Prendo spunto da alcune mail di spam ricevute per analizzare alcuni siti di Casino' online.
Le mail ricevute riguardano 3 differenti Casino' online, che in un modo o nell'altro propongono forti accrediti iniziali per invogliare a giocare online.
Si tratta chiaramente di mail di spam che in queste ultime settimane sembra stiano aumentando di numero evidentemente al passo con l'apertura di nuovi siti di giochi d'azzardo di dubbia attendibilita'.
Esaminiamo un po piu' in dettaglio la prima mail relativa a Euro Royal Casino
Come si vede si propone un 300% di bonus sul primo deposito (esempio depositando 100 euro si ottiene un acccredito di 400 euro) per invogliare al gioco online.
Esaminiamo un po piu in dettaglio la pagina che si apre clliccando sul link presente in mail.
Per poter accedere al gioco online occorre scaricare un apposito software
Esaminando il layout un po piu nel dettaglio vediamo che esite anche un link ad una pagina di spiegazioni sull'installazione e, prima sorpresa, come si accede si apre istantaneamente una finestra di download (quello che accade ricorda un po troppo da vicino le pagine malware che si trovano in rete)
La pagina di download di SetupCasinoRoyal.exe presenta un differente IP e whois (Russia) rispetto alla homepage
Verificando con Virus Total il file scaricato, vediamo che si tratta di un file eseguibile contenente adware.
Le mail ricevute riguardano 3 differenti Casino' online, che in un modo o nell'altro propongono forti accrediti iniziali per invogliare a giocare online.
Si tratta chiaramente di mail di spam che in queste ultime settimane sembra stiano aumentando di numero evidentemente al passo con l'apertura di nuovi siti di giochi d'azzardo di dubbia attendibilita'.
Esaminiamo un po piu' in dettaglio la prima mail relativa a Euro Royal Casino
Come si vede si propone un 300% di bonus sul primo deposito (esempio depositando 100 euro si ottiene un acccredito di 400 euro) per invogliare al gioco online.
Esaminiamo un po piu in dettaglio la pagina che si apre clliccando sul link presente in mail.
Per poter accedere al gioco online occorre scaricare un apposito software
Esaminando il layout un po piu nel dettaglio vediamo che esite anche un link ad una pagina di spiegazioni sull'installazione e, prima sorpresa, come si accede si apre istantaneamente una finestra di download (quello che accade ricorda un po troppo da vicino le pagine malware che si trovano in rete)
La pagina di download di SetupCasinoRoyal.exe presenta un differente IP e whois (Russia) rispetto alla homepage
Verificando con Virus Total il file scaricato, vediamo che si tratta di un file eseguibile contenente adware.
File SetupCasinoRoyal.exe received on 11.14.2007 06:09:42 (CET) | |||
Antivirus | Version | Last Update | Result |
AhnLab-V3 | - | - | - |
AntiVir | - | - | - |
Authentium | - | - | - |
Avast | - | - | Win32:Adware-gen |
AVG | - | - | - |
BitDefender | - | - | Adware.Casino.AY |
CAT-QuickHeal | - | - | Adware.Casino.ae (Not a Virus) |
ClamAV | - | - | - |
DrWeb | - | - | - |
eSafe | - | - | Suspicious File |
eTrust-Vet | - | - | - |
Ewido | - | - | Adware.Casino |
FileAdvisor | - | - | Low threat detected |
Fortinet | - | - | Adware/Casino |
F-Prot | - | - | W32/Adware.AHK |
F-Secure | - | - | - |
Ikarus | - | - | AdWare.Win32.Casino.ae |
Kaspersky | - | - | - |
McAfee | - | - | potentially unwanted program Downloader-GoldCas |
Microsoft | - | - | - |
NOD32v2 | - | - | - |
Norman | - | - | W32/CASClient.CT |
Panda | - | - | Generic Malware |
Prevx1 | - | - | - |
Rising | - | - | - |
Sophos | - | - | Poker-Installer |
Sunbelt | - | - | VIPRE.Suspicious |
Symantec | - | - | - |
TheHacker | - | - | Adware/Casino.ae |
VBA32 | - | - | - |
VirusBuster | - | - | Adware.Casino.AB |
Webwasher-Gateway | - | - | Win32.Malware.gen#PECompact (suspicious) |
Additional information | |||
MD5: 89c10738fb44f9a529092bfa3c15dcf9 |
Sulla home page inoltre troviamo dei link offuscati all'interno di codice javascript
Passando ad esaminare l'ip della pagina sembra che sia variabile, infatti se eseguiamo un nslookup
in realta il sito presenta una serie di ip che hanno un TTL (cioe' tempo di vita) di soli 3 minuti.
Questo ricorda il sitema di variazione degli IP tipico della tipologia di rete fast flux di cui avevo scritto al riguardo della botnet storm worm ma nache dei falsi siti di pharmacy online.
Eseguendo un whois ogni 3 minuti attraverso un semplice script Autoit su i http://vvv.kbmtcasino.com abbiamo questo risultato che ci mostra la continua variazione degli IP
Il sitema utilizzato puo' rappresentare un tentativo di rendere molto difficile l'individuazione del reale server che ospita il sito del Casino' online.
Considerazioni analoghe valgono anche per gli atri due siti presenti nelle mails di spam.
Per finire, esaminando una delle tante pagine internet che pubblicizzano siti per giochi d'azzardo online vediamo che questi vengono garantiti esenti da dialer e virus (notate la scritta in alto dove si parla dei siti testati legali e sicuri....)
ma come si vede in questo esempio (Casino Las Vegas)
la realta' e' ben diversa
File SetupCasino.exe received on 12.10.2007 08:15:13 (CET) | |||
Antivirus | Version | Last Update | Result |
AhnLab-V3 | 2007.12.8.0 | 2007.12.10 | - |
AntiVir | 7.6.0.40 | 2007.12.07 | ADSPY/Casino.W.140 |
Authentium | 4.93.8 | 2007.12.08 | - |
Avast | 4.7.1098.0 | 2007.12.09 | - |
AVG | 7.5.0.503 | 2007.12.09 | - |
BitDefender | 7.2 | 2007.12.10 | - |
CAT-QuickHeal | 9.00 | 2007.12.08 | (Suspicious) - DNAScan |
ClamAV | 0.91.2 | 2007.12.10 | - |
DrWeb | 4.44.0.09170 | 2007.12.09 | - |
eSafe | 7.0.15.0 | 2007.12.09 | Suspicious File |
eTrust-Vet | 31.3.5366 | 2007.12.10 | - |
Ewido | 4.0 | 2007.12.09 | - |
FileAdvisor | 1 | 2007.12.10 | - |
Fortinet | 3.14.0.0 | 2007.12.10 | - |
F-Prot | 4.4.2.54 | 2007.12.08 | W32/Adware.KGR |
F-Secure | 6.70.13030.0 | 2007.12.10 | - |
Ikarus | T3.1.1.12 | 2007.12.10 | - |
Kaspersky | 7.0.0.125 | 2007.12.10 | - |
McAfee | 5181 | 2007.12.08 | potentially unwanted program CasOnline |
Microsoft | 1.3007 | 2007.12.10 | - |
NOD32v2 | 2712 | 2007.12.09 | - |
Norman | 5.80.02 | 2007.12.07 | - |
Panda | 9.0.0.4 | 2007.12.09 | Suspicious file |
Prevx1 | V2 | 2007.12.10 | - |
Rising | 20.21.42.00 | 2007.12.07 | - |
Sophos | 4.24.0 | 2007.12.10 | Casino |
Sunbelt | 2.2.907.0 | 2007.12.07 | VIPRE.Suspicious |
Symantec | 10 | 2007.12.10 | - |
TheHacker | 6.2.9.154 | 2007.12.10 | Adware/Casino.w |
VBA32 | 3.12.2.5 | 2007.12.07 | - |
VirusBuster | 4.3.26:9 | 2007.12.09 | - |
Webwasher-Gateway | 6.6.2 | 2007.12.08 | Ad-Spyware.Casino.W.140 |
Additional information | |||
File size: 420893 bytes | |||
MD5: 84b1a38096521fcc443fc584673b6a8c | |||
SHA1: 1cc818019bfb05ebffbc74641f2cbb648777257b | |||
PEiD: PECompact 2.xx --> BitSum Technologies | |||
packers: PE_Patch.PECompact, PecBundle, PECompact | |||
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics. |
Il gioco d'azzardo online e' attualmente un settore in costante sviluppo che sicuramente attrae anche organizzazioni criminali viste le notevoli somme di denaro legate all'uso di questi Casino' online.
Il problema maggiore rimane quindi quello, per chi vuole giocare online, di accertarsi assolutamente dell'attendibilita' e serieta' del sito che si vuole utilizzare.
Anche per questo esistono in rete siti di organizzazioni come la eCOGRA, (a non-profit organization, independent standards authority of the online gaming industry ) che presentano elenchi verificati e che , entro certi limiti, dovrebbero garantire la sicurezza di chi gioca.
Qualche notizia, in italiano, sul gioco d'azzardo online la potete trovare qui.
Edgar
Nessun commento:
Posta un commento