sabato 26 luglio 2008

Watch Free Movie - Update Every Hour!

Una ricerca in rete mostra , anche con risultati riferiti a qualche ora fa', una notevole quantita' di siti tra cui alcuni .IT che attraverso una pagina inserita all'interno degli stessi , propongono il download di un falso player flash.


Questa una ricerca su domini IT dove si vede chiaramente che alcune risultati sono delle ultime ore


I nomi del folder inserito nel sito colpito risulta come live.html, video.html, watch.html ecc ...

Esaminiamo brevemente la pagina che viene inserita all'interno del sito web compromesso
Questo il risultato quando l esecuzione degli script java e' attivata nel browser

Il file flash .exe e' pochissimo riconosciuto dai softwares antivirus presenti su VT


Come si vede abbiamo la presenza di iframes nascosti

ed una volta attivati gli script la pagina stabilisce una connessione

su ip



Tra l'altro sembra che ci troviamo di fronte ad una azione di inserimento pagine con malware abbastanza estesa in quanto esaminando altri risultati proposti dal motore di ricerca non solo abbiamo differente hoster italiano ma anche un diverso file player sia come nome di file

che come rilevamento da parte dei softwares AV di VT


In pratica potremmo trovarci di fronte ad una medesima tipologia di attacco (il falso player flash) ma attuata forse da soggetti diversi e comunque con l'uso di diversi files malware e differenze sui files ospitati a volte solo sul sito colpito

mentre in altri casi, su diverso server (links a script in alcuni casi esterni al server stesso)

Vedremo nelle prossime ore se ci sara' una ulteriore espansione di questo genere di attacchi osservando comunque che una ricerca senza filtrare i domini .IT porta al momento a piu' di 330.000 links molti dei quali puntano a pagina con falso player flash.

Aggiornamento

Se le indicazioni fornite dal motore di ricerca sono attendibili parrebbe continuare o comunque essere molto recente, anche su siti .IT, l'inserimento di nuove pagine contenenti il falso flash player
Questo e', ad esempio, il risultato di ricerca che mostra un aggiornamento del link (da circa un'ora) e che carica una pagina con falso player e malware.

Questo un parziale report solo su siti .IT

Eseguendo il report senza filtrare per dominio .IT i siti la quantita' di quelli che presentano la pagina aggiunta con falso palyer e' elevata


L'uso del tool ha permesso di isolare alcuni nomi del falso installer o player flash

e questa una analisi VT di uno degli eseguibili non verificato nel precedente post


Ed ecco la struttura di uno dei siti colpiti dove si nota la pagina aggiunta

Il fatto che si tratti comunque di pagine nascoste a chi visita il sito che le ospita indica che le stesse potrebbero essere utilizzate linkandole attraverso collegamenti che compaiano su altre pagine, forums ecc.. od al limite su mails di spam come gia visto altre volte.

Edgar

Nessun commento: