lunedì 31 agosto 2009

Distribuzione falsi antivirus e malware (agg. 31 agosto 09)

AVVISO ! Ricordo che anche se alcuni links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!! dato che si tratta comunque di eseguibli attivi e poco riconosciuti.

Sembra che la tendenza attuale per distribuire falsi AV o comunque eseguibili pericolosi sia l'utilizzo di pagine web con un layout che ci ricorda le pagine di un blog, pagine che incluse in normali siti, vengono indicizzate dai motori di ricerca e proposte ai primi posti dei risultati.

Attualmente il numero di siti IT coinvolti e' notevole ed in costante aumento negli ultimi giorni.

Vediamo alcuni casi aggiornati ad oggi:

Questa la pagina di falso blog inclusa all'interno di numerosi siti anche .IT, come ad esempio in questo appartenente ad un 'Ordine di Avvocati'

Le pagine incluse, se gli script java sono attivi , propongono dopo il caricamento una scelta , comunque irrilevante, in quanto in entrambi i casi (enter o exit)

si viene rediretti su sito clone di Youtube

con whois che punta , cosa comune in questi casi, a server locato in Est Europa

Cliccando su ogni falso filmato presente viene proposto il download di un setup di flash palyer 10 necessario alla visione dei contenuti video ,

che VT vede molto poco riconosciuto dai principali softwares AV in commercio


I sito colpiti con questa inclusione che varia continuamente, sono decine , come si vede ad esempio da questo differente layout di falso blog.

Sempre di falso blog si tratta per queste pagine incluse in siti IT che ricorcano anche questa volta la struttura di un blog
e che in automatico redirigono su questo falso scanner AV gia' visto in passato

con riconoscimento quasi nullo


Per quanto si riferisce ai falsi blog inclusi su siti IT, evidenziati in questo post del 28 agosto, abbiamo un continuo aggiornamento di pagine e di siti colpiti, come si vede da una ricerca in rete (time evidenziato in giallo)

Sempre di falsi layout di blog anche per queste pagine linkate da forum IT che presenta recenti inserimenti di falsi post


che tramite questa pagina di falso blog,


linkano a fake scanner AV che distribuisce il file eseguibile visto da VT come


In tutti i casi visti ora, come sempre, non esistono problemi immediati per chi visitasse i siti colpiti, in quanto le pagine incluse (i falsi blog) sono invisibili al visitatore ma vi sono comunque alcune conseguenze negative per il sito coinvolto.

Intanto abbiamo l'evidenza di una probabile vulnerabilita, che potrebbe essere sfruttata per colpire in maniera diretta i visitatori del sito; inoltre la presenza di queste pagine crea sicuramente un traffico non voluto sul server che ospita il sito compromesso, ed anche, e questo e' lo scopo principale di chi effettua questi attacchi, il sito comparira' in rete come risultato di ricerche a carattere porno, di pharmacy ecc.. cosa che comuqnue dal punto di vista dell'immagine del sito non e' certamente il massimo.

Edgar

Nessun commento: