AVVISO IMPORTANTE! Ricordo che anche se alcuni links ed indirizzi IP sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso ! Si tratta di pagine e siti dai contenuti poco affidabili (possibile presenza di malware, exploit ecc....) che vanno quindi visitati solo se si conosce quello che si sta facendo.
Sempre molto attivo l'utilizzo di falsi post su forum per azioni di SEO poisoning volte a creare decine se non centinaia di risultati di ricerca che puntano a pagine con links ad eseguibili malware.
Interessante notare come si faccia ampiamente uso di siti di alias che abbiamo gia' visto, e vedremo anche in questo caso, essere utilizzati ad esempio anche per azioni di phishing ai danni di PosteIT.
Questo il forum IT dove vediamo un recente post con i relativi links
e centinaia di parole 'chiave' utili per una indicizzazione da parte dei motori di ricerca
I collegamenti presenti sfruttano questo sito PL di alias
che molto probabilmente, analizzando alcuni dei nomi di alias creati, e' gia' stato utilizzato o lo e' attualmente, per azioni di phishing ai danni di poste IT:
La pagina referenziata dall'alias
e' presente su sito (creato recentemente) con whois EST-europeo
e propone un links a questo eseguibile malware
poco riconosciuto
Da notare come nella serata di ieri il riconoscimento fosse leggermente piu' elevato segno che il source malevolo viene costantemente aggiornato.
A riprova di questo anche una analisi VT seguita dopo qualche minuto dal primo 'download' mostra differente hash code segno di un tentativo di rendere il malware poco riconoscibile dai softwares AV.
Un reverse IP
mostra inoltre che sullo stesso IP del sito che linka al malware, si trova una lunga serie di siti dai nomi e dai contenuti che sono in linea con l'attuale distribuzione di codici pericolosi.
Si tratta di siti che propongono softwares od eseguibili keygen che analizzati presentano molto spesso contenuti comunque malevoli.
Edgar
Nessun commento:
Posta un commento