AVVISO ! Ricordo che anche se i links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!! Si tratta di links a files eseguibili pericolosi spesso poco riconosciuti dagli AV.
L'utilizzo sempre piu esteso di servizi gratuiti di 'bloggin' anche italiani non passa certo inosservato a chi tenta di distribuire malware in rete.
Creare rapidamente accounts utente fasulli da utilizzare per proporre links a malware o false applicazioni Av sembra essere uno dei sistemi piu' utilizzati ultimamente da chi tenta di far scaricare sul PC eseguibili pericolosi. (vedi ad esempio questo post e questo post)
L'utilizzo sempre piu esteso di servizi gratuiti di 'bloggin' anche italiani non passa certo inosservato a chi tenta di distribuire malware in rete.
Creare rapidamente accounts utente fasulli da utilizzare per proporre links a malware o false applicazioni Av sembra essere uno dei sistemi piu' utilizzati ultimamente da chi tenta di far scaricare sul PC eseguibili pericolosi. (vedi ad esempio questo post e questo post)
Questo un risultato di ricerca in rete
che vede coinvolta la 'piattaforma' free di bloggin bloo.it che offre tramite blog.it la possibilita' di creare in poco tempo il proprio blog personale.
Esaminiamo in dettaglio i vari 'passaggi' che ci porteranno dal link sul motore di ricerca sino al download del malware:
Cliccando sul link proposto dal motore di ricerca abbiamo
che appare come la pagina di un blog personale che propone commenti sotto forma di links (che il motore di ricerca propone nei risultati)
Si nota si tratta di commenti inseriti oggi e da poco tempo in quantita' notevole come vediamo da un dettaglio del source della pagina blog
Cliccando su uno dei tanti links veniamo portati su questa pagina di ESnips (si tratta di sito di social network particolarmente orientato alla condivisione di files di qualunque tipo ...) che, come per il blog precedente viene sfruttata per proporre links a sito con contenuti per adulti:
A questo punto interviene , cliccando sul link disponibile sulla pagina (bottone verde), un sistema gia visto in passato per tentare di mascherare ulteriormente il reale indirizzo della pagina che funzionera' come redirect
Come si nota , il link proposto e' freevideotube(dot)lookera(dot)net ma in realta' si tratta di una pagina del servizio di googlepages
Questo e' reso possibile da uno dei tanti servizi free di 'short url' disponibili in rete (in questo caso quello di Lookera(dot)net)
A sua volta la pagina ospitata su Googlepages ha questo contenuto
Da notare come la homepage del sito su Googlepages che, in questo caso, ospita il redirect appare come ancora da attivare.(questo per occultare i contenuti del redirect)
Il redirect presente punta a pagina con layout molto diffuso
e che propone questo file di falso update flash praticamente sconosciuto ad una analisi VT
Il file eseguibile risulta hostato su
Ecco un report riassuntivo della lunga sequenza di links a partire dalla ricerca in rete sino al download del file malware:
Una alternativa al lungo percorso di links e redirect visti ora e' quest'altra pagina di blog con utente fasullo, sempre su blog.it,che propone una diversa sequenza di links
Cliccando su uno dei tanti collegamenti presenti verremo portati su questo sito USA , che, permette che un free account, venga sfruttato per linkare a siti con distribuzione malware
Questa volta il servizio utilizzato per mascherare la reale provenienza della pagina che andremo a visitare, e' ottenuto con 'short url' di jump2(dot)net che viene anche proposto come frame al top della 'solita' pagina di clone Youtube
e che distribuisce, in questo caso, il medesimo eseguibile visto prima, cosa che farebbe pensare ad una fonte comune per la distribuzione del malware.
Per completezza c'e' comunque da rilevare che effettuando una ricerca di pagine dai contenuti dubbi presenti su bloo.it alcuni account, chiaramente fasulli e creati per linkare a malware, appaiono messi offline e questo a fronte di una probabile azione di bonifica anche se non e' certamente facile eseguire un controllo capillare dei nuovi contenuti postati visto l'accesso free al sito.
Edgar
Nessun commento:
Posta un commento