sabato 11 aprile 2009

Falsi profili utente Linkedin con links a malware o falsi AV

Ricordo sempre che pur avendo lasciato in chiaro i vari links, sconsiglio di visitarli a meno che non si siano prese tutte le misure del caso (NOscript attivo, pc virtuale, sandbox ecc....) in quanto, almeno al momento di scrivere il post, si tratta di links ad exploits o comunque links a pagine che distribuiscono files malware tuttora attivi ed anche in alcuni casi scarsamente riconosciuti dai principali software Av, almeno per quanto si riferisce ad una scansione online VT.

Come visto nel precedente post la pratica di inserire falsi profili utente su Linkedin sembra molto diffusa e coinvolge anche diversi forum IT che riportano collegamenti a falsi utenti creati con lo scopo di distribuire malware.

Tra l'altro una ricerca in rete evidenzia anche un post del noto blog Dancho Danchev's Blog - Mind Streams of Information Security Knowledge che , in data recente, evidenzia il problema 'Bogus LinkedIn Profiles Redirect to Malware and Rogue Security Software ' che evidenzia appunto la presenza massiccia di questi falsi profili utente sul 'social network' USA

Ecco ancora un esempio un falso profilo utente puntato da un link su forum italiano

che tramite sito intermedio


redirige, ad esempio , su

o anche su


Si tratta di un sito comprendente parecchie pagine di falsi filmati con layout anche simile a falso sito youtube visto in precedenza.

La cosa interessante e' che questa volta il file proposto, con doppia estensione mpg.exe e' di notevoli dimensioni a differenza dei consueti malware da poche centinaia di Kb o meno.

Una analisi VT mostra la probabile origine del file come fake application AV cosa che viene confermata dalla esecuzione di uno degli eseguibili scaricati dal sito

Si tratta della applicazione Privacy Center che come al solito propone la presenza di problemi (falsi) di vario genere sul pc su cui e' installata


Esaminando le connessioni attive al momento dell'esecuzione di questa applicazione notiamo una connessione a questo IP

che in dettaglio mostra hostare oltre che il sito del falso Security Center

anche un sito ben noto e precisamente piratas-numericos[DOT]info,

gia' noto per aver distribuito in passato un malware di tipo ransomware (trojan che cripta il contenuto di alcune cartelle o di alcuni file del pc vittima e richiede un pagamento in denaro per poter rendere di nuovo utilizzabili i dati cosi' codificati).
Symantec riporta ad esempio questa info riguardo al sito dei probabili creatori del malware 'Trojan.Randsom.C' in questione: The Trojan 'Trojan.Randsom.C' is reportedly dropped by other malware or may be downloaded from the following remote site: [http://]piratas-numericos.info/handlers/get[REMOVED] .

Edgar

Nessun commento: