AVVISO ! Ricordo, come sempre, che anche se i links sono in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc..
Moodle (acronimo di Modular Object-Oriented Dynamic Learning Environment) e' una piattaforma web open source, scritta in PHP, per l'e-learning ( Course Management System).
E' stato progettato per aiutare gli insegnanti e gli educatori a creare e gestire corsi on-line con ampie possibilita' di interazione tra studente e docente e la sua licenza libera e la progettazione modulare consentono alla comunita' di sviluppare di continuo funzionalita' aggiuntive. (fonte Wikipedia)
Anche parecchi siti universitari, istituti e scuole italiane sembra che abbiano adottato questo software di gestione di corsi online che se da un lato presenta valide caratteristiche pare pero' soffrire dei medesimi problemi visti per i forum.
In pratica vengono creati profili personali 'fake' (questo un attuale esempio)
con il solo scopo di inserire codice che propone immagini e links a siti in preferenza cloni porno di Youtube con allegato il solito malware sotto forma di codec video o setup di player multimediale.
Questa volta le pagine linkate , trovate con una ricerca in rete, propongono un differente layout rispetto alla ben nota pagina clone di Youtube e linkano ad un file eseguibile malware modificato piu' volte sia come nome del file che contenuti nelle ultime 24 ore
Ecco alcuni dettagli:
Questa la pagina di un profilo utente Moodle su sito di Universita' italiana
mentre in questo dettaglio la parte della pagina che mostra sia data attuale di creazione del falso profilo che alcuni links ad altri siti Moodle sia italiani che esteri.
Come sempre, il sistema adottato da chi crea queste pagine e' quello di predisporre links a malware (di solito attraverso immagini cliccabili) ma anche collegamenti ad altri siti Moodle con simili contenuti e questo per fare si che il motore di ricerca indicizzi il maggior numero possibile di links ai files eseguibili distribuiti.
Di solito i links puntano al malware attraverso diversi redirect che garantiscono, oltre che ad una migliore 'affidabilita' della distribuzione in quanto collegamenti non associabili a malware da parte del motore di ricerca, anche la possibilita' di variare in tempo reale quello che si vuole proporre al visitatore(pharmacy, dating, ma anche fake AV o malware trojan … ecc...)
Analizzando i links ad altri siti Moodle presenti nella pagina vista ora possiamo trovare questo collegamento ad ulteriore sito IT
ma anche a differenti siti Moodle europei
e non (es.Taiwan)
In ogni caso si nota sempre il medesimo layout su tutte le pagine analizzate.
Seguendo i links proposti abbiamo l'evidenza del riconoscimento dell'IP di chi visita il sito; ecco infatti che con IP thai si viene trasferiti sulla homepage di Google in lingua thailandese.
Simulando invece tramite proxy un IP 'italiano' ecco la pagina del fake sito di filmati porno , dal layout estremamente curato
che nella giornata di ieri proponeva
con analisi VT
mentre questa mattina (15/12) abbiamo
che risulta meno riconosciuto del malware proposto il 14 dicembre
In ogni caso si tenta di simulare la mancanza di un player FLV sul pc da colpire e si propone il download dell'eseguibile pericoloso.
Un whois che nella giornata di ieri identificava il sito di fake player come su server canadese in data odierna evidenzia il sito del fake player hostato su server USA.
Edgar
Anche parecchi siti universitari, istituti e scuole italiane sembra che abbiano adottato questo software di gestione di corsi online che se da un lato presenta valide caratteristiche pare pero' soffrire dei medesimi problemi visti per i forum.
In pratica vengono creati profili personali 'fake' (questo un attuale esempio)
con il solo scopo di inserire codice che propone immagini e links a siti in preferenza cloni porno di Youtube con allegato il solito malware sotto forma di codec video o setup di player multimediale.
Questa volta le pagine linkate , trovate con una ricerca in rete, propongono un differente layout rispetto alla ben nota pagina clone di Youtube e linkano ad un file eseguibile malware modificato piu' volte sia come nome del file che contenuti nelle ultime 24 ore
Ecco alcuni dettagli:
Questa la pagina di un profilo utente Moodle su sito di Universita' italiana
mentre in questo dettaglio la parte della pagina che mostra sia data attuale di creazione del falso profilo che alcuni links ad altri siti Moodle sia italiani che esteri.
Come sempre, il sistema adottato da chi crea queste pagine e' quello di predisporre links a malware (di solito attraverso immagini cliccabili) ma anche collegamenti ad altri siti Moodle con simili contenuti e questo per fare si che il motore di ricerca indicizzi il maggior numero possibile di links ai files eseguibili distribuiti.
Di solito i links puntano al malware attraverso diversi redirect che garantiscono, oltre che ad una migliore 'affidabilita' della distribuzione in quanto collegamenti non associabili a malware da parte del motore di ricerca, anche la possibilita' di variare in tempo reale quello che si vuole proporre al visitatore(pharmacy, dating, ma anche fake AV o malware trojan … ecc...)
Analizzando i links ad altri siti Moodle presenti nella pagina vista ora possiamo trovare questo collegamento ad ulteriore sito IT
ma anche a differenti siti Moodle europei
e non (es.Taiwan)
In ogni caso si nota sempre il medesimo layout su tutte le pagine analizzate.
Seguendo i links proposti abbiamo l'evidenza del riconoscimento dell'IP di chi visita il sito; ecco infatti che con IP thai si viene trasferiti sulla homepage di Google in lingua thailandese.
Simulando invece tramite proxy un IP 'italiano' ecco la pagina del fake sito di filmati porno , dal layout estremamente curato
che nella giornata di ieri proponeva
con analisi VT
mentre questa mattina (15/12) abbiamo
che risulta meno riconosciuto del malware proposto il 14 dicembre
In ogni caso si tenta di simulare la mancanza di un player FLV sul pc da colpire e si propone il download dell'eseguibile pericoloso.
Un whois che nella giornata di ieri identificava il sito di fake player come su server canadese in data odierna evidenzia il sito del fake player hostato su server USA.
Edgar
Nessun commento:
Posta un commento