venerdì 29 ottobre 2010

Nuovo SEO poisoning con contenuti malware pericolosi (exploits) ed un caso particolare di Microsoft Security Essential che si esegue in automatico

Attenzione. Questa volta la maggior parte delle pagine linkate presenta exploits o fake av che parrebbe caricarsi ed andare in 'run' in maniera automatica senza interventi dell'utente.
Evitate quindi di seguire i links presenti negli screenshots se non avete preso tutte le precauzioni del caso (sandboxie, noscript ecc....)

Nuovamente una azione di Seo poisoning che colpisce anche siti IT rilevabile da una ricerca i rete

Ci troviamo pero' di fronte oggi ad una serie di links che in buona parte puntano non a fakes Av ma soprattutto ad exploits di vario genere e persino ad una pagina che parrebbe capace di caricare ed eseguire sul PC il noto fake Microsoft Security Essential senza nessun intervento da parte dell'utente.

Raramente mi e' capitato di vedere un simile assortimento di malware concentrato tutto sui medesimi links di Seo poisoning.

Per quanto si riferisce al fake antivirus Microsoft Security Essential si tratta di un comportamento atipico in quanto, almeno dai test effettuati oggi in Windows XP e browser Firefox, se java e' abilitato nel browser, non si propone un download del file ma il caricamento e l'esecuzione avvengono in maniera del tutto automatica, come vedremo poi in dettaglio.

Questa la struttura di uno dei siti esaminati che e' sempre la stessa anche per altri siti compromessi

da cui

ed in particolare esaminando uno dei tanti folder presenti


ed anche

La pagina inclusa nel sito compromesso propone un elenco di links presentati in modo da ricordare i risultati di una ricerca in rete con le relative thumbnails
In realta' anche se tutti i 'risultati' della ricerca sembrano differenti (vedi anche un risultato che si propone come antivirus trendmicro) si tratta dei medesimi links a sito di redirect che redirige poi su vari siti con diverso IP e contenuti malware di ogni genere.


Come premessa all'analisi di alcuni links ricordo che:

Viene fatto uso di referer relativamente alla provenienza dei links di SEO e in alcuni casi anche probabilmente di user-agent

Si nota in molti dei casi esaminati una geo-localizzazione dell'IP del visitatore (es. con IP thai molto spesso si viene solamente rediretti sulla home di Google)

La maggior parte delle pagine linkate risulta praticamente non pericolosa ad una analisi del codice con VT od altri siti di scansione online, compresa anche la pagina che tenta di eseguire in automatico il fake Microsoft Security Essential

Un whois dei siti utilizzati sia per le pagine ma anche per ospitare eventuali eseguibili distribuiti, mostra una grande varieta' di IP coinvolti.

Vediamo ora solo alcune delle tante pagine linkate tramite redirect che propongono una notevole 'raccolta' di malware di tutti i generi:


Falso software AV

Niente di particolare per questa pagina

che tramite fake scanner online

con whois

propone un file

e che VT vede come


Pagina con exploit n.1

Si tratta di pagina che linka tramite iframe

ad exploit che VT vede come

dove si nota che la maggior parte dei pochi software che rilevano il malware sembrerebbero catalogarlo come codice che sfrutta una vulnerabilita' di Windows Help Center

Attraverso una analisi Wepawet abbiamo la conferma della natura pericolosa del codice linkato dalla pagina


Pagina con exploit n.2

Altra pagina con codice malevolo


e whois

che analizzata con Wepawet vede

ed in dettaglio



Pagina con fake av Microsoft Security Essential eseguito in maniera automatica

Premetto che ho testato solo sul browser Firefox ed S.O. Xp che uso di default in Vbox e quindi quanto segue e' da ritenersi valido per la configurazione adottata.

Si tratta di pagina che vediamo nello screenshot


con whois


e che,se attiviamo l'esecuzione del codice java attraverso l'opzione di Noscript, parrebbe caricare in maniera automatica il ben noto Microsoft Security Essential ed eseguirlo

Qui di seguito vedete un tentativo di catturare lo screen relativamente a quanto succede al momento della abilitazione dei codici java sulla pagina visualizzata da browser Firefox (versione 3.5.11) in XP (sp2)




Come si nota dopo un breve intervallo di tempo il browser va in crash e compare la ben nota finestra del fake allerta malware di Microsoft Security Essential senza che ci sia nessuna interazione da parte dell'utente.

Visto che l'esecuzione del browser e' in Sandboxie possiamo notare che dai task attivi abbiamo la conferma del malware in esecuzione e del blocco consueto dei browsers.

Parrebbe quindi che, almeno in alcuni casi (non ho provato su versioni piu' recenti di SO e browser) , chi vuole distribuire il noto Microsoft Security Essential abbia trovato un modo di diffusione sicuramente piu' valido in quanto potrebbe succedere che con un solo click ci si ritrovi il software fake AV installato ed in esecuzione sul PC


In definitiva questa azione di SEO poisoning appare pericolosa in quanto la maggior parte dei link consiste in exploits o comunque nel caso di Microsoft Security Essential rivela la possibilita' in alcune situazioni di eseguire il malware fake AV senza che l'utente abbia autorizzato il download e l'esecuzione del fake antivirus.

Edgar

Nessun commento: