giovedì 30 aprile 2009

“Pizza Malware” e fake Google page

Ricordo sempre che anche se alcuni links sono lasciati in chiaro negli screenshot, evitate di visitare i siti in questione se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!!

“Pizza Malware”, si potrebbe anche chiamare cosi' il guestbook appartenente ad una pizzeria italiana, che si dimostra una fonte inesauribile di link sia a malware che ad una versione fake di Google veramente 'ben fatta'.

Vediamo alcuni dettagli:

Ecco l'ultima pagina online del guestbook di pizzeria del nord Italia con un dettaglio de messaggi presenti che evidentemente vengono inseriti senza troppi plobemi anche se e' presente un sistema di captcha che dovrebbe evitare lo spam.


Sia dall'argomento trattato dai singoli post che dal nome degli autori ci vuole poco a capire di che genere di messaggi si possa trattare e la probabile pericolosita degli stessi.

Infatti parecchi dei links puntano a differenti siti che simulano blog o forum con inseriti al loro interno falsi player video che dovrebbero proporre filmati porno di celebrita' dello spettacolo ecc.. ma che in realta' redirigono a sito che distribuisce malware.


Tra l'altro se vediamo ad esempio il nome di un ipotetico utente registrato su questo pseudo forum ... si vede che si tratta di nome che richiama fatti di cronaca attuali (swine flu) cosa che confermerebbe la data recente della creazione di questi falsi siti...

Nella quasi totalita' dei casi si viene rediretti su questa pagina di falsi filmati a carattere porno che presenta un layout molto curato

e che come vediamo da questo screenshot

contiene unicamente decine di links a falso codec che VT

dimostra essere ben poco riconosciuto da una scansione online eseguita dai principali softwares AV.

Un whois del falso sito di filmati punta a


Nel guestbook sono pero' presenti anche altri links, per qualche verso piu' interessanti dei primi che abbiamo appena visto.

Si tratta di link che tramite un primo redirect puntano a pagina che contiene un codice offuscato

che deoffuscato


effettua un secondo redirect particolare su

passando anche un testo di 'query' che verra' a sua volta inviato ad un sito che simula perfettamente il motore di ricerca Google.


Come si vede il nome che appare in URL e' in realta' googie.su, con la i al posto della l, e c'e' da dire che guardando distrattamente l'indirizzo presente nel browser e' facile venire ingannati specialmente se i fonts usati risultano di piccole dimensioni

Come vediamo il falso Google possiede una homepage

che e' curata anche nell'uso di favicon esattamente identica a quella originale del noto motore di ricerca ed inoltre il layout simula perfettamente la pagina originale.

E' evidente che l'uso di una pagina per cosi' dire di 'phishing Google' serva per redirigere chi la visita su specifici siti dai dubbi contenuti.

Questo il whois della pagina 'googie.su'

Edgar

Nessun commento: