L'uso di mail che potremmo definire di phishing in quanto tentano di copiare layout di siti legittimi, vede coinvolti molto spesso, e sempre con maggior frequenza (vedi quanto riportato dal report Sophos descritto nel post precedente) servizi di Social Network quali ad esempio Facebook o Twitter
Questa una mail ricevuta nella giornata di ieri che risulta essere una fake notifica Twitter e che ,fortunatamente, si limita solo a linkare a noto sito di pharmacy.
I tre link in mail redirigono tutti a questo sito
peraltro gia' segnalato come pericoloso da Google Safe Browsing probabilmente per inclusione di iframe offuscato sulla home
e che contiene incluso in maniera nascosta questo codice di redirect
a sito di Pharmacy, nello specifico il ben noto Canadian Pharmacy
Da notare come gli IP rilevati da uno dei tanti addon Firefox preposti a questo uso, mostrino una lunga serie di valori , cosa che fa pensare anche al consueto utilizzo della tecnica fast-flux per mascherare il reale IP del sito.
In effetti gia' un NSlookup mostra tutte le caratteristiche che parrebbero associare il sito di pharmacy a tecnica fast-flux notando come i tempi TTL ((tempo di vita dello specifico IP dopo il quale l'indirizzo IP viene rinnovato) sono posti a solo 5 minuti, cosa che denota una continua variazione degli IP rilevati da un whois.
Questo l'output di un semplice script Autoit che esegue un whois ciclico sulla URL del sito di pharmacy e che mostra ad intervalli abbastanza regolari la variazione dell'IP rilevato
e che parrebbe coinvolgere anche IP italiano.
Ricordo che l'uso di fast-flux per mascherare il reale IP del sito e' noto da tempo ed utilizzato sia da attacchi malware tramite botnet ma anche in casi di distribuzione di pharmacy.
A conferma di questo consiglio la lettura di un breve post pubblicato da Sophos dal titolo 'Fast-flux pharmacies' che descrive seppur non in maniera approfondita il fenomeno pharmacy in relazione proprio a Canadian Pharmacy e all'uso di IP multipli in fast-flux.
Da notare come si tratti di un post del settembre 2007 , cosa che dimostra come il fenomeno pharmacy sia ormai ben presente in rete con questa tipologia di utilizzo e da parecchio tempo.
Quello che e' cambiato e' probabilmente l'uso di nuovi metodi per diffondere i links tra i quali appunto , anche il coinvolgimento di social network, e chiaramente non solo per linkare a siti che distribuiscono farmaci di dubbia provenienza od affidabilita' ma anche a ben piu' pericolosi codici malware
Edgar
Questa una mail ricevuta nella giornata di ieri che risulta essere una fake notifica Twitter e che ,fortunatamente, si limita solo a linkare a noto sito di pharmacy.
I tre link in mail redirigono tutti a questo sito
peraltro gia' segnalato come pericoloso da Google Safe Browsing probabilmente per inclusione di iframe offuscato sulla home
e che contiene incluso in maniera nascosta questo codice di redirect
a sito di Pharmacy, nello specifico il ben noto Canadian Pharmacy
Da notare come gli IP rilevati da uno dei tanti addon Firefox preposti a questo uso, mostrino una lunga serie di valori , cosa che fa pensare anche al consueto utilizzo della tecnica fast-flux per mascherare il reale IP del sito.In effetti gia' un NSlookup mostra tutte le caratteristiche che parrebbero associare il sito di pharmacy a tecnica fast-flux notando come i tempi TTL ((tempo di vita dello specifico IP dopo il quale l'indirizzo IP viene rinnovato) sono posti a solo 5 minuti, cosa che denota una continua variazione degli IP rilevati da un whois.
Questo l'output di un semplice script Autoit che esegue un whois ciclico sulla URL del sito di pharmacy e che mostra ad intervalli abbastanza regolari la variazione dell'IP rilevato
e che parrebbe coinvolgere anche IP italiano.Ricordo che l'uso di fast-flux per mascherare il reale IP del sito e' noto da tempo ed utilizzato sia da attacchi malware tramite botnet ma anche in casi di distribuzione di pharmacy.
A conferma di questo consiglio la lettura di un breve post pubblicato da Sophos dal titolo 'Fast-flux pharmacies' che descrive seppur non in maniera approfondita il fenomeno pharmacy in relazione proprio a Canadian Pharmacy e all'uso di IP multipli in fast-flux.
Da notare come si tratti di un post del settembre 2007 , cosa che dimostra come il fenomeno pharmacy sia ormai ben presente in rete con questa tipologia di utilizzo e da parecchio tempo.
Quello che e' cambiato e' probabilmente l'uso di nuovi metodi per diffondere i links tra i quali appunto , anche il coinvolgimento di social network, e chiaramente non solo per linkare a siti che distribuiscono farmaci di dubbia provenienza od affidabilita' ma anche a ben piu' pericolosi codici malware
Edgar
Nessun commento:
Posta un commento