giovedì 6 novembre 2008

Malware, falsi AV , pharmacy su siti .IT. Una breve analisi della situazione attuale

Raccomando a chi volesse esplorare i links presenti nel post di prendere le dovute precauzioni. Si tratta infatti anche di links a malware spesso NON riconosciuto dai softwares Av e quindi ancora piu' pericoloso.(utilizzare ad esempio sandbox, noscript e possibilmente il tutto in esecuzione all'interno di una macchina virtuale con i dovuti settaggi (non condivisione files o cartelle, firewall con blocco degli indirizzi di rete locali ecc....ecc.....)

Qui di seguito una breve analisi della situazione attuale limitata ad una parte dei problemi presenti su alcuni (ma ormai direi molti) siti .IT per quanto si riferisce a distribuzione di malware, falsi programmi antivirus, siti di pharmacy , spam ecc...

Questa breve analisi e' stata effettuata solo con l'ausilio di un motore di ricerca (Google) filtrando i risultati sia per sito .IT che per data (ultima settimana) proprio per avere un quadro aggiornato della situazione.

Ecco il risultato di una mezzora di ricerche in rete per evidenziare parte dei problemi a cui si va' incontro navigando tra siti .IT che risultano piu' o meno compromessi, proponendo a volte malware, a volte falsi siti di pharmacy ma anche sempre piu' spesso false applicazioni antivirus.

A confermare perche' si stia diffondendo la distribuzione di falsi AV cito ad esempio questo articolo apparso su Punto Informatico che tratta proprio del grande giro di denaro dietro a queste applicazioni antivirus fasulle “ .....i guadagni di una settimana per gli appestatori-affiliati possono variare da 58mila a 158mila dollari, con ricavi netti stimabili in 5 milioni di dollari all'anno gestendo una botnet da 10mila o 20mila compromissioni giornaliere. ..........”


Pagine inserite in maniera nascosta all'interno del sito

Sono centinaia i siti .IT che al loro interno contengono una a piu' pagine che simulano falsi blog, forums o layout di siti web che propongono links a pagine con, normalmente, scripts java che tentano in automatico di scaricare sul pc di chi le visita files eseguibili malware.
In questi ultime tempi si e' passati dal download di file eseguibili malware al download di falsi antivirus
Qui vediamo un esempio di un sito italiano

che al suo interno ospita folders nascosti contenenti codici

con links a questo falso antimalware

che in ogni caso Virus Total evidenzia come un trojan dowloader


Codici introdotti direttamente nel sito per reindirizzare su altri di vario genere ma sempre con contenuti pericolosi o comunque non sicuri

In questo caso ad esempio un sito di una squadra di pallavolo

che da una ricerca in rete

propone direttamente il sito noto come Canadian Pharmacy (whois variabile spesso in fastflux) che vediamo nello screenshot sottostante



Siti che vengono sfruttati per proporre links a pagine malware (di solito links a siti con contenuti porno) come vediamo sia nel caso di collegamenti nascosti aggiunti (qui visibili poiche' gli scripts sono disabilitati)


con links a falsi AV

che VT analizza come

molto poco riconosciuto.

Oppure:
links inseriti su forums con post generati automatiamente allo scopo

di solto di genere porno


e con link a falsi codecs




e nella piu' recente massiccia presenza di:
pagine Moodle (e-learning) sfruttate per diffondere links:
Questo un esempio di sito Moodle odierno

con links che tramite redirect puntano, al momento di scrivere il post, ad un file che si spaccia per antivirus

ma in realta' e' malware

Sembra che la tendenza sia sia quella di alternare distribuzione di reale malware con files di falsi antivirus sempre dallo stesso links di redirect e questo per avere una riuscita migliore dell'operazione.
Il numero di siti Moodle che presentano falsi accounts utente con links malware e' enormemente aumentato in queste ultime settimane come si nota da queste ricerche odierne

per un totale di


Ma , poiche' la fantasia di chi propone questo genere di files pericolosi non ha limiti ecco una interessante scoperta
Sempre attraverso un links su forum giungiamo a questa pagina


che come vediamo propone la visione free di filmati porno.
Per poter visualizzare i filmati occorre pero' un accesso tramite password e questa volta viene proposto un 'generatore di codici di accesso' che dovrebbe permettere di creare il nostro codice.

In realta' se tentiamo di generare una key quello che succede e' la proposta di eseguire un file che pero una volta lanciato ci mostra un avviso di incompatibilita' del programma con il nostro sistema operativo.

Chiaramente e' un falso avviso, in quanto il programma scaricato si installa sul nostro computer e produrra' effetti non desiderati
Anche se un report su VT lo cataloga come Spyware


una analisi con Anubis e Threat Expert rivelano la pericolosita' dell'eseguibile


In conclusione in circa 30 minuti di navigazione Internet abbiamo scaricato sul nostro computer questi files eseguibili

che dimostrano ancora una volta come le insidie in rete aumentino costantemente anche per siti .IT.

Edgar

2 commenti:

maverick ha detto...

Edgar Probabile attacco di massa su server tiscali. Serve webscanner :-)
Dai un'occhiata al mio blog.

Edgar Bangkok ha detto...

Attivo webscanner sull'IP tiscali e vediamo cosa succede
Edgar