venerdì 22 ottobre 2010

Inclusione di eseguibili malware su siti IT compromessi (22 ottobre)

Oltre all'inclusione di siti di phishing, di falsi layout di scanner antivirus online, di pagine e kits di SEO poisoning, di pharmacy , ecc... un sito web compromesso puo' risultare utile per ospitare uno o piu' files malware in maniera nascosta ma sempre disponibili per vari utilizzi.
Gia' circa un anno fa in questo post veniva evidenziato come una delle evoluzioni in atto al riguardo della diffusione di eseguibili pericolosi fosse l'uso di siti legittimi per hostare malware o links a malware.
Mentre ovviamente, ci sono ancora casi in cui il malware e' ospitato su siti dannosi, per esempio in Cina, forse uno degli sviluppi tra i piu' importanti e' quello in cui il malware viene adesso ospitato su domini puliti e rispettabili con innegabili vantaggi per chi pratica queste tecniche avendo a disposizione ogni giorno (basta vedere solo il numero dei siti IT compromessi) migliaia di siti dove depositare il file

Vediamo a questo riguardo un sito IT

con whois


che al suo interno nasconde attualmente piu' di un eseguibile malware

ed anche, tra l'altro, presenta visibili alcuni file che potrebbero comunque essere sensibili al riguardo della sicurezza del sito stesso (file di log FTP)

I vari file eseguibili scaricati mostrano tutti un riconoscimento abbastanza buono anche se comunque non tutti tra i piu' noti AV (vedi Panda, Prevx, TrendMicro,F-Prot, ecc....) ad una scansione online di VT rilevano il pericolo, come sempre, tenendo in considerazione i limiti sul riconoscimento malware attraverso una scansione online e non sul pc dove viene scaricato il file (possibile comportamento e risposta Av differente da software eseguito sul personal computer e non in ambiente VT)


Per quanto si riferisce al contenuto dei 3 files eseguibili (dal nome che ricorda la lingua brasiliana) una analisi Anubis mostra che viene stabilita una connessione in rete e precisamente con request :get di file immagine jpg

Chiaramente il file jpg e' tutt'altro che una immagine, ma piuttosto un malware che probabilmente e' ridenominato anche allo scopo di renderlo meno visibile sul sito compromesso dove risiede.

Il file e' hostato infatti su sito cinese probabilmente compromesso appartenente ad associazione di studenti universitari (questa una pagina tradotta con il servizio Google)

e che al suo interno proprio in un folder /images/

ospita questo file web.jpg che risulta essere poco riconosciuto, al momento di scrivere il post, dai piu' noti softwares AV presenti in VT

Edgar

Nessun commento: