AVVISO ! Ricordo che anche se alcuni links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!! dato che si tratta di pagine con malware ancora attivo.
Ancora due brevi aggiornamenti su quello che si puo' scaricare dalla rete se si consultano falsi post su alcuni forum IT, contenenti ad esempio questo link a falso sito di filmati a carattere porno.
A differenza di altre volte dove veniva solo visualizzato un player video non attivo, abbiamo invece l'esecuzione di un filmato che dopo qualche fotogramma mostra un blocco delle immagini, come se fosse intervenuto un qualche errore di riproduzione
a cui segue la comparsa di un avviso che attiva il download del relativo plugin (patch) per visualizzare correttamente le immagini.
Come si vede da una una scansione online VT, il falso plugin e' in realta' un eseguibile malware
che come succede spesso in questi casi e' poco riconosciuto.
Questo invece un fake AV proposto da uno scanner online che mostra , tra l'altro, anche i dati di provenienza di chi visita il sito quali IP e geolocalizzazione dello stesso (qui vediamo lo screenshot attraverso l'uso di proxy)
Una analisi VT indica il falso antivirus come praticamente sconosciuto ai principali softwares AV presenti sul report.
Questa volta l'accesso al falso AV e' possibile in quanto da una ricerca in rete si viene rediretti cliccando sul risultato, a sito IT compromesso che al suo interno include decine di pagine nascoste che, in maniera automatica e random, puntano al falso scanner online.
Edgar
Nessun commento:
Posta un commento