Contemporaneamente a questo, appare evidente anche l'uso di altri sistemi per diffondere links a malware attraverso
falsi post in forum male o per niente gestiti da chi li ha creati, oppure links nascosti in pagine di utenti fasulli su servizi di free blog online, od ancora con migliaia di links inclusi in siti web.Il file 'piu' distribuito al momento e'
Flash-HQ-plugin.45047.exe (anche con diverse varianti nel nome del file) che vediamo quasi sconosciuto ad una analisi VT
La cosa piu' evidente e' comunque il sistema adottato per linkare a questo eseguibile che sembra proporre una
'regia' comune a questa distribuzione malware.
Vediamo alcuni interessanti dettagli:
Questo e' uno dei post odierni, su forum ospitato su sito di rappresentanza regionale di noto sindacato italiano:
Come vediamo
sono presenti numerosi post continuamente aggiornati , con falso player video piu' alcune immagini porno cliccabili, tutte che puntano a
Si tratta di un falso player che tenta di scaricare l'eseguibile
Flash-HQ-plugin.45047.exe.
Non c'e' da meravigliarsi se il medesimo file
viene linkato da altri forum IT, male o per niente gestiti (sembra che chi amministra questi siti dopo la creazione dei forum se ne sia completamente dimenticato)Questa la situazione (quasi paradossale) di un forum su sito collegato a
'diocesi' italiana,
che vediamo aggiornato in tempo reale con post contenenti lo stesso layout di quello visto prima sul sito del sindacato.
Anche in questo caso, per chi visitasse
anche solo per sbaglio il forum e seguisse i links proposti, (notare che sono comunque ben presenti i links sui risultati Google) abbiamo il medesimo player video che linka allo stesso file , ma questa volta distribuito da differente host e con diverso layout , come si nota dallo screenshoot.
Ma,
Flash-HQ-plugin.xxxxx.exe (xxxx = a diverso valore numerico) non e' certo solo distribuito attraverso falsi POST.
Vediamo qui
una delle tante pagine create su Myblog.it , solo allo scopo di diffondere links a malware
che tratta di argomenti attuali (es. in questo caso l'Unione Europea) e che al suo interno presenta migliaia di collegamenti
a pagine come questa
che, non c'e' da meravigliarsi,
puntano nuovamente ad un falso player su diverso sito, ma che linka sempre al medesimo file mascherato, nel nome, da plugin Flash.
Gia' a questo punto delle ricerche , risulta chiara la fonte di
Flash-HQ-plugin.xxxxx.exe ed anche la 'volonta' di distribuire su '
vasta scala' questo eseguibile, ma non e' finita....
Proviamo infatti a vedere i contenuti di
questo sito IT che si occupa di 'Assistenza sociale” attivando pero' un
USER AGENT come Googlebot. (in pratica simuliamo 'la visita' di Google al sito per indicizzarne i contenuti da proporre in ricerca)
Ecco apparire
quasi 3.000 links all'interno del source della home,
che
puntano tutti a questo player con diverso layout, rispetto a quelli visti prima
ed hostato in
Niente di nuovo anche in questo caso, poiche' da una analisi del source
risulta evidente che e' nuovamente presente un link a Flash-HQ-plugin.
Questa volta con differente stringa numerica nel nome del file ma comunque sempre visto al medesimo modo
da una analisi VT
Concludendo, abbiamo al momento
centinaia di links che tramite falsi post, o con links inclusi in myblog o con links comunque presenti in siti IT compromessi , puntano tutti all'eseguibile Flash-HQ-plugin.....exe che per di piu' e' quai per niente rilevato da VTIl contenuto del file, viene riconosciuto per ora
da sole due applicazioni
Av come generico Packed file senza pero' evidenziarne la natura.
In ogni caso sembra che l'eseguibile abbia capacita
'Downloader' vista anche
una analisi Anubis del file
Edgar
Questa una delle ultime mails ricevute
che presentano tutte un redirect simile per quanto si riferisce al nome di pagina utilizzato (cap.htm) 
cosa che dovrebbe significare l'uso dello stesso KIT di phishing.
che dopo il login fasullo punta al reale sito della banca.
In questo caso e' inserito nel messaggio (scritto in un buon italiano) un link ad immagine gif animata, (presente sul reale sito Cariparma) mentre il link in mail al sito di phishing e' sempre lo stesso della precedente mail.(redirect)
