Il tentativo di proporre links a malware, molto spesso a fake AV, e' sempre molto presente in rete ed utilizza diversi sistemi per diffondere gli indirizzi a siti web pericolosi.
Tra i vari metodi utilizzati abbiamo l'inclusione di links nascosti in pagine legittime di siti web compromessi, l'inclusione di Kit di Seo poisoning su siti compromessi, l'uso di forum e guestbooks e non ultima la possibilita' di postare commenti, molto spesso senza particolari verifiche e restrizioni, direttamente da form sulla pagina web che propone l'articolo di news.
Ecco come appare, attraverso la ricerca in rete, una pagina relativa ad articolo non recente, ma con decine di commenti inseriti in data odierna, sul sito di uno dei piu' noti quotidiani italiani.
Come si vede nel dettaglio sono centinaia i links proposti , anche se non cliccabili direttamente, ma comunque al momento tutti attivi.
Questo il semplice form che appare sulla pagina per permettere l'inserimento di un nuovo commento.
Chiaramente non e' credibile che ci sia qualcuno che , a mano, abbia postato migliaia di commenti in parte con links malevoli, e che attualmente continui ad aggiungerne, ma piuttosto l'inserimento degli stessi avvenga attraverso procedura automatica.Possiamo notare come dal 31 marzo 2010 il sito, ed in particolare questa specifica news, entri nelle attenzioni di chi gestisce la diffusione online di links malevoli o comunque a siti di dubbia attendibilita'
ed inizi a presentare links inclusi nei commenti, nel caso specifico a pharmacy.A partire da marzo ed aumentando di numero, i post giornalieri inizieranno a proporre i piu' diversi link sino ad arrivare alla situazione attuale che procede con numerosi post all'ora.
Per completezza c'e' da rilevare che, almeno al momento, parrebbe essere presente solo un articolo di news con linkati centinaia di commenti a malware ed inoltre su recenti articoli di news la possibilita' di commentare la notizia non sembra attiva.
Vediamo ora una analisi dei links presenti:
Si tratta di collegamenti a falsi profili utente su siti di BBS , forums ecc...
con links che a sua volta provvedono ad una serie di redirects (da notare anche l'uso di servizi di shortening URL - cjb.com)
sino al sito finale che distribuisce il malware.Questo e' ad esempio un falso sito di filmati porno online hostato su
che propone un layout ben noto
ma un eseguibile, probabile fake Av, assolutamente poco conosciuto, dimostrando che si tratta di una distribuzione attuale ed aggiornata, anche se attraverso l'uso di vecchio layout.L'analisi VT vede infatti il file praticamente sconosciuto ai piu' diffusi softwares AV
Che sia in corso sulla rete un vasto tentativo di distribuzione di eseguibili malware lo possiamo notare da un altro particolare.Se esaminiamo infatti i contenuti di attuali forum IT utilizzati per diffondere, attraverso falsi post, links pericolosi, troviamo ad esempio questo collegamento a (range IP molto attivo ultimamente)
che propone
Il file scaricato , anche se con nome diverso presenta strette analogie (dimensioni ed icona) proprio con i files scaricati dal sito linkato da commenti sul quotidiano IT visto prima.
Anche l'analisi VT vede il file praticamente sconosciuto agli Av riconfermando , pure questa volta, gli stretti legami tra le attuali e varie distribuzioni di fake AV in rete
Edgar
Nessun commento:
Posta un commento