Una ricerca in rete porta ad individuare attualmente siti legittimi, anche IT, che presentano uno o piu' sottodomini dai nomi particolari ed identici per diversi siti.
Questo ad esempio un sito IT
che presenta sia un sottodominio csc. ma anche gps. e di cui vediamo in dettaglio i contenuti
Si tratta di decine di folders che a loro volta ospitano un codice htm che redirige su falso scanner AV (attraverso il riconoscimento degli IP di provenienza del visitatore) proponendo alternativamente o questa pagina dai due frame (di cui uno la home di Google)
o questo falso motore di ricerca
Ecco un dettaglio del falso scanner AV online
con la relativa analisi VT
Una attuale ricerca in rete conferma circa 160 pagine presenti ad esempio sul medesimo sottodominio csc.sitolegittimo.org
Questa una parziale ricerca in rete che presenta invece alcuni dei differenti nomi di sottodominio tutti abbastanza particolari, creati utilizzando siti legittimi allo scopo di mettere online pagine con links a fake AV.
Tra l'altro la presenza di questo nuovo genere di attacchi viene evidenziata su questo recente post di http://blog.unmaskparasites.com/2010/05/22/malware-on-hijacked-subdomains-new-trend/ dove si descrivono decine di sottodomini creati attraverso “ hijacked subdomains of legitimate websites”, cosa che potrebbe confermare una nuova tendenza nella distribuzione di links a malware o malware..
L'accesso ai settings dei dns avrebbe permesso la creazione di sottodomini da utilizzare per scopi malevoli.
C'e' anche da dire che i siti IT visti ora sono su IP USA di hosters spesso coinvolti in hacking di massa, distribuzione malware ecc....
Edgar
Questo ad esempio un sito IT
che presenta sia un sottodominio csc. ma anche gps. e di cui vediamo in dettaglio i contenuti
Si tratta di decine di folders che a loro volta ospitano un codice htm che redirige su falso scanner AV (attraverso il riconoscimento degli IP di provenienza del visitatore) proponendo alternativamente o questa pagina dai due frame (di cui uno la home di Google)
o questo falso motore di ricerca
Ecco un dettaglio del falso scanner AV online 
con la relativa analisi VT
Una attuale ricerca in rete conferma circa 160 pagine presenti ad esempio sul medesimo sottodominio csc.sitolegittimo.org
Questa una parziale ricerca in rete che presenta invece alcuni dei differenti nomi di sottodominio tutti abbastanza particolari, creati utilizzando siti legittimi allo scopo di mettere online pagine con links a fake AV.
Tra l'altro la presenza di questo nuovo genere di attacchi viene evidenziata su questo recente post di http://blog.unmaskparasites.com/2010/05/22/malware-on-hijacked-subdomains-new-trend/ dove si descrivono decine di sottodomini creati attraverso “ hijacked subdomains of legitimate websites”, cosa che potrebbe confermare una nuova tendenza nella distribuzione di links a malware o malware..L'accesso ai settings dei dns avrebbe permesso la creazione di sottodomini da utilizzare per scopi malevoli.
C'e' anche da dire che i siti IT visti ora sono su IP USA di hosters spesso coinvolti in hacking di massa, distribuzione malware ecc....
Edgar
Nessun commento:
Posta un commento