Continua la distribuzione di links a falsi AV attraverso la presenza di pagine nascoste all'interno di siti web anche .IT
Qui vediamo ad esempio la homepage attuale di una azienda di arredamenti italiana
che contiene una notevole quantita' di links in maniera nascosta che vediamo in questo dettaglio (con Noscript attivo su Firefox)
anche su pagine diverse dalla homepage
e che puntano tutti ad altre pagine inserite sia all'interno dello stesso sito che a pagine ospitate su altri siti con un layout che ci ricorda pagine di blogs.
Come gia' visto in altri post le pagine su cui si viene reindirizzati seguendo i links hanno al loro interno un javascript offuscato
che deoffuscato
punta a falsi scanners online con relativo link automatico a files eseguibili di install
I falsi files eseguibili di install sono riconosciuti, come indica una scansione VT solo da alcuni dei 'reali' softwares AV
Ecco un altro esempio di pagina, appartenente questa volta a sito di Universita' italiana che come vediamo nel sorgente della homepage
presenta centinaia di links nascosti che a loro volta puntano a pagine come questa
Anche in questo caso dalla pagina linkata si viene poi reindirizzati a sito di falso AV.
In ogni caso si tratta sempre di links che, come si vede da un log
coinvolgono diversi siti che in sequenza puntano al sito 'finale' che contiene il file di install del falso scanner di cui viene proposto un download automatico con notevole insistenza
L'uso di links in sequenza permette, a chi gestisce la 'distribuzione' dei falsi AV visti ora, di variare facilmente il tipo di pagina finale proposta e naturalmente anche i contenuti della stessa passando da falsi AV anche a files malware ecc.....
Edgar
che contiene una notevole quantita' di links in maniera nascosta che vediamo in questo dettaglio (con Noscript attivo su Firefox)
anche su pagine diverse dalla homepage
e che puntano tutti ad altre pagine inserite sia all'interno dello stesso sito che a pagine ospitate su altri siti con un layout che ci ricorda pagine di blogs.
Come gia' visto in altri post le pagine su cui si viene reindirizzati seguendo i links hanno al loro interno un javascript offuscato
che deoffuscato
punta a falsi scanners online con relativo link automatico a files eseguibili di install
I falsi files eseguibili di install sono riconosciuti, come indica una scansione VT solo da alcuni dei 'reali' softwares AV
Ecco un altro esempio di pagina, appartenente questa volta a sito di Universita' italiana che come vediamo nel sorgente della homepage
presenta centinaia di links nascosti che a loro volta puntano a pagine come questa
Anche in questo caso dalla pagina linkata si viene poi reindirizzati a sito di falso AV.
In ogni caso si tratta sempre di links che, come si vede da un log
coinvolgono diversi siti che in sequenza puntano al sito 'finale' che contiene il file di install del falso scanner di cui viene proposto un download automatico con notevole insistenza
L'uso di links in sequenza permette, a chi gestisce la 'distribuzione' dei falsi AV visti ora, di variare facilmente il tipo di pagina finale proposta e naturalmente anche i contenuti della stessa passando da falsi AV anche a files malware ecc.....Edgar
Nessun commento:
Posta un commento