domenica 2 agosto 2009

Inclusione di pagine all'interno di siti IT compromessi (aggiornamento 2 agosto 09)

NB. Anche se alcuni links sono in chiaro usate attenzione se volete visitare le pagine degli screenshots in quanto si tratta pur sempre di siti che in maniera automatica cercano di far scaricare eseguibili pericolosi.

Come gia' visto parecchie volte su questo blog, la distribuzione di malware, avviene spesso utilizzando i risultati dei motori di ricerca che puntano a siti di video online che propongono falsi aggiornamenti di players, codecs, flash.... tutti in realta' eseguibili che attivano sul pc virus di vario genere.

Per facilitare la comparsa ai primi posti di una ricerca in rete ci si serve di siti compromessi inserendo al loro interno centinaia di pagine nascoste contenenti i links pericolosi o, in alternativa, si includono i links direttamente nel codice della homepage compromessa o di altre pagine del sito colpito.

Quella che vediamo ora e' una pagina (simile a layout gia visto)

inserita in maniera nascosta su alcuni siti IT compromessi, che linka ad aggiornati files malware distribuiti sotto forma di files eseguibili camuffati da players video

Tramite javascript debolmente offuscato si viene rediretti a sito che , in maniera random cicla su differenti pagine di cui vediamo alcuni screenshot e il dettaglio dell'analisi VT

Questo falso player, con testo 'personalizzabile' variandolo direttamente nell'indirizzo web della pagina

e che linka a questo eseguibile


ben poco riconosciuto.(almeno per quanto si riferisce a scansione on demand online).

Questa pagina che ci ricorda nel layout il noto Youtube e che propone i 'soliti' contenuti porno


distribuendo un falso player video che VT vede come

e che inoltre muta continuamente il proprio codice per rendere il riconoscimento del file piu' difficile.

Inoltre sempre lo stesso sito propone questo player fasullo che imita quello in alta risoluzione di Youtube tentando di far scaricare un falso player HQ che e' in realta' il consueto eseguibile malware:


Per concludere, vorrei far notare che il pericolo di queste pagine incluse, non e' tanto nella loro presenza sul sito colpito , in quanto completamente nascoste e non visualizzabili da chi lo visitasse, ma risiede piuttosto nel fatto che le pagine incluse servono a generare in grande numero risultati di ricerca pericolosi in quanto links a malware.

Edgar

Nessun commento: