venerdì 20 novembre 2009

Flash-HQ-plugin.xxxxxxx.exe Una distribuzione di malware su 'vasta scala' utilizzando siti IT

AVVISO ! Ricordo che anche se i links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!! Si tratta di pagine con di links anche a files eseguibili spesso poco riconosciuti dagli AV.

Da qualche giorno sono apparse in rete diverse notizie sull'utilizzo di falsi layout di blog, per linkare a malware e false applicazioni AV, cosa comunque non nuova in quanto gia' rilevata da parecchio tempo, e di cui ho scritto in molti post su questo blog.

Contemporaneamente a questo, appare evidente anche l'uso di altri sistemi per diffondere links a malware attraverso falsi post in forum male o per niente gestiti da chi li ha creati, oppure links nascosti in pagine di utenti fasulli su servizi di free blog online, od ancora con migliaia di links inclusi in siti web.

Il file 'piu' distribuito al momento e' Flash-HQ-plugin.45047.exe (anche con diverse varianti nel nome del file) che vediamo quasi sconosciuto ad una analisi VT


La cosa piu' evidente e' comunque il sistema adottato per linkare a questo eseguibile che sembra proporre una 'regia' comune a questa distribuzione malware.

Vediamo alcuni interessanti dettagli:

Questo e' uno dei post odierni, su forum ospitato su sito di rappresentanza regionale di noto sindacato italiano:

Come vediamo sono presenti numerosi post continuamente aggiornati , con falso player video piu' alcune immagini porno cliccabili, tutte che puntano a

Si tratta di un falso player che tenta di scaricare l'eseguibile Flash-HQ-plugin.45047.exe.

Non c'e' da meravigliarsi se il medesimo file viene linkato da altri forum IT, male o per niente gestiti (sembra che chi amministra questi siti dopo la creazione dei forum se ne sia completamente dimenticato)

Questa la situazione (quasi paradossale) di un forum su sito collegato a 'diocesi' italiana,

che vediamo aggiornato in tempo reale con post contenenti lo stesso layout di quello visto prima sul sito del sindacato.


Anche in questo caso, per chi visitasse anche solo per sbaglio il forum e seguisse i links proposti, (notare che sono comunque ben presenti i links sui risultati Google) abbiamo il medesimo player video che linka allo stesso file , ma questa volta distribuito da differente host e con diverso layout , come si nota dallo screenshoot.

Ma, Flash-HQ-plugin.xxxxx.exe (xxxx = a diverso valore numerico) non e' certo solo distribuito attraverso falsi POST.
Vediamo qui una delle tante pagine create su Myblog.it , solo allo scopo di diffondere links a malware
che tratta di argomenti attuali (es. in questo caso l'Unione Europea) e che al suo interno presenta migliaia di collegamenti

a pagine come questa

che, non c'e' da meravigliarsi, puntano nuovamente ad un falso player su diverso sito, ma che linka sempre al medesimo file mascherato, nel nome, da plugin Flash.

Gia' a questo punto delle ricerche , risulta chiara la fonte di Flash-HQ-plugin.xxxxx.exe ed anche la 'volonta' di distribuire su 'vasta scala' questo eseguibile, ma non e' finita....

Proviamo infatti a vedere i contenuti di questo sito IT che si occupa di 'Assistenza sociale” attivando pero' un USER AGENT come Googlebot. (in pratica simuliamo 'la visita' di Google al sito per indicizzarne i contenuti da proporre in ricerca)


Ecco apparire quasi 3.000 links all'interno del source della home,

che puntano tutti a questo player con diverso layout, rispetto a quelli visti prima

ed hostato in

Niente di nuovo anche in questo caso, poiche' da una analisi del source risulta evidente che e' nuovamente presente un link a Flash-HQ-plugin.

Questa volta con differente stringa numerica nel nome del file ma comunque sempre visto al medesimo modo da una analisi VT


Concludendo, abbiamo al momento centinaia di links che tramite falsi post, o con links inclusi in myblog o con links comunque presenti in siti IT compromessi , puntano tutti all'eseguibile Flash-HQ-plugin.....exe che per di piu' e' quai per niente rilevato da VT

Il contenuto del file, viene riconosciuto per ora da sole due applicazioni Av come generico Packed file senza pero' evidenziarne la natura.
In ogni caso sembra che l'eseguibile abbia capacita 'Downloader' vista anche una analisi Anubis del file

Edgar

Nessun commento: