AVVISO ! Ricordo che, anche se i links sono lasciati in chiaro negli screenshot, consiglio sempre per chi volesse visitare le pagine elencate di utilizzare sandboxie, noscript, pc virtuale ecc....in quanto si tratta anche di eseguibili malware attivi e poco o niente riconosciuti dagli AV.
Sempre piu' spesso troviamo in rete siti che, indipendentemente dalla pagina proposta (falso scanner o falso player di filmati porno) distribuiscono sia malware o falso software AV.
Dato che questo genere di files viene di solito linkato attraverso i risultati di ricerche in rete chi ne gestisce la 'distribuzione' pone molta attenzione nell'evitare che le pagine inserite in maniera nascosta vengano mostrate anche a chi normalmente utilizza il sito compromesso che le ospita e questo per garantirne una piu' lunga permanenza online.
A seconda poi del tipo di 'utenza internet' da colpire viene attuata sempre piu spesso anche la verifica degli IP di provenienza che permette ad esempio di proporre un falso motore di ricerca al posto di un file malware sempre a seconda del paese di origine dl chi segue i links.
Un'altra importante caratteristica e' poi l'aggiornamento continuo, quasi in tempo reale, dei codici pericolosi siano essi trojan, falsi Av, ecc... per ottenere sempre un basso riconoscimento dei contenuti.
Vediamo ora tre attuali casi (tutti online questa mattina ora thai , - 5 h rispetto all'Italia) che mostrano tutte o in parte queste caratteristiche.
Il primo sito che visioniamo e' derivato da uno dei tanti forum IT che presentano post fasulli con links corredati di foto cliccabili , falsi player sotto forma di gif animate, links testuali ecc...
In questo specifico caso abbiamo anche il riconoscimento dell'IP di provenienza del visitatore per cui se utilizziamo un IP italiano il link proposto punta a
che naturalmente VT vede come
(anche in questo caso basso riconoscimento)
mentre per un IP Thai viene restituita questa pagina di falso motore di ricerca
Entrambe le pagine sono hostate su questo server francese di cui vediamo un whois
Il secondo caso presenta invece immagini cliccabili su forum IT che puntano, senza filtrare gli IP, a questo falso clone di Youtube, dal layout noto
con whois
e che propone una falsa patch per Flash Player
Il file malware e' praticamente sconosciuto, al momento di scrivere il post, ai softwares AV suVT ( ricordando sempre che si tratta di una scansione online on demand che potrebbe comunque avere limiti sul riconoscimento del malware rispetto al reale uso del software Av sul PC )
Il terzo caso merita invece una descrizione un poco piu dettagliata, in quanto si tratta di pagine incluse su sito IT
attive solo, come scritto all'inizio del post, se le stesse vengono richiamate a seguito di una ricerca ad esempio con Google.
In caso contrario un tentativo di caricare una delle pagine nascoste direttamente, non redirige sui siti che vedremo.
Questa la cronologia della ricerca Google che passa da un link a pagina nascosta sul sito (in verde) sino a un redirect in tre tempi (in rosso)
che linka a diverse pagine tutte comunque hostate su server canadese:
In dettaglio abbiamo un falso scanner AV
questo falso Youtube (notare anche il logo Youtube e non nome differente es. PornTube Xtube ecc...come in altri siti clone. )
e per finire questo sito che ricorda un layout di pagina di Social Network
In ogni caso c'e' da notare che i nomi delle url ricordano tutti un possibile scanner Av come vediamo da questo riassunto di parte dei risultati del redirect
Il file che viene, con notevole insistenza , proposto e' con uguale contenuto per tutte le pagine linkate, e non viene praticamente rilevato da una scansione VT.
Una analisi con Anubis dimostra che questo 'eseguibile una volta in RUN scarica il file che ad una analisi VT risulta essere:
Per una analisi dettagliata di ReleaseXP(dot)exe rimando al post successivo
Edgar
Sempre piu' spesso troviamo in rete siti che, indipendentemente dalla pagina proposta (falso scanner o falso player di filmati porno) distribuiscono sia malware o falso software AV.
Dato che questo genere di files viene di solito linkato attraverso i risultati di ricerche in rete chi ne gestisce la 'distribuzione' pone molta attenzione nell'evitare che le pagine inserite in maniera nascosta vengano mostrate anche a chi normalmente utilizza il sito compromesso che le ospita e questo per garantirne una piu' lunga permanenza online.
A seconda poi del tipo di 'utenza internet' da colpire viene attuata sempre piu spesso anche la verifica degli IP di provenienza che permette ad esempio di proporre un falso motore di ricerca al posto di un file malware sempre a seconda del paese di origine dl chi segue i links.
Un'altra importante caratteristica e' poi l'aggiornamento continuo, quasi in tempo reale, dei codici pericolosi siano essi trojan, falsi Av, ecc... per ottenere sempre un basso riconoscimento dei contenuti.
Vediamo ora tre attuali casi (tutti online questa mattina ora thai , - 5 h rispetto all'Italia) che mostrano tutte o in parte queste caratteristiche.
Il primo sito che visioniamo e' derivato da uno dei tanti forum IT che presentano post fasulli con links corredati di foto cliccabili , falsi player sotto forma di gif animate, links testuali ecc...
In questo specifico caso abbiamo anche il riconoscimento dell'IP di provenienza del visitatore per cui se utilizziamo un IP italiano il link proposto punta a
che naturalmente VT vede come
(anche in questo caso basso riconoscimento)
mentre per un IP Thai viene restituita questa pagina di falso motore di ricerca
Entrambe le pagine sono hostate su questo server francese di cui vediamo un whois
Il secondo caso presenta invece immagini cliccabili su forum IT che puntano, senza filtrare gli IP, a questo falso clone di Youtube, dal layout noto
con whois
e che propone una falsa patch per Flash Player
Il file malware e' praticamente sconosciuto, al momento di scrivere il post, ai softwares AV suVT ( ricordando sempre che si tratta di una scansione online on demand che potrebbe comunque avere limiti sul riconoscimento del malware rispetto al reale uso del software Av sul PC )Il terzo caso merita invece una descrizione un poco piu dettagliata, in quanto si tratta di pagine incluse su sito IT
attive solo, come scritto all'inizio del post, se le stesse vengono richiamate a seguito di una ricerca ad esempio con Google.
In caso contrario un tentativo di caricare una delle pagine nascoste direttamente, non redirige sui siti che vedremo.
Questa la cronologia della ricerca Google che passa da un link a pagina nascosta sul sito (in verde) sino a un redirect in tre tempi (in rosso)
che linka a diverse pagine tutte comunque hostate su server canadese:
In dettaglio abbiamo un falso scanner AV
questo falso Youtube (notare anche il logo Youtube e non nome differente es. PornTube Xtube ecc...come in altri siti clone. )
e per finire questo sito che ricorda un layout di pagina di Social Network
In ogni caso c'e' da notare che i nomi delle url ricordano tutti un possibile scanner Av come vediamo da questo riassunto di parte dei risultati del redirect
Il file che viene, con notevole insistenza , proposto e' con uguale contenuto per tutte le pagine linkate, e non viene praticamente rilevato da una scansione VT.
Una analisi con Anubis dimostra che questo 'eseguibile una volta in RUN scarica il file che ad una analisi VT risulta essere:
Per una analisi dettagliata di ReleaseXP(dot)exe rimando al post successivo
Edgar
Nessun commento:
Posta un commento