L'oggetto porta infatti “ SUSPECT: iPhone 3G bugs causes recall of stock “
mentre il testo del messaggio , molto breve, porta un riferimento a :
'New relevations about September 11th conspiracy discoveredl'
ossia ci sarebbero nuove rivelazioni circa la presunta cospirazione legata all'11 settembre.
Come si vede sia l'oggetto che il messaggio cercano, seppur con diversi argomenti , di incuriosire chi riceve la mail per fargli seguire il link presente che porta a siti compromessi, anche .IT, di cui avevo dato notizia nei precedenti post.
Se si clicca sul link in mail (questo sito compromesso presenta ad esempio whois in Corea) abbiamo l'apertura della pagina con link a malware
Come si vede meglio , con gli script bloccati da Noscript, abbiamo la presenza di iframe nascosto
contenente il seguente exploit
che sfrutta varie vulnerabilita' tra cui alcune di player audio e video
La pagina invece presenta un codice che simula un falso problema al player Flash (qui vediamo una videata con gli scripts sul browser attivati)
Notare che il titolo della pagina “Watch Free Movie - Update Every Hour!“ e' abbastanza anonimo e quindi si adatta abbastanza bene a qualsiasi argomento trattato.
Il download proposto in automatico o se si clicca sul falso box di allerta e' un file eseguibile che contiene malware.
Una ricerca attuale con Google ci mostra ancora siti .IT compromessi dall'inserimento del falso player flash e relativa pagina
Da quanto si puo' rilevare anche consultando la rete, le mails ricevute presentano una notevole quantita' di differenti oggetti e testi tutti con lo scopo di incuriosire chi le riceve per fargli eseguire il setup del falso playerInoltre il nome del file html di riferimento nel link cambia abbastanza spesso, confermando che il tentativo di diffondere malware e' tuttora esteso, molto attivo e pericoloso.
Edgar
Nessun commento:
Posta un commento