Più di 100 mila siti osCommerce sotto attacco iFrame!
Nelle ultime ore risulterebbero più di 100 mila sita internet infettati da un iFrame maligno con lo scopo di installare un Malware sul PC dell’ignaro utente.
Il frame conterrebbe un richiamo al seguente indirizzo:
Esso porterà all’esecuzione del seguente Java Script:
Quest’ultimo script sfrutterebbe le seguenti vulnerabilità per installare il malware:
- CVE-2010-0840 — Java Trust
- CVE-2010-0188 –- PDF LibTiff
- CVE-2010-0886 -– Java SMB
- CVE-2006-0003 -– IE MDAC
- CVE-2010-1885 – HCP
Una volta portato a termine l’exploit lo script provvederà a scaricare il Malware reperibile in questo indirizzo:
Lo script iFrame è stato inserito esclusivamente in siti internet con piattaforma osCommerce probabilmente grazie ad una SQL Injcetion.
Infine vi riporto una completa analisi dell’attacco effettuata dai ricercatori Wayne Huang, Chris Hsiao e NightCola Lin:
DLL Hijack, video dimostrativo!
Grazie al nostro lettore Frank siamo in grado di dimostrarvi tramite un bellissimo video l’esecuzione dell’exploit DLL Hijack.
Il video si scompone principalmente in due parti, nel primo caso viene eseguito un semplice file .html associato al Browser Mozilla Firefox che al lancio richiama una DLL invisibile contenente un malware che infetterà il pc rendendolo un client e collegandosi al server RAT schwarze sonne, prendendo così pieno possesso del PC della vittima.
Importante notare in questa prima parte del video due dettagli:
- Viene usata l’ultima versione di Mozilla Firefox (3.6.8); ancora oggi dopo circa 20gg dal ritrovamento di tale falla non è stata rilasciata una versione del Browser che risolva la problematica.
- La DLL è stata resa invisibile, di default nessun sistema Windows rende visibili i file nascosti; questa caratteristica rende ancora più vulnerabile il pc della vittima.
Nella seconda parte del video viene sfruttata la medesima tecnica però cambiando il software di “lancio” della DLL sfruttando il lettore multimediale VLC.
