martedì 18 gennaio 2011

Distribuzione malware attraverso forums IT (aggiornamento 18 gennaio)

AVVISO ! Ricordo che anche se alcuni links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso ! Si tratta di links ad eseguibili pericolosi e poco riconosciuti dai softwares AV ma anche ad exploits probabilmente attivi.

Sempre numerosi i forums IT che tramite la pubblicazione di falsi post, di solito con testo ed immagini porno, presentano links a malware di vario genere.
Normalmente una delle categorie di links piu' proposti e quella che redirige su pagine di falsi scanners AV online e relativo eseguibile da scaricare che installera' sul PC una applicazione antivirus fasulla.

Ultimamente si nota comunque un buon numero di questi post, creati su forums IT male o per niente amministrati, che propongono links ad eseguibili malware o pagine con exploits attivi e pericolosi.

E' chiaro che lo scopo finale di chi distribuisce codici pericolosi e', non tanto colpire gli occasionali visitatori dei forum presi di mira, ma piuttosto proporre il post fasullo come risultato di una ricerca in rete, dalla quale venire poi rediretti alle pagine con malware.


E' il caso ad esempio di diversi forum IT, attualmente attivi, che linkano a pagine come questa (dal layout ben noto)

che tenta di far scaricare ed eseguire questo file

poco visto dai softwares AV in VT

Piu' interessante questo forum IT

dove possiamo vedere che, in risposta ad un post legittimo (notare data recente), viene inserito un fake messaggio con i soliti contenuti 'cliccabili' che puntano non al 'consueto' sito di falsi filmati video porno ma a fake motore di ricerca dai contenuti di ''dating' ma non solo

Esaminando uno dei links presenti, e precisamente quello ai files mp3 veniamo portati su questa pagina particolare:

Notiamo come sia visibile una immagine jpeg che simula, anche se in maniera poco dettagliata, una pagina Google, ma ci sia anche un iframe nascosto

che punta a sito locato in

Questa una analisi Wepawet della pagina linkata

che dimostra la presenza di exploits

Questo invece il report VT del fake file SWF evidenziato dall'analisi

Edgar

1 commento:

Edgar Bangkok ha detto...

Ho ricevuto un commento a questo post dove si chiede come contattarmi.
Basta semplicemente che inviate un commento con un vostro indirizzo mail di riferimento, che lo stesso verra' usato per contattarvi.
Naturalmente il commento, onde evitare di rendere pubblica la mail, NON verra' pubblicato sul blog.

Edgar