Category Archives: Joomla

Iniezioni di iframe malevoli su Joomla, approfondimento

Posted on by
1

In un post pubblicato all’inizio di questo mese abbiamo analizzato una tipologia di infezione molto frequente che colpisce CMS e piattaforme di blogging. Stiamo parlando delle iniezioni iframe. Le iniezioni iframe hanno come obiettivo portali e siti web vulnerabili e lo scopo dell’attacco è solitamente quello di infettare le pagine web del sito con link malevoli collegati a catena con domini dediti alla distribuzione di malware. Il risultato di queste infezioni è molto spesso quello di provocare l’esecuzione di malware sul pc desktop dell’ignaro visitatore. Il sintomo principale di un’infezione, iframe o di altro tipo è la segnalazione di “Sito web malevolo” da parte di Google.

mal Iniezioni di iframe malevoli su Joomla, approfondimento

Il vettore principale dell’infezione è molto spesso da ricercare nell’ambito di terminali desktop infetti che vengono utilizzati per collegarsi alle aree amministrative dei siti web ed in vulnerabilità presenti all’interno dei CMS che consentono l’esecuzione di codice malevolo proveniente da sorgenti remote.

L’ultima campagna di infezione ha visto la diffusione di iframe collegati ai domini indometastan.in, fors4523.cz.cc e forsw4.cz.cc. I siti web colpiti in Italia hanno fatto registrare numeri importanti.

Nel caso in cui il vostro sito web sia stato colpito da questa campagna iframe la semplice bonifica manuale dei file infetti potrebbe essere insufficiente, ecco perchè. Gli iframe malevoli iniettati sui siti web possono presentarsi completamente in chiaro, come in figura :

indometastan Iniezioni di iframe malevoli su Joomla, approfondimento

Con l’utilizzo di grep è possibile individuare ricorsivamente la presenza del pattern indometastan all’interno dei file che compongono il sito web per poi procedere con l’opera di pulitura. Accanto alla modalità “in chiaro” però l’iframe può essere iniettato con uno o più livelli di codifica. Negli anni passati i blackhat hanno utilizzato molto spesso la funzione base64 per nascondere la reale natura dei link malevoli all’interno delle pagine web infette ma con una frequenza sempre maggiore vengono utilizzati oggigiorno livelli multipli di offuscamento basati sulle funzioni str_rot13 e gzip_encode. Nella figura seguente possiamo vedere lo stesso iframe analizzato sopra ma camuffato attraverso le codifiche base64 ed str_rot13 :

str rot13 Iniezioni di iframe malevoli su Joomla, approfondimento

L’offuscamento consente di nascondere l’infezione ai più comuni antivirus per Unix e Linux e ad evadere i metodi di rilevamento più comuni.

Post simili:

Iniezioni di iframe maligni su Joomla

Posted on by
4

A causa di vulnerabilità presenti nei siti web basati su CMS dinamici un attaccante può alterare arbitrariamente alcune porzioni di codice del sito iniettando un blocco di codice maligno. Solitamente la scelta del codice da iniettare ricade sugli iframe di tipo inline inseriti con attributo display:none che li rende praticamente invisibili al normale visitatore.

Alcune installazioni di Joomla e soprattutto le versioni più datate sono vulnerabili alle iniezioni Sql e stiamo analizzando nel dettaglio un caso di infezione che ha provocato l’inserimento di alcuni iframe malevoli all’interno di numerosi file .html contenuti a loro volta nelle directory di determinati moduli di espansione per Joomla. Abbiamo già parlato delle iniezioni iframe in un precedente post (iniezioni iframe su Joomla e Cmsimple). Si tratta di minacce abbastanza pericolose, sia per la salute di un server sia per la sicurezza dell’utente desktop. I domini malevoli identificati all’interno di questo caso di infezione sono i seguenti :

  • indometastan.in
  • fors4523.cz.cc
  • forsw4.cz.cc

I file colpiti dall’iniezione vengono alterati con l’inserimento di un iframe che provoca l’apertura (involontaria e inconsapevole per l’utente) di una pagina web grazie alla quale l’attaccante costringe l’ignaro utente al download di malware autoinstallante.

indometastan Iniezioni di iframe maligni su Joomla

Le iniezioni iframe con a capo indometastan.in hanno fatto alcune vittime illustri come i siti web italiani seoguru.it e surftribe.it

Post simili:

Iniezioni iframe su Joomla e CMSimple

Posted on by
1

Un weekend dedicato alla lotta contro il malware per il nostro staff. Stiamo analizzando un caso di iniezione iframe che ha colpito numerose installazioni dei noti CMS Joomla e CMSimple. Nello specifico si tratta di un nuovo cliente che ha sperimentato numerosi problemi di infezioni malware su un server dedicato che contiene numerosi siti web. L’approdo su servermanaged.it ha convinto il cliente a scegliere la nostra assistenza per risolvere in modo definitivo le problematiche che stanno letteralmente mettendo in ginocchio il suo parco clienti. Che cosa sono le iniezioni iframe?  A causa di vulnerabilità presenti nei siti web basati su CMS dinamici un attaccante può alterare arbitrariamente alcune porzioni di codice del sito iniettando un blocco di codice maligno. Solitamente la scelta del codice da iniettare ricade sugli iframe di tipo inline inseriti con attributo display:none che li rende praticamente invisibili al normale visitatore. La riga di codice verrà però indicizzata dai motori di ricerca trascinando il sito web infetto nel girone dei “cattivi”. Una grande percentuale di iframe iniettati ha come scopo quello di distribuire malware infettando i pc dei malcapitati visitatori. Il caso analizzato presenta numerosi siti web infetti con alcuni iframe linkati a domini che sono noti per essere dei distributori di malware :

iframe1 Iniezioni iframe su Joomla e CMSimple

Sconsigliamo vivamente ai nostri lettori di visitare uno dei domini elencati sopra. Per scoprire quali effetti potrebbero avere sul vostro pc continuate con la lettura del post.

Come abbiamo accennato sopra la presenza dell’attributo display:none rende praticamente invisibili i link agli occhi di un normale visitatore. L’effetto principale delle iniezioni iframe maligne è quello di aprire automaticamente delle finestre all’interno del browser del malcapitato. L’esempio esaminato provoca l’apertura di una allerta che mette in guardia il visitatore circa la presenza di fantomatiche minacce presenti sul proprio pc invitando l’utente al download di un antivirus che nella totalità dei casi è un falso :

fakeav Iniezioni iframe su Joomla e CMSimple

I file distribuiti dai siti web maligni contengono payload distruttivi che possono attecchire sul sistema colpito allo scopo di renderlo spesso parte di una botnet.

Come è facilmente intuibile i cybercriminali attuano delle strategie di grande portata e non utilizzano canali facilmente tracciabili nè tantomeno procedure standardizzate. Le iniezioni iframe di massa come quella analizzata fanno spesso parte di un piano ben più vasto che mira ad infettare migliaia di siti web per poi attuare una massiccia distribuzione di payload nocivi presso gli utenti finali.

Le iniezioni iframe sono una delle piaghe più attuali. Si tratta di una minaccia che può essere comunque contrastata con una buona policy di update dei CMS presenti sul webserver. Le vulnerabilità dei CMS dinamici costituiscono la principale porta di ingresso per l’attaccante che può eseguire upload di file maligni e alterazione dei contenuti, tutto questo all’insaputa del webmaster.

Post correlati :

osCommerce colpito da iniezioni iframe

Post simili: