[NEWS] Compromesso sito FIAT Singapore

Edgar Bangkok · 09-04-2009, 04:08

giovedì 9 aprile 2009

Ricordo ancora una volta che pur avendo lasciato in chiaro i vari links, sconsiglio di visitarli a meno che non si siano prese tutte le misure del caso (NOscript attivo, pc virtuale, sandbox ecc....) in quanto, almeno al momento di scrivere il post, si tratta di links ad exploits o comunque links a pagine che distribuiscono files malware tuttora attivi ed anche in alcuni casi scarsamente riconosciuti dai principali software Av, almeno per quanto si riferisce ad una scansione online VT.

Websense Security Labs ha scoperto che il sito ufficiale della Fiat Singapore e' stato compromesso

Vediamo qualche dettaglio andando a visitare il sito che attualmente presenta infatti l'iframe che linka a malware.

Questa la homepage del sito della nota casa automobilistica italiana che come vediamo gia' dall'avviso di NOSCRIPT

presenta il seguente codice di iframe nascosto

che punta dopo un redirect
(log sul blog)
a questa pagina con whois
(whois sul blog)
Anche in questo caso il tentativo di accedere piu' volte alla pagina linkata porta alla non visualizzazione dei contenuti malware dopo la prima volta che la si visita (riconoscimento dell'IP di chi carica la pagina)
Questo il source della pagina

che come vediamo contiene riferimenti a files sia pdf che swf in realta'
(report sul blog)
ed anche
(report sul blog)
Questa una analisi piu' dettagliata del file PDF

Tra gli altri files malware successivamente linkati abbiamo anche
(report sul blog)
Ecco un dettaglio di alcuni dei files presenti
(report sul blog)
Anche questa volta dovrebbe trattarsi di codice maligno che sfrutta il noto e diffuso Luckysploit kit.

Edgar

fonte: http://edetools.blogspot.com/2009/04...singapore.html

bozzato · 09-04-2009, 07:18

Non ci credo.....se ci clicca uno dell'azienda, può andaree in casino la FIAT...

se ne saranno già accorti dell'hackeramento?

Edgar Bangkok · 09-04-2009, 10:27

E' semplicemente un sito compromesso da inclusione di iframe nascosto come ce ne sono centinaia se non migliaia in rete, e, come e' gia' successo altre volte, questo capita a siti piu' o meno conosciuti.

Inoltre si tratta di un sito FIAT ma hostato su server USA, contrariamente a FIAT.com che e' su server appartenente alla Fiat, anche se pero' c'e da dire che dal sito principale FIAT.com si viene rediretti su questo cliccando sulla opzione 'Chose a Country' avendo scelto Singapore come nazione.
Quest'ultima cosa attribuisce una certa ufficialita' al sito.

Il problema non e' per l'azienda ma per chi cliccando sul sito potrebbe subire un tentativo di compromissione del pc attraverso i contenuti malware visti prima.

Gia', se ad esempio usando Firefox, si avesse l'addon NOScript installato e attivo si sarebbe protetti dall eventuale esecuzione dello script pericoloso.

Edgar

09-04-2009, 04:08	#1
Edgar Bangkok Senior Member Iscritto dal: Sep 2007 Messaggi: 467	[NEWS] Compromesso sito FIAT Singapore giovedì 9 aprile 2009 Ricordo ancora una volta che pur avendo lasciato in chiaro i vari links, sconsiglio di visitarli a meno che non si siano prese tutte le misure del caso (NOscript attivo, pc virtuale, sandbox ecc....) in quanto, almeno al momento di scrivere il post, si tratta di links ad exploits o comunque links a pagine che distribuiscono files malware tuttora attivi ed anche in alcuni casi scarsamente riconosciuti dai principali software Av, almeno per quanto si riferisce ad una scansione online VT. Websense Security Labs ha scoperto che il sito ufficiale della Fiat Singapore e' stato compromesso Vediamo qualche dettaglio andando a visitare il sito che attualmente presenta infatti l'iframe che linka a malware. Questa la homepage del sito della nota casa automobilistica italiana che come vediamo gia' dall'avviso di NOSCRIPT presenta il seguente codice di iframe nascosto che punta dopo un redirect (log sul blog) a questa pagina con whois (whois sul blog) Anche in questo caso il tentativo di accedere piu' volte alla pagina linkata porta alla non visualizzazione dei contenuti malware dopo la prima volta che la si visita (riconoscimento dell'IP di chi carica la pagina) Questo il source della pagina che come vediamo contiene riferimenti a files sia pdf che swf in realta' (report sul blog) ed anche (report sul blog) Questa una analisi piu' dettagliata del file PDF Tra gli altri files malware successivamente linkati abbiamo anche (report sul blog) Ecco un dettaglio di alcuni dei files presenti (report sul blog) Anche questa volta dovrebbe trattarsi di codice maligno che sfrutta il noto e diffuso Luckysploit kit. *Edgar* fonte: http://edetools.blogspot.com/2009/04...singapore.html __________________ http://edetools.blogspot.com/ Ultima modifica di Edgar Bangkok : 09-04-2009 alle 04:19.

09-04-2009, 10:27	#3
Edgar Bangkok Senior Member Iscritto dal: Sep 2007 Messaggi: 467	E' semplicemente un sito compromesso da inclusione di iframe nascosto come ce ne sono centinaia se non migliaia in rete, e, come e' gia' successo altre volte, questo capita a siti piu' o meno conosciuti. Inoltre si tratta di un sito FIAT ma hostato su server USA, contrariamente a FIAT.com che e' su server appartenente alla Fiat, anche se pero' c'e da dire che dal sito principale FIAT.com si viene rediretti su questo cliccando sulla opzione 'Chose a Country' avendo scelto Singapore come nazione. Quest'ultima cosa attribuisce una certa ufficialita' al sito. Il problema non e' per l'azienda ma per chi cliccando sul sito potrebbe subire un tentativo di compromissione del pc attraverso i contenuti malware visti prima. Gia', se ad esempio usando Firefox, si avesse l'addon NOScript installato e attivo si sarebbe protetti dall eventuale esecuzione dello script pericoloso. Edgar __________________ http://edetools.blogspot.com/

09-04-2009, 07:18	#2
bozzato Senior Member Iscritto dal: Feb 2009 Messaggi: 481	Non ci credo.....se ci clicca uno dell'azienda, può andaree in casino la FIAT... se ne saranno già accorti dell'hackeramento?

Strumenti
Mostra una versione stampabile Invia questa pagina per email