Infatti sono attivi, come risulta dal report presente su Sudosecure, alcuni nuovi nomi di dominio di cui vediamo una breve lista
Questi domini, supportati dalla botnet Waledac, presentano un codice
che linka in automatico a diverse pagine di pharmacy che a loro volta mostrano avere, in alcuni casi, piu' IP attivi comuni alla stessa URL.Questa ad esempio una delle pagine linkate
hostata su
mentre quest'altra pagina , sempre linkata in automatico, da uno dei nuovi domini Waledac
presenta questo whois.
Sta in pratica accadendo quello che e' gia' successo in passato, e cioe', dopo la campagna di distribuzione malware, ora la botnet, probabilmente solo in parte, viene usata per distribuire links a pagine di pharmacy ,con layout e contenuti, gia' visti da tempo in rete.Questo un breve report eseguito con uno script Autoit che attua un whois ciclico su uno dei nuovi domini Waledac e che ne conferma la modalita fastflux con variazione continua dell'IP di provenienza.
Gli IP rilevati sono associati a macchine compromesse dal malware, che potrebbero non solo essere collegate all'ultima campagna Waledac del 4 luglio ma anche gia, compromesse durante i mesi precedenti.
Infatti al momento sono ai primi posti nazioni non direttamente legate alla festa dell'indipendenza USA (ultima campagna Waledac) ma che nel report appaiono invece con un numero di macchine colpite in percentuale elevata.(Romania, Korea, Polonia, Bulgaria)
Edgar
Nessun commento:
Posta un commento