AVVISO ! Ricordo che anche se alcuni links relativi al redirect su sito moldavo sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!! Si tratta di exploits ed eseguibili malware al momento attivi e pericolosi.
Ricevuta mail che potremmo definire sia come phishing Facebook ma anche come spam dei piu' noti, ossia a sito di pharmacy.
Infatti, abbiamo la presenza di un layout che imita nella grafica quella tipica di Facebook e quindi potrebbe essere riconducibile ad azione di phishing (inteso come uso di un layout clone di reale sito) ma d'altronde in questo caso lo scopo e''solo' quello di linkare a pharmacy , cosa che fa catalogare questa mail tra quelle classiche di spam di viagra e derivati.
Ecco la mail
che tenta di incuriosire chi la riceve, specificando che ci sono informazioni che ci riguardano , sulla pagina Facebook di chi ha inviato il messaggio.I links presenti in mail puntano tutti in realta' a sito di redirect con whois usa
che a sua volta linka a questo notissimo layout di sito di pharmacy 
con whois cinese
La mail parrebbe inviata tramite server il cui IP polacco, risulta elencato in rete come fonte di messaggi di spam che simulano una provenienza legata a Facebook.
Che si tratti comunque di azioni che sono gestite da personaggi coinvolti nella distribuzione non solo di links a siti dubbi ma anche a codici pericolosi lo dimostra questa ulteriore analisi.Se infatti andiamo ad esaminare la homepage del sito che supporta il redirect
notiamo la presenza di un codice java debolmente offuscato che decodificato
mostra un link a sito con whois
decisamente pericoloso.Sul sito moldavo sono infatti presenti diversi files e codici malevoli (exploit) alcuni dei quali analizziamo:
E' presente ad esempio questo fake file pdf
ma anche questo eseguibile di cui viene proposto il download
che VT vede poco riconosciuto
Edgar
Nessun commento:
Posta un commento