giovedì 12 novembre 2009

Distribuzione malware Koobface attraverso Blogger.com

AVVISO ! Ricordo che anche se i links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!! Si tratta di pagine con di links anche a files eseguibili spesso poco riconosciuti dagli AV.

In un post pubblicato ieri Dancho Danchev propone alcuni aggiornamenti sullo stato attuale della distribuzione in rete di malware Koobface.

Nel post viene analizzata lanche la diffusione dell'eseguibile malware in particolare attraverso l'uso di successivi redirect che passando per il sito di URL shortening bit.ly puntano a blogs Blogspot creati in maniera automatica per diffondere sia malware che falsi scanner AV.

Una analisi con webscanner degli indirizzi Blogspot coinvolti mostra che la quasi totalita' di quelli indicati nel post di Danchev e attiva'.( report eseguito alle 15.50 ora thai (-6 H per l'Italia)).

Esaminando il layout delle pagine Blogspot create con lo scopo di lnkare ad eseguibili malware si evidenzia come, indipendentemente dall'uso di redirect tramite bit.ly le stesse abbiano una certa pericolosita' anche per chi eseguisse ricerche in rete.

Questi infatti alcuni degli “argomenti' trattati (nel dettaglio alcuni dei titoli dei falsi blogs )


Come si vede sono tutte notizie recentissime (es La visita di ieri della Merkel in Francia, L'incidente navale tra Corea del Sud e del Nord , ecc....)) che potrebbero portare chi esegue una ricerca in rete ad aprire il blog relativo.

Il problema e' che, in maniera del tutto automatica , se gli script sono attivi, si viene rediretti su siti contenenti al loro interno links a false pagine con layout facebook, gia' viste in gran numero in passato, che distribuiscono l'eseguibile malware.

In dettaglio analizzando uno dei tanti blog blogs con Wepawet rileviamo:

Uno dei due links punta a questo falso scanner AV

che distribuisce questo eseguibile , poco visto da VT

Il secondo link, che e' quello che si attiva visitando il blog, punta invece a pagine come questa

che in maniera automatica redirigono su

Si tratta di layout gia' visti che tentano di scaricare il file setup.exe, fatto passare come Adobe Flash Player, ma che in realta' e' un file eseguibile malware Kobface:


Da notare come una analisi VT mostri notevoli variazioni nel numero dei softwares AV che riconoscono la minaccia, anche su files scaricati ad intervalli di pochi minuti uno dall'altro.

Edgar

Nessun commento: