Evitate quindi di seguire i links presenti negli screenshots se non avete preso tutte le precauzioni del caso (sandboxie, noscript ecc....)
Nuovamente una azione di Seo poisoning che colpisce anche siti IT rilevabile da una ricerca i rete
Ci troviamo pero' di fronte oggi ad una serie di links che in buona parte puntano non a fakes Av ma soprattutto ad exploits di vario genere e persino ad una pagina che parrebbe capace di caricare ed eseguire sul PC il noto fake Microsoft Security Essential senza nessun intervento da parte dell'utente.
Raramente mi e' capitato di vedere un simile assortimento di malware concentrato tutto sui medesimi links di Seo poisoning.
Per quanto si riferisce al fake antivirus Microsoft Security Essential si tratta di un comportamento atipico in quanto, almeno dai test effettuati oggi in Windows XP e browser Firefox, se java e' abilitato nel browser, non si propone un download del file ma il caricamento e l'esecuzione avvengono in maniera del tutto automatica, come vedremo poi in dettaglio.
Questa la struttura di uno dei siti esaminati che e' sempre la stessa anche per altri siti compromessi
da cui
ed in particolare esaminando uno dei tanti folder presenti
ed anche
La pagina inclusa nel sito compromesso propone un elenco di links presentati in modo da ricordare i risultati di una ricerca in rete con le relative thumbnails
In realta' anche se tutti i 'risultati' della ricerca sembrano differenti (vedi anche un risultato che si propone come antivirus trendmicro) si tratta dei medesimi links a sito di redirect che redirige poi su vari siti con diverso IP e contenuti malware di ogni genere.
Come premessa all'analisi di alcuni links ricordo che:
Viene fatto uso di referer relativamente alla provenienza dei links di SEO e in alcuni casi anche probabilmente di user-agent
Si nota in molti dei casi esaminati una geo-localizzazione dell'IP del visitatore (es. con IP thai molto spesso si viene solamente rediretti sulla home di Google)
La maggior parte delle pagine linkate risulta praticamente non pericolosa ad una analisi del codice con VT od altri siti di scansione online, compresa anche la pagina che tenta di eseguire in automatico il fake Microsoft Security Essential
Un whois dei siti utilizzati sia per le pagine ma anche per ospitare eventuali eseguibili distribuiti, mostra una grande varieta' di IP coinvolti.
Vediamo ora solo alcune delle tante pagine linkate tramite redirect che propongono una notevole 'raccolta' di malware di tutti i generi:
Falso software AV
Niente di particolare per questa pagina
che tramite fake scanner online
con whois
propone un file
e che VT vede come
Pagina con exploit n.1
Si tratta di pagina che linka tramite iframe
ad exploit che VT vede come
dove si nota che la maggior parte dei pochi software che rilevano il malware sembrerebbero catalogarlo come codice che sfrutta una vulnerabilita' di Windows Help Center
Attraverso una analisi Wepawet abbiamo la conferma della natura pericolosa del codice linkato dalla pagina
Pagina con exploit n.2
Altra pagina con codice malevolo
e whois
che analizzata con Wepawet vede
ed in dettaglio
Pagina con fake av Microsoft Security Essential eseguito in maniera automatica
Premetto che ho testato solo sul browser Firefox ed S.O. Xp che uso di default in Vbox e quindi quanto segue e' da ritenersi valido per la configurazione adottata.
Si tratta di pagina che vediamo nello screenshot
con whois
e che,se attiviamo l'esecuzione del codice java attraverso l'opzione di Noscript, parrebbe caricare in maniera automatica il ben noto Microsoft Security Essential ed eseguirlo
Qui di seguito vedete un tentativo di catturare lo screen relativamente a quanto succede al momento della abilitazione dei codici java sulla pagina visualizzata da browser Firefox (versione 3.5.11) in XP (sp2)
Come si nota dopo un breve intervallo di tempo il browser va in crash e compare la ben nota finestra del fake allerta malware di Microsoft Security Essential senza che ci sia nessuna interazione da parte dell'utente.
Visto che l'esecuzione del browser e' in Sandboxie possiamo notare che dai task attivi abbiamo la conferma del malware in esecuzione e del blocco consueto dei browsers.
Parrebbe quindi che, almeno in alcuni casi (non ho provato su versioni piu' recenti di SO e browser) , chi vuole distribuire il noto Microsoft Security Essential abbia trovato un modo di diffusione sicuramente piu' valido in quanto potrebbe succedere che con un solo click ci si ritrovi il software fake AV installato ed in esecuzione sul PC
In definitiva questa azione di SEO poisoning appare pericolosa in quanto la maggior parte dei link consiste in exploits o comunque nel caso di Microsoft Security Essential rivela la possibilita' in alcune situazioni di eseguire il malware fake AV senza che l'utente abbia autorizzato il download e l'esecuzione del fake antivirus.
Edgar
Visto che l'esecuzione del browser e' in Sandboxie possiamo notare che dai task attivi abbiamo la conferma del malware in esecuzione e del blocco consueto dei browsers.
Parrebbe quindi che, almeno in alcuni casi (non ho provato su versioni piu' recenti di SO e browser) , chi vuole distribuire il noto Microsoft Security Essential abbia trovato un modo di diffusione sicuramente piu' valido in quanto potrebbe succedere che con un solo click ci si ritrovi il software fake AV installato ed in esecuzione sul PC
In definitiva questa azione di SEO poisoning appare pericolosa in quanto la maggior parte dei link consiste in exploits o comunque nel caso di Microsoft Security Essential rivela la possibilita' in alcune situazioni di eseguire il malware fake AV senza che l'utente abbia autorizzato il download e l'esecuzione del fake antivirus.
Edgar
Nessun commento:
Posta un commento