Questa la pagina introduttiva del sito comunale
che gia' al suo interno contiene inseriti nel codice numerosi links a siti appositamente creati per diffondere falsi softwares antivirus od a normali siti compromessi che al loro interno ospitano links a falso antivirus
Come se non bastasse da questa pagina si accede alla homepage del sito
che esaminato nella sua struttura presenta qualche sorpresa
Sono infatti ospitate in un subfolder nascosto decine di pagine imitanti un blog o un sito di news online e di cui vediamo un esempio
da queste, tramite script offuscato,
si viene connessi a differenti pagine di falso antivirus
Vediamo alcuni esempi:
Una pagina con falso messaggio di avviso e successivo links
oppure direttamente una pagina di falso AV.
Un whois di uno dei siti linkati punta a noto hoster gia conosciuto a chi si interessa di malware e applicazioni fasulle.
E' anche interessante notare come queste false applicazioni AV siano pochissimo riconosciute dai 'reali' softwares antivirus.
Questo si spiega con la possibilita' che ha chi gestisce la falsa applicazione di variarne il codice frequentemente.
Qui possiamo vedere riassunti in un unico schema i vari passaggi, che portano, dall'accesso ad una pagina nascosta nel sito comunale sino al caricamento del falso AV
Una applicazione pratica di questa inclusione di pagine nascoste la possiamo avere se andiamo ad interrogare un motore di ricerca con termini quali 'antivirus, porn ecc.....”
Viene in questo caso presentata una serie risultati riferiti a pagine appartenenti ai piu svariati domini (Giappone. Russia , USA ecc....) che ci porteranno con i loro links direttamente ad una delle pagine nascoste sul sito comunale e, se gli script sono attivi sul browser, ad un falso sito di software antimalware.
Edgar
Nessun commento:
Posta un commento