Un breve aggiornamento riguardo al sito di radio locale dell'Emilia Romagna (gia' analizzato qui) utilizzato per distribuire links a fake AV attraverso l'inclusione degli stessi in pagine 'legittime'.
A distanza di qualche giorno si nota come i links presenti siano ulteriormente cambiati, dimostrando una gestione tuttora attiva dell'attacco,
e puntano ora a differente sito compromesso
con whois
che provvede tramite il solito script debolmente offuscato
e con successivi redirect
a linkare questo falso scanner online AV (dal consueto layout)
ma anche su questo fake Youtube con contenuti porno che propone il medesimo eseguibile del fake scanner
Questa una analisi VT del file che come sempre risulta quasi sconosciuto ad una scansione on-line
Per quanto si riferisce al sito della radio , pur avendo inviato mail all'indirizzo presente sulla homepage alla voce 'CONTATTI” pare che non sia stata presa nessuna misura al riguardo della bonifica del sito, cosa che potrebbe anche voler significare che la presenza dell'indirizzo mail sulla pagina e' , come succede spesso, a solo scopo 'decorativo'.
Fortunatamente, almeno al momento, non esistono problemi di sicurezza per chi vistasse il sito della radio in quanto i links inclusi sono nascosti al visitatore (vengono proposti solo se l'user agent e' quello di motore di ricerca) ma comunque indicizzati dai motori di ricerca come ad esempio Google
ma anche Bing
Edgar
A distanza di qualche giorno si nota come i links presenti siano ulteriormente cambiati, dimostrando una gestione tuttora attiva dell'attacco,
e puntano ora a differente sito compromesso
con whois
che provvede tramite il solito script debolmente offuscato
e con successivi redirect
a linkare questo falso scanner online AV (dal consueto layout)
ma anche su questo fake Youtube con contenuti porno che propone il medesimo eseguibile del fake scanner
Questa una analisi VT del file che come sempre risulta quasi sconosciuto ad una scansione on-line
Per quanto si riferisce al sito della radio , pur avendo inviato mail all'indirizzo presente sulla homepage alla voce 'CONTATTI” pare che non sia stata presa nessuna misura al riguardo della bonifica del sito, cosa che potrebbe anche voler significare che la presenza dell'indirizzo mail sulla pagina e' , come succede spesso, a solo scopo 'decorativo'.
Fortunatamente, almeno al momento, non esistono problemi di sicurezza per chi vistasse il sito della radio in quanto i links inclusi sono nascosti al visitatore (vengono proposti solo se l'user agent e' quello di motore di ricerca) ma comunque indicizzati dai motori di ricerca come ad esempio Google
ma anche Bing
Edgar
Nessun commento:
Posta un commento