lunedì 12 ottobre 2009

Nuova inclusione di pagine di falso blog su siti .IT (12 ottobre 09)

AVVISO ! Ricordo che anche se i links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!! Si tratta di links anche a files eseguibili malware spesso poco riconosciuti dagli AV.

Una nuova inclusione di pagine che simulano un blog e' presente da qualche ora su alcuni siti .IT come risulta da questa ricerca in rete

Si tratta di un nuovo layout che vediamo in questo screenshot

con in evidenza un player video , in realta' immagine GIF animata, che se cliccata propone questa pagina di cui vediamo dettagli sia del sorgente che del file eseguibile scaricato.


Anche in questo caso si tratta di un nuovo layout molto semplice che presenta solo un bottone che cliccato scarica un eseguibile che simula nel nome un update di plugin flash.
La pagina presenta inoltre una scritta (es. site:.it) che deriva dalle parole chiave introdotte nella ricerca in rete.

Il sito che ospita questa pagina e' hostato su

mentre l'eseguibile (scaricato da sito USA) e' , come succede in questi casi, sempre poco riconosciuto da una analisi VT

Ripetendo l'accesso al player, dopo la prima volta, si viene rediretti invece su questa falsa pagina di motore di ricerca dai risultati poco affidabili , segno di una probabile verifica dell'IP di provenienza.

Come sempre per chi visita i siti compromessi, le pagine del falso blog risulteranno nascoste, dato che lo scopo principale di questo genere di inclusioni, e' sempre quello di creare il maggior numero possibile di links da far comparire ai primi posti dei risultati di una ricerca in rete.
In aggiunta a questo links a queste pagine, hostate gratuitamente sui siti compromessi, possono venire proposti in falsi post su forum, blogs, malis di spam ecc..... sempre con lo scopo di diffonder malware.

Edgar

Nessun commento: