Analisi di una nuova distribuzione malware

Raccomando a chi volesse esplorare i siti in questione, di prendere le dovute precauzioni. Si tratta infatti di pagine con links a malware spesso NON riconosciuto dai softwares Av e quindi ancora piu' pericoloso.(utilizzare ad esempio sandbox, noscript e possibilmente il tutto in esecuzione all'interno di una macchina virtuale con i dovuti settaggi (non condivisione files o cartelle, firewall con blocco degli indirizzi di rete locali ecc....ecc.....)

Esaminiamo questa nuova distribuzione malware ottenuta tramite post costituiti da immagini e links testuali che si sta diffondendo dai primi giorni di ottobre.
Sicuramente si tratta di una azione curata in tutti i dettagli per tentare di far scaricare un falso setup di acitvex che dovrebbe abilitare la visione di un filmato porno scaricabile dai siti che vedremo.

Elemento comune a tutti i post inseriti in forums, anche italiani, sono alcune immagini jpg presenti su sito porno a pagamento.

Ecco in questa immagine una serie di sceenshot a confronto, tutti riguardanti il layout tipo del messaggio che vediamo presente su diversi forum italiani

L'utente che ha postato il messaggio risulta lo stesso per alcuni differenti forum e porta come data di creazione dell'account l'inizio del mese di ottobre

Una volta cliccato su uno dei link presenti, sia sulle immagini che su links di testo abbiamo, una serie di reindirizzamenti attraverso diversi siti, di cui vediamo un ettaglio in questo log


Il risultato finale e' il caricamento di una pagina, in maniera random, tra una di quelle che vediamo in questa gif animata


mentre n alcuni casi viene caricata una pagina che rappresenta una sorta di indice generale del sito in questione.

Tutte le pagine presentano immagini cliccabili che propongono una nuova finestra contenente il falso player e l'avviso della necessita' di aggiornare un codec video per visualizzare il filmato, codec di cui viene proposto il download.


Questo un dettaglio del codice

Il file eseguibile analizzato con VT dimostra la sua pericolosita', anche se come al solito, non sono molti i softwares AV che rilevano la minaccia.

Altri servizi online dimostrano differenti (non risposte) come ad esempio questo sito virus.org

dove il file risulta completamente 'pulito” anche per alcuni software che lo rilevano su VT. (versioni non aggiornate ecc..)

Il file malware stabilisce tra l'altro alcune connessioni con differenti indirizzi tra cui un sito di filmati porno a pagamento (qui vediamo un report di Threat Expert)

Le pagine che propongono i filmati cosi' come il falso codec sono ospitate su sito di hoster gia' noto per questo genere di contenuti

ed anche se questo whois propone come UK la locazione geografica del whois vediamo che in realta' si dovrebbe trattare dell'ennesimo sito hostato su

Edgar