[NEWS] Script offuscati malevoli su siti .IT

[Edgar Bangkok]

giovedì 2 aprile 2009

Si tratta di alcuni siti .IT che presentano, ad oggi, script offuscati inseriti nella homepage, che tentano di sfruttare vullnerabilita', che se non ancora corrette, sul pc che gli esegue portano all'attivazione di malware di vario genere.

Ricordo ancora una volta che pur avendo lasciato in chiaro gli indirizzi dei siti colpiti, per mettere sull'avviso chi volesse visitarli, consiglio di farlo solo con la massima attenzione, in quanto, almeno al momento di scrivere il post si tratta di links a pagine con exploits o comunque links a pagine che distribuiscono files malware tuttora attivi ed anche in alcuni casi scarsamente riconosciuti dai principali software Av, almeno per quanto si riferisce ad una scansione online VT.

Su MCAfee Site Advisor, troviamo questo sito italiano di azienda che si occupa di previsioni e servizi meteo che vediamo indicato come pericoloso da un utente Site Advisor, (dettaglio in questo screenshot)
(img sul blog)
In effetti al caricamento del sito
(img sul blog)
appare evidente
(img sul blog)
che esiste uno script che tenta di connettersi ad IP diverso da quello relativo al sito meteo ed abilitiando gli scripts ecco cosa succede
(img sul blog)
Esaminando il codice javascript offuscato presente nel source della pagina

e deoffuscandolo

otteniamo la conferma dell'IP utilizzato durante il caricamento della pagina

La pagina a cui punta l'IP contiene un nuovo script offuscato
(img sul blog)
e presenta whois a hoster dell'Est Europa
(img sul blog)
E da notare che se si ripete il caricamento della pagina, la seconda volta, come accade spesso , non viene eseguita alcuna operazione essendo volutamente caricato questo semplice script

Una analisi della pagina porta a rilevare la presenza di
(img sul blog)

mentre per quanto si riferisce all'eseguibile malware linkato
(img sul blog)
una analisi VT mostra
(img sul blog)

A questo punto una ricerca in rete permette di evidenziare ulteriori siti .IT che presentano lo stesso script visto sopra , inserito nel codice della homepage come ad esempio


ecco il source
(img sul blog)
ma anche
(img sul blog)
con il relativo source
Una ricerca su cache per analizzare sources dei medesimi siti, relativi a date precedenti ad oggi, dimostra la NON presenza del codice inserito, cosa che sembrerebbe dimostrare la recente compromissione degli stessi.
(img sul blog)
A questo punto eseguiamo anche alcune ricerche con webscanner sui medesimi IP dei server che hostano le pagine viste sopra e , come prevedibile, le sorprese non mancano, quando si esamina uno dei tanti range coinvolti.

Capita cosi ad esempio di trovare
(img sul blog)
il cui codice sorgente presenta javascript offuscato

che gia' una prima analisi con Wepawet dimostra essere di natura malevola
(img sul blog)
(forse in relazione con la campagna malware denominata Luckysploit)
(img sul blog)
Continuando con l'analisi dello script dopo una decodifica del codice offuscato

vediamo che si viene rediretti su questa pagina con whois
(img sul blog)
che ospita il seguente script che deoffuscato
(img sul blog)
risulta essere ancora una volta malevolo.
Ecco l'analisi, sempre eseguita con wepawet della pagina

e questo uno degli eseguibili caricati
(img sul blog)
Come si vede, continua sempre in maniera estesa, il tentativo di utilizzare codici offuscati, per attuare la diffusione di malware in maniera massiccia, ed anche su siti .IT.

Edgar

fonte: http://edetools.blogspot.com/2009/04...u-siti-it.html