Vediamo ad esempio un sito di phishing ai danni di Friendster.
Friendster e' un "social network service" fondato negli Stati Uniti da Jonathan Abrams nel marzo del 2002.
Dopo un notevole sviluppo ha dovuto subire la concorrenza di altri social network come MySpace ed anche, tra gli altri, di Windows Live Spaces, Yahoo! 360, e FaFacebook.
Quella che vediamo nello screenshot e' una falsa pagina di login che riproduce fedelmente quella autentica di Friendster.
Chiaramente viene accettato tutto quello che si scrive nel login dato che non esiste una reale verifica dell'account in quanto sito fasullo.A questo punto viene caricata una pagina che ci segnala che il player flash che stiamo usando e' una vecchia versione con problemi di sicurezza, ed automaticamente, dopo 5 secondi, anche se si ha ad esempio in firefox l'addon noscript attivato, appare la finestra di download del file AdobeFlash.exe.
Questo avviene perche' si utilizza una semplicissima istruzione html senza scomodare esempio script java.
Normalmente, nei siti che abbiamo visto nei precedenti post, bisognava cliccare su qualche link o bottone per avviare il download mentre in questo caso, a mio avviso in maniera molto piu pericolosa, non dobbiamo preoccuparci di lanciare un download.
Questo e' reso possibile, poiche in testa al source della pagina e stata inserita una semplicissima istruzione meta tag html che permette il caricamento automatico di un file eseguibile senza scomodare script java o altri complicati codici. (mi sorprende che non venga utilizzata piu' spesso in siti contenenti malware)
Potete testare il vostro browser con questo sempli esempio:
Solo per chi non conosce l'uso del codice html, si tratta di 2 righe di codice inserito in una pagina a questo link: LINK DI TEST ad una PAGINA CON LOAD AUTOMATICO di file che se cliccat0, visualizza la pagina html e dopo 5 secondi attiva la finestra di download del file (nell'esempio la mia utility pingmonitor.exe (zippata)) Per annullare l'operazione basta chiudere la finestra di download.
La comparsa della finestra di download, attraverso l'uso di meta tag, dipende anche dal browser utilizzato (funziona bene con firefox ed opera) ed e' per questo i creatori del sito di phishing si sono cautelati aggiungendo anche un link diretto al falso file del lettore flash
C'e' da aggiungere che un antivirus puo rilevare l'apertura del link con il tentativo di scaricamento del file.
Questo un frammento del semplice codice presente nella pagina phishing
Brevemente per spiegarne la sinstassi , abbiamo un refresh della pagina che dopo 5 secondi (il numero 5 prima del nome del file exe) apre la finestra di download del file adobeflash.exe.
Virus Total evidenzia ancora una volta che non molti software riconoscono il malware contenuto nel falso player Flash.
| File AdobeFlash.exe received on 11.22.2007 01:57:28 (CET) | |||
| Antivirus | Version | Last Update | Result |
| AhnLab-V3 | 2007.11.22.0 | 2007.11.21 | - |
| AntiVir | 7.6.0.34 | 2007.11.21 | - |
| Authentium | 4.93.8 | 2007.11.21 | - |
| Avast | 4.7.1074.0 | 2007.11.21 | - |
| AVG | 7.5.0.503 | 2007.11.21 | - |
| BitDefender | 7.2 | 2007.11.21 | BehavesLike:W32.Trojan.Downl |
| CAT-QuickHeal | 9.00 | 2007.11.21 | - |
| ClamAV | 0.91.2 | 2007.11.22 | - |
| DrWeb | 4.44.0.09170 | 2007.11.21 | - |
| eSafe | 7.0.15.0 | 2007.11.21 | suspicious Trojan/Worm |
| eTrust-Vet | 31.3.5315 | 2007.11.21 | - |
| Ewido | 4.0 | 2007.11.21 | - |
| FileAdvisor | 1 | 2007.11.22 | - |
| Fortinet | 3.14.0.0 | 2007.11.21 | - |
| F-Prot | 4.4.2.54 | 2007.11.21 | - |
| F-Secure | 6.70.13030.0 | 2007.11.22 | Trojan-Down.Win32.Agent.ut |
| Ikarus | T3.1.1.12 | 2007.11.22 | Trojan-Down.Win32.Agent.ut |
| Kaspersky | 7.0.0.125 | 2007.11.21 | Heur.Downloader |
| McAfee | 5168 | 2007.11.21 | - |
| Microsoft | 1.3007 | 2007.11.21 | TrojanDown:W32/Small.gen!M |
| NOD32v2 | 2677 | 2007.11.22 | probably n NewHeur_PE virus |
| Norman | 5.80.02 | 2007.11.21 | W32/Malware |
| Panda | 9.0.0.4 | 2007.11.21 | Suspicious file |
| Prevx1 | V2 | 2007.11.22 | Heuristic: Suspicious File |
| Rising | 20.19.21.00 | 2007.11.21 | - |
| Sophos | 4.23.0 | 2007.11.22 | - |
| Sunbelt | 2.2.907.0 | 2007.11.21 | - |
| Symantec | 10 | 2007.11.22 | - |
| TheHacker | 6.2.9.136 | 2007.11.21 | - |
| VBA32 | 3.12.2.5 | 2007.11.20 | - |
| VirusBuster | 4.3.26:9 | 2007.11.21 | - |
| Webwasher-Gateway | 6.0.1 | 2007.11.22 | W32.ModifUPX.gen!90 (susp.) |
| Additional information | |||
| File size: 494839 bytes | |||
| MD5: 5a38da22494faa3bcc30f6a3551c6782 | |||
| SHA1: 60ca5ce0785f0cfc971d9439369e3cc83aec8b26 | |||
| packers: UPX | |||
| packers: PE_Patch.UPX | |||
Edgar
Nessun commento:
Posta un commento