sabato 24 agosto 2013

Distribuzione malware e pharmacy attraverso forum IT (24 agosto)

Anche se forse in quantita' minore rispetto a  quanto rilevato in passato, sono sempre presenti online forum poco o per niente amministrati che vengono utilizzati per proporre links a malware (di solito attraverso fake siti porno) o links a pharmacy.

Ad esempio, questo forum IT


che propone post aggiornati ad oggi (24 agosto) con links di vario genere.

Seguendo uno dei tanti links presenti nei post veniamo rediretti a sito che a sua volta punta a


Si tratta di un ben noto layout di fake sito porno dove tutte le immagini proposte come links a filmati attivano in realta' il download di file eseguibile.
Notate come l'url che linka al file permetta di creare un nome qualsiasi di file exe che andremo a downloadare


Una analisi VT mostra riconoscimento quasi nullo per i contenuti malevoli


con, in dettaglio


Un whois del fake sito porno mostra IP in range gia' visto da tempo in casi di distribuzione malware.


Sempre lo stesso forum presenta posts che puntano a contenuti di pharmacy aggiornati.

Ad esempio un link a pagina hostata su server FR


che a sua volta linka a questa pagina di vendita online di medicinali su IP tedesco:


Da notare come le due pagine presentino testo in lingua italiana.

Edgar

Nessun commento: