar Bangkok · 15-06-2008, 06:52

15 giugno 2008

Vediamo alcuni siti colpiti attualmente da recenti script java malevoli collegati alla botnet Asprox
Si tratta di casi limite che dimostrano quanto sia esteso il problema degli script conseguenza degli attacchi a migliaia di pagine anche su domini .IT

C'e' da evidenziare due importanti punti che, a mio avviso, rendono questi casi abbastanza pericolosi:
Il primo e' che i domini asprox richiamati dagli script sono tuttora ben attivi e linkano a malware ad exploit attivi
Il secondo che questi due casi presi in esame trattano di siti web aggiornati, si presume anche recentemente e quindi e' quantomeno singolare. che chi li gestisce non sia a conoscenza del problema e chiaramente cerchi di risolverlo.

Questa una delle pagine colpite appartenente ad un Assessorato alla Cultura di nota provincia italiana.
(img sul blog)
Sono presenti appuntamenti per eventi da svolgersi nei prossimi mesi e quindi si presume che il sito sia aggiornato frequentemente.
E questo un parziale estratto del codice sorgente
(img sul blog)
ecco lo zoom
(img sul blog)
Come si vede gli script pericolosi sono in quantita' tale da mandare quasi in blocco l'editor di testo del browser che visualizza il codice sorgente.
In pratica il report del tool visualizza piu' di 30 pagine (ma probabilmente sono di piu' ) con un numero di scripts che varia dai 3000 ai quasi 6000 codici (per singola pagina)
(img sul blog)
Il secondo caso , per certi versi ancora piu' preoccupante in quanto sito di banca, presenta la singolarita' ad esempio di una pagina di login, per accedere a servizi o comunque dati riservati, che incorpora diversi scripts pericolosi e, come ricordo ancora, che linkano a domini Asprox tuttora attivi e pericolosi.
(img sul blog)
Questa la home del sito della banca con la presenza di scripts
(img sul blog)
ed anche
(img sul blog)
Un report sul sito eseguito tramite il tool riporta che praticamente tutto il sito presenta le pagine compromesse
(img sul blog)
Chiaramente al momento il problema e' limitato alla esecuzione degli script che potrebbero reindirizzare chi visita il sito ed anche la pagina di login su pagine con malware, e quindi senza problemi per la sicurezza dei dati di chi effettua il login, ma il tutto e' comunque segno di possibili vulnerabilita' contenute nel codice delle pagine esaminate.
(img sul blog)
Concludo con i numeri generati dal report per la totalita' dei siti linkati dal motore di ricerca e sui cui codici sorgente e' stato filtrato per evitare di conteggiare anche le pagine gia' bonificate
(img sul blog)
Come si vede sul totale di pagine linkate dal motore di ricerca e dai codici sorgente scaricati e filtrati solo per quelli che presentano gli scripts otteniamo la notevole cifra di circa 200.000 (duecentomila) codici java e questo solo considerando alcuni dei nomi di dominio Asprox e pagine .IT

Edgar

fonte: http://edetools.blogspot.com/

**Chill-Out** · 15-06-2008, 23:42

Compromessa la pagina degli eventi culturali del sito della provincia di Venezia

eventiculturali.provincia.venezia.it

15-06-2008, 06:52	#1
Edgar Bangkok Senior Member Iscritto dal: Sep 2007 Messaggi: 467	[NEWS] Asprox scripts – Casi limite 15 giugno 2008 Vediamo alcuni siti colpiti attualmente da recenti script java malevoli collegati alla botnet Asprox Si tratta di casi limite che dimostrano quanto sia esteso il problema degli script conseguenza degli attacchi a migliaia di pagine anche su domini .IT C'e' da evidenziare due importanti punti che, a mio avviso, rendono questi casi abbastanza pericolosi: Il primo e' che i domini asprox richiamati dagli script sono tuttora ben attivi e linkano a malware ad exploit attivi Il secondo che questi due casi presi in esame trattano di siti web aggiornati, si presume anche recentemente e quindi e' quantomeno singolare. che chi li gestisce non sia a conoscenza del problema e chiaramente cerchi di risolverlo. Questa una delle pagine colpite appartenente ad un Assessorato alla Cultura di nota provincia italiana. (img sul blog) Sono presenti appuntamenti per eventi da svolgersi nei prossimi mesi e quindi si presume che il sito sia aggiornato frequentemente. E questo un parziale estratto del codice sorgente (img sul blog) ecco lo zoom (img sul blog) Come si vede gli script pericolosi sono in quantita' tale da mandare quasi in blocco l'editor di testo del browser che visualizza il codice sorgente. In pratica il report del tool visualizza piu' di 30 pagine (ma probabilmente sono di piu' ) con un numero di scripts che varia dai 3000 ai quasi 6000 codici (per singola pagina) (img sul blog) Il secondo caso , per certi versi ancora piu' preoccupante in quanto sito di banca, presenta la singolarita' ad esempio di una pagina di login, per accedere a servizi o comunque dati riservati, che incorpora diversi scripts pericolosi e, come ricordo ancora, che linkano a domini Asprox tuttora attivi e pericolosi. (img sul blog) Questa la home del sito della banca con la presenza di scripts (img sul blog) ed anche (img sul blog) Un report sul sito eseguito tramite il tool riporta che praticamente tutto il sito presenta le pagine compromesse (img sul blog) Chiaramente al momento il problema e' limitato alla esecuzione degli script che potrebbero reindirizzare chi visita il sito ed anche la pagina di login su pagine con malware, e quindi senza problemi per la sicurezza dei dati di chi effettua il login, ma il tutto e' comunque segno di possibili vulnerabilita' contenute nel codice delle pagine esaminate. (img sul blog) Concludo con i numeri generati dal report per la totalita' dei siti linkati dal motore di ricerca e sui cui codici sorgente e' stato filtrato per evitare di conteggiare anche le pagine gia' bonificate (img sul blog) Come si vede sul totale di pagine linkate dal motore di ricerca e dai codici sorgente scaricati e filtrati solo per quelli che presentano gli scripts otteniamo la notevole cifra di circa 200.000 (duecentomila) codici java e questo solo considerando alcuni dei nomi di dominio Asprox e pagine .IT Edgar fonte: http://edetools.blogspot.com/

15-06-2008, 23:42	#2
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	Compromessa la pagina degli eventi culturali del sito della provincia di Venezia eventiculturali.provincia.venezia.it __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

Strumenti
Mostra una versione stampabile Invia questa pagina per email