giovedì 17 dicembre 2009

Ancora links a malware attraverso codici inclusi in siti .IT e Telligent Community (agg.17.12)

AVVISO ! Ricordo che anche se i links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati e/o scaricare files eseguibili, se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!! Si tratta di pagine con di links anche a files eseguibili spesso poco riconosciuti dagli AV.

Ancora links a pagine clone di Youtube con contenuti porno e che propongono per la visione dei filmati ( solo immagini che simulano un player video)

un eseguibile che si presenta come install di flash player

Vediamo alcuni dettagli che dimostrano come , in questo particolare caso siano coinvolti siti sviluppati attraverso l 'uso di Telligent Community
(Telligent Community is a community and collaboration software product developed by Telligent Systems. It consists of the Telligent Evolution platform, with a variety of core applications running on top of it such as blogs, forums, media galleries, and wikis) (fonte Wikipedia)

Questo un sito Comunita' Italiana sullo sviluppo Mobile in ambiente Microsoft

che presenta, attraverso una ricerca in rete, pagine come questa

In realta' analizzando il codice della pagina si scopre che il source e' composto sia dal frammento di codice che vediamo

che si occupa di visualizzare e linkare al sito che effettuera' il redirect sul falso Youtube, ma anche dal codice relativo a questo layout (reso nascosto dal codice del falso login visto sopra)


e che dimostra come si tratti in realta', di una pagina relativa ad un account di un member della comunity.

Potrebbero infatti, essere stati creati account (forse anche in maniera legittima o sfruttando qualche problema derivato es. da cattiva configurazione ecc....) da utilizzare per proporre pagine opportunamente modificate (dal codice incluso) che visualizzerebbero cosi' solo il 'login' al sito porno.

In ogni caso un esame della 'Site activity" della Community presenta un lungo elenco di Members recenti che , se cliccati, puntano alla pagina di login al sito porno ma anche ad altre pagine di dubbia affidabilita' (fakes search ecc......)


La cosa interessante e' che se esaminiamo la parte finale del codice incluso che crea il form di falso loging

troviamo alcuni links ad altrettanti siti sviluppati sempre attraverso l'uso di Telligent Community tra cui ad esempio quello di un produttore di noto software per disegno 3D che presenta lo stesso problema.



Questo invece un dettaglio della home del sito coinvolto



Tutti questi siti parrebbero presentare (es. quello della casa produttrice di software 3d) il medesimo codice che propone la pagina di login, in realta' una immagine hostata su Tinypic.com con links a sito che effettua il redirect sul falso Youtube.(attraverso vari redirect su siti Est Europei)

Altri siti coinvolti sono ad esempio questo

che presenta pero' differente layout di pagina, per cosi' dire, di login ....

Faccio notare che effettuando il 'login' proposto senza utilizzare un proxy che simuli IP di provenienza ad esempio italiana, succede solamente un redirect su Google (nel mio caso trovandomi in Thailandia su google Thailand)
La cosa che accomuna tutti i siti visti ora e' comunque l'uso di Telligent Community come ambiente di sviluppo (notare il folder members presente in numerosi links)

Per quanto si riferisce al malware linkato si tratta , come succede sempre piu' spesso, di codice poco riconosciuto dai software presenti in una analisi VT


(tenendo sempre presente i limiti che una analisi On-line On-demand potrebbe comunque avere (es risposta diversa da una analisi attraverso software Av che girasse sul PC e non online ... ecc....)

Edgar

Nessun commento: