Sempre numerosi i forum italiani che ospitano falsi posts con links che puntano a pagine con setup di player video o codec video, in realta eseguibili malware.
Il primo esempio odierno riguarda un forum IT con parecchi posts che riportano links (di genere porno) che ,se cliccati, puntano, tramite redirect, a questo sito con whois
e dalle numerose pagine simili a quella che vediamo
In questa nuova distribuzione malware il file pericoloso tenta di camuffarsi come file necessario allo sblocco della protezione presente sui files video.
Ecco un dettaglio dell'avviso che appare al momento del caricamento della pagina.
Il falso coded che dovrebbe abilitare la visione di questi filmati protetti, vine poco riconosciuto da una analisi VT
Inoltre si puo notare come la variazione del codice, sia quasi continua, in quanto gia' dopo pochi minuti dal primo download, un successivo download,
mostra differente dimensione del file pericoloso scaricato e naturalmente del relativo codice.
Un altro esempio e' questa pagina di sito IT compromesso,
all'interno del quale e' stato inserito del codice che visualizza un falso player video e il relativo link a pagina che lascia pochi dubbi sulla pericolosita' del file contenuto
Per finire ecco un ulteriore falso player
su diverso sito, e con un riconoscimento VT molto basso,
come succede sempre quando vengono messi online nuove pagine con questo genere di malware.
Edgar
Nessun commento:
Posta un commento