venerdì 3 giugno 2011

Un altro 'aggressivo' falso antivirus distribuito attualmente anche da siti .IT compromessi. Alcuni approfondimenti (3 giugno)

Nel precedente post, ed anche in alcuni dei giorni scorsi, abbiamo visto come la tecnica di inclusione di codici all'interno di siti legittimi ed in maniera nascosta, sia molto attiva e porti a linkare in preferenza false applicazioni antivirus.

Non si tratta delle tradizionali applicazioni di fake AV visite in passato che, a parte produrre qualchee falso messaggio di presenza malware, erano bonificabili dal PC abbastanza facilmente, ma di programmi curati nei minimi dettagli sia come layouts proposti, che come azione che possiamo definire 'aggressiva' suPC colpito (blocco dei browsers, della navigazione internet, delle applicazioni quali task manager, ecc....) ed inoltre con codici continuamente aggiornati allo scopo di eludere eventuali controlli da parte dei reali AV.

Alla base di queste distribuzioni 'in tempo reale, c'e' l'utilizzo, come abbiamo visto di tecniche di SEO poisoning che rendono le ricerche in rete sempre piu' soggette a rischi da parte di chi seguisse i links sia testuali che immagine proposti es da Google.

Sia che si tratti di pagine statiche HTML incluse nel sito compromesso che di pagine generate al momento in ogni caso abbiamo sempre un sistema che garantisce il redirect (o piu' redirects) che puntano nei casi odierni a falsi scanner AV che a loro volta distribuiscono la 'rogue application' AV.

Come si puo' pensare, e' essenziale che per una azione continuata nel tempo, il falso AV cambi spesso sia il codice ma anche l'indirizzo internet di distribuzione del file (garanzia di evitare black-listing del dominio usato ecc....) cosa che possiamo verificare utilizzando uno script gia' usato nei giorni scorsi nell'analisi di casi di phishing.
L'unica differenza e' stata una aggiunta al codice per far accettare anche un 'referer' allo scopo di simulare l'accesso alla pagina inclusa come se si provenisse da una ricerca Google.

In altre parole se apro un link a pagina inclusa da browser vedro' solo il layout della pagina

mentre se invio insieme alla richiesta anche un referer ( es come 'google.com' ) verra' attivato lo script relativo al redirect al fake sito di scanner AV.

In pratica abbiamo passato allo script questo elenco di URLS di indirizzi di pagine incluse che sono ospitate sia sul sito visto questa mattina che su altri 2 (sempre stesso range IP di hoster ligure)

ed abbiamo attivato un referer 'google.com'

ottenendo, scansionando gli indirizzi web in questione ad intervalli di 10 minuti, questo report che vediamo relativamente ad uno dei 3 domini analizzati:

Come si nota, riassumendo parte dei risultati, esiste una variazione molto frequente (circa ogni 50... 60 minuti) e tuttora attiva, sia della url che del dominio linkato a cui punta lo script scaricato dall'applicazione Autoit.

Altra particolarita' e' che, sia per pagine indicizzate gia' da qualche mese o piu'


che per quelle catalogate dal crawler del motore di ricerca da pochi minuti


, il dominio che punta al fake AV risulta sempre essere aggiornato, indipendentemente dalla data della pagina inclusa, situazione che permette quindi anche alle pagine piu' 'datate', di linkare comunque siti malware attuali.

Purtroppo non avendo evidentemente accesso ai contenuti del sito e/o al server colpito non e' possibile verificare meglio come vengano attuate queste continue variazioni degli indirizzi coinvolti nella distribuzione del malware.(presenza di kit SEO inclusi, codici modificati da remoto ...ecc...)

Quella che comunque e' certa, e' la presenza di centinaia di riferimenti a pagine incluse per singolo dominio, trovati da una ricerca in rete.

Queste ad esempio le righe di dettaglio di un molto parziale report relativo ai risultati di una ricerca Google sempre sul sito IT compromesso visto questa mattina (ogni riga corrispponde a una pagina visualizzata).

Edgar

Nessun commento: