Continua in maniera sostenuta la presenza di post con link a malware su forums IT poco o per niente amministrati relativamente ad una distribuzione di file eseguibile descritta pochi giorni fa su questo post
Da notare come, nel caso visto oggi, i messaggi 'fake' vengano uploadati in grande numero
ma alternati a posts con links a sito di pharmacy con whois
e di cui vediamo un dettaglio della homepage
Interessante la cura posta in questa distribuzione relativamente al tentativo, che appare ben riuscito, di eludere la verifica dei contenuti malware del file.Qui vediamo una analisi dei codici hash
per lo stesso file scaricato piu' volte ad intervalli di qualche secondo
dove risulta evidente la continua modifica dei contenuti malwareConseguenza di questo, una analisi VT mostra un molto basso riconoscimento del file eseguibile
con parecchi diffusi softwares Av che parrebbero non rilevare la minaccia (sempre tenendo conto dei limiti di una scansione ON-line On-demand eseguita con VT).Tra l'altro anche questa volta una analisi Anubis mostra un intenso traffico di rete generato da detto malware,cosa che fa' pensare ad una certa pericolosita' dello stesso.
Come succede quasi sempre in questi casi dalle immagini cliccabili presenti sul singolo post
si passa attraverso diversi redirect al sito finale di falsi filmati porno da scaricare, che linka al file eseguibile di cui e' proposto il download necessario per visionare i video.Questa una analisi dei vari redirects usati per arrivare al sito finale di download del file
Da notare come anche questa volta, oltre che da immagini cliccabili si arrivi al falso sito di filmati, attraverso numerosi links testuali inclusi nel post e che puntano a differente sito intermedio porno sempre con contenuti 'fake'Edgar
Nessun commento:
Posta un commento