mercoledì 1 settembre 2010

Distribuzione di fake Av attraverso siti IT compromessi. (agg. 31 agosto – 1 settembre)

AVVISO ! Ricordo che anche se alcuni links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!! Si tratta di links ad eseguibili poco riconosciuti dai reali softwares AV.

In questo recente post avevamo visto un sito compromesso su noto hoster IT, che presentava codici inclusi che in maniera automatica, tramite una serie di siti intermedi, puntavano a fake AV, sotto forma di install di player video. Era stato anche anche analizzato il codice che si era dimostrato un falso antivirus , tra l'altro disponibile anche in lingua italiana.

Una ulteriore analisi partendo dalle urls del sito compromesso (stessa struttura della url indicizzata da Google e riferimenti a parole chiave simili nella ricerca)

ha permesso di isolare un buon numero di siti .IT (notare alcuni allerta Google al riguardo del possibile sito pericoloso)

sempre sul medesimo range appartenente all'hoster visto in precedenza

Pur non escludendo che anche altri hoster IT siano coinvolti al momento la ricerca odierna vede coinvolti questi IP:

mentre per quanto si riferisce ai contenuti, si tratta di siti che variano ad esempio da portale scolastico toscano

sino a sito di importante Diocesi del Centro Italia

Questa una lista parziale delle url trovate da Google per il medesimo indirizzo web che dimostra l'elevato numero di links creati

Ecco invece una scansione effettuata con tool Autoit che crea una visualizzazione ad albero dei risultati della ricerca

e

C'e' anche da sottolineare che le date presenti sui risultati Google variano , nei casi esaminati , da inizio agosto sino ad ieri confermando una probabile costante attivita' di 'aggiornamento' dei siti colpiti con nuovi codici di redirect.

Tra l'altro esaminando quanto registrato nel DB che memorizza i dettagli dei vari post pubblicati sul blog, si nota come il medesimo sito visto il 29 agosto che sfruttava fake player sulla url indicata

ora rediriga, come tutti gli altri odierni su differente indirizzo web , comunque sempre sul medesimo dominio


Questo e possibile in quanto chi gestisce queste distribuzioni malware, sfrutta i numerosi redirect per modificare la destinazione finale a cui puntare, potendo cosi' variare i contenuti distribuiti sia come malware proposto che come layouts di pagina che vengono presentati ai 'visitatori” (da notare il REFERER al sito compromesso passato dai vari redirect)

Come detto in precedenza chi cliccasse su uno dei risultati proposti da Google verrebbe reindirizzato direttamente sul fake player senza minimamente accorgersi di dove siano ospitati i codici di redirect (i vari siti compromessi)

L'analisi VT del file proposto vede praticamente una identica situazione a quella del 29 agosto (file eseguibile analizzato qui) senza che il numero di AV che individuano la minaccia sia aumentato

Come sempre, chi visitasse i siti compromessi, senza passare attraverso gli specifici risultati Google visti ora, non corre nessun pericolo, in quanto e' proprio nell'interesse di chi distribusce il fake AV, rendere nascosti ai visitatori del sito e a chi lo gestisce, i contenuti malevoli.

Questo significa anche che, probabilmente, i codici di redirect visti ora rimarranno inclusi all'interno dei siti colpiti, per diverso tempo in quanto ben difficilmente qualcuno si ….accorgera' …. della loro presenza.

Edgar

Nessun commento: