martedì 23 marzo 2010

Utilizzo di links a fake Av tramite post in forum IT male o per niente amministrati.(aggiornamento)


Oltre ai links presenti in pagine, spesso nascoste, all'interno di siti legittimi e che vengono indicizzati dai motori di ricerca per linkare, chi seguisse i risultati di una ricerca, a malware, fake AV , pharmacy, ecc.... esiste anche una tecnica simile che consiste nel generare migliaia di post 'fasulli' , su forum male o per niente amministrati.

Ecco una odierna ricerca in rete che dimostra come questo forum IT venga utilizzato per questi scopi

ed ecco un dettaglio della lista degli ultimi post dove notiamo sia la data odierna, il notevole numero di nuovi posts tutti con 'oggetto' di carattere porno, creati in maniera praticamente continua,

cosa dimostrata anche consultando le statistiche relative ai singoli users, dove notiamo come l'inserimento di nuovi posts avvenga senza interruzioni nelle 24 ore

Cosa piu' preoccupante e' invece che risultano alcuni post che sono stati visitati piu' volte, con la possibilita' che qualche utente internet abbia potuto seguire i links proposti e cadere vittima di un download di fake AV

Questo, nel dettaglio, un post 'tipo' dover possiamo notare la data odierna

Cliccando su una delle immagini 'porno' proposte , se l'esecuzione degli script java e' abilitata nel browser, si viene direttamente portati sul falso scanner online.

In realta' vengono effettuati diversi redirect

che coinvolgono differenti IP

Abbiamo redirect su IP tedesco passando per IP taiwanese e per terminare su IP turco, dove e' presente il fake scanner.

Si tratta, nella maggior parte, di redirect che sfruttano, o siti legittimi compromessi, o,come in questo caso, anche servizi free di hosting creando pagine utilizzate allo scopo.

Il risultato finale e' questo fake scanner online Av

che distribuisce l'ennesimo falso antivirus, sempre poco visto da una analisi VT.


Edgar

Nessun commento: