venerdì 8 agosto 2008

False mails CNN con link a falso setup Flash player

In queste ultime settimane abbiamo assistito ad un massiccio tentativo di distribuire malware attraverso falsi player Flash o comunque falsi setup di player video che venivano linkati da pagine nascoste all'interno di normali siti web.

Anche siti .IT sono e risultano tuttora colpiti da questi attacchi che modificano abbastanza velocemente il contenuto sia del nome della pagina che del falso player per cercare di eludere eventuali verifiche.

Tutte queste pagine nascoste sono raggiungibili da mails di spam inviate in grande quantita' che invitano chi le riceve a visionare i falsi filmati.

Nelle ultime ore sembra anche intensificarsi un tentativo che utilizza tecnica simile ma decisamente molto piu' curata nel layout sia del messaggio mail che della pagina nascosta sul normale sito web.
Questa una mail ricevuta oggi (su mailbox alice.IT)

che propone una serie di notizie e di video, che linkano tutte ad una delle tante pagine presenti in rete sui siti colpiti.
In questo caso il testo del messaggio e' codificato in html presentando un aspetto molto curato che ricorda le consuete mails di phishing.
E questa e' la pagina linkata ospitata sul sito attaccato (utilizzando Firefox3)


Come si vede viene proposto il 'solito' aggiornamento Flash,

anche con una certa insistenza.


che in realta' e' un file eseguibile contenente malware

Nota: Utilizzando Internet Explorer abbiamo la seguente videata che differisce leggermente da quella gnerata su Firefox3

e che presenta un maggiore rischio in quanto viene suggerito anche il RUN del falso file che in questo caso viene proposto come 'activex'.

Fortunatamente la natura stessa dell'attacco che prevede che il file eseguibile pericoloso risieda sullo stesso sito che ospita la pagina non permette che il codice malware sia aggiornato in continuazione e quindi gli antivirus hanno maggiore probabilita' di rilevare il pericolo

In ogni caso una analisi con Virus Total dimostra che , al momento di scrivere il post, ancora alcuni importanti softwares non rilevavano la minaccia

Notare che VT rileva il nome del file come quello del malware gia' precedentemente analizzato.

Tra l'altro, anche se questo genere di spam con allegato malware sembra destinato ad una utenza USA o comunque di lingua inglese pare che le mails vengano distribuite anche su caselle di posta elettronica associate ad esempio a domini .IT come nel caso visto ora e cioe' alice.IT

Edgar

Nessun commento: