Gianni Amato » javascript

Datemi un punto d’appoggio…

admin — Sun, 23 Oct 2011 16:48:43 +0000

Recitava così uno dei più celebri aneddoti di Archimede: “datemi un punto d’appoggio e vi solleverò la terra”.

Per far proliferare un malware è necessario individuare un punto d’appoggio. Più sono i punti d’appoggio più semplice e rapida sarà l’operazione.

Tutto parte dalla ricerca di una vulnerabilità su un sito (preferibilmente legittimo) per inserire contenuti maligni come il seguente codice javascript opportunamente offuscato.

Il codice deoffuscato ci mostra la funzione iframer, un iframe che viene caricato quando l’utente visita la pagina, che a sua volta inserisce altro codice prelevandolo da due fonti differenti (qualora uno dei due server a cui fa riferimento fosse stato individuato e sospeso può sempre appoggiarsi sul secondo) per il downaload di un eseguibile (malware).

Sono tanti i siti compromessi da questo codice, per lo più nei paesi dell’EST. Ma come mostrano i risultati di Google qualche traccia risiede anche in Italia.

Curiosa inclusione di JS

guelfoweb — Tue, 20 Apr 2010 19:12:55 +0000

Esaminando un particolare js e cercando informazioni su Google ho notato che diversi siti, molti dei quali basati su cms aggiornati all’ultima versione, sono stati recentemente violati e compromessi con questo codice javascript offuscato.

L’inclusione di un iframe di dimensioni 1,1 che punta a un dominio poco affidabile per far veicolare software dannoso non è una novità. Ad incuriosirmi infatti non è stata la struttura del codice (per niente complessa e risolvibile in due mosse) ma la presenza della stringa commentata in fondo allo script: <–! uy7gdr5kmn –>

Potremmo formulare numerose ipotesi per cercare di comprenderne il senso ma non essendo in grado di spiegare con certezza assoluta la presenza della stringa, per il momento resta (almeno per me) un mistero.

Due cose sono certe:

Non è una chiave utile per decifrare il codice.
Non è un caso che quella stringa accompagni lo script.

Disabilita Adblock Plus per visualizzare la pagina

guelfoweb — Fri, 30 Oct 2009 09:50:00 +0000

Stamattina rimbalzando da link a link approdo in una pagina web che mi chiede di disabilitare Adblock Plus per poter leggere l’articolo che mi interessava. A quel punto esclamo:

..e come diavolo fa a sapere che uso quell’estensione!?

Vado di wget per scaricare il contenuto della pagina ed ecco la geniale trovata

Sfruttare attraverso codice javascript una delle voci presente di default nella blacklist di Adblock Plus e leggere il valore che l’estensione assegna alla variabile disabled.

index.html

var disabled = false;

if (disabled == false) {
location.replace(“http://www.google.com”);
alert(“Sorry: Adblock is endabled!”);
} else {
document.write(‘Adblock is disabled! ’);
}
adb.js
disabled = true;

In effetti non mi viene in mente un’idea migliore, la genialità sta tutta nella semplicità/banalità. Qui un esempio pratico.