Normalmente i falsi siti antimalware propongono software che avvisa della presenza sul pc di trojan, virus, ecc... in realta' inesistenti e il tutto con il solo scopo di invogliare all'acquisto della falsa applicazione antimalware proposta che risolvera' i (falsi) problemi trovati.
Sembra che ultimamente ci siano invece tentativi di installare malware sul pc e non semplici softwares rogue antivirus, quando si visitano siti di questo tipo.
Una dimostrazione di queste nuove insidie e' il sito onlysecuretools.com.
Intanto c'e' da rilevare che un whois punta al noto provider Estdomains Inc. sinonimo di siti non affidabili:
Le sorprese al riguardo delle potenzialita' di onlysecuretools.com cominciano gia' quando andiamo a connetterci al sito.Infatti caricando piu' volte onlysecuretools.com la pagina che ci viene proposta dal browser varia di volta in volta, sembrerebbe in maniera del tutto casuale, proponendoci un campionario di false applicazioni antimalware sempre diverso cosi come i contenuti tutti piu' o meno pericolosi.
Si va dalla semplice pagina con un falso scanner online sino a pagine molto piu' 'aggressive' che questa volta tentano lo scaricamento in automatico non di rogue application ma di veri e propri files trojan
Vediamo qualche esempio notando che questi test sono eseguiti con Firefox aggiornato con le patch ultime, NOSCRIPT attivo e ADBLOCK attivo; inoltre e' stato usato Sandboxie per evitare spiacevoli conseguenze... nel caso ci si fosse trovati a caricare un file particolarmente pericoloso.
Nonostante questo in certi momenti del test Firefox ha avuto qualche problema di stabilita' con repentina chiusura della window principale del browser e comparsa sul desktop di Windows di allert box fasulle che invitavano a scaricare il falso programma antivirus.
Qui abbiamo uno dei falsi siti antispyware e relativo scanner av simulato
Come si vede la grafica risulta curata e l'effetto , 'dal vivo', e' molto efficaceIl file scaricato sembra essere praticamente sconosciuto ai softwares antivirus presenti su Virus Total tranne che a Prevx che lo cataloga come falso antispyware
Il whois della pagina punta in Ucraina
Si tratta di un IP compreso nel range IP 85.255.112.0-85.255.127.255 appartenente a Inhoster Hosting Company Ucraina che recentemente e' stata ridenominata come UkrTeleGroup LtdUn altro esempio di pagina caricata, questa volta un diverso layout
per un contenuto di file che in questo caso e' malware.Questo invece e' un altro sito caricato sempre connettendosi a onlysecuretools.com
Questa volta il file non si puo' proprio considerare una semplice rogue application ma malware a tutti gli effetti
Vediamo con Virus Total il report
Notate il nome del file che caricato successivamente varia leggermente da ...mhw1... mhw0...e questo e' il whois che punta in Russia
Inoltre alcuni di questi siti presentano codice che se riconosce Explorer come browser utilizzato, attiva lo scaricamento di un file .cab
Qui ne vediamo una scansione con VT
Come si vede niente a che vedere con falsa applicazione antivirus ma proprio un malwareA volte poi la pagina caricata simula un problema di funzionamento del mouse
con relativo file di fix da scaricare che naturalmente con VT risulta
In definitiva questa selezione di falsi antimalware linkata tramite il sito onlysecuretools.com
continene almeno 4 file malware ai seguenti indirizzi url:
hXXp://xscanner.spyshredderscanner.com/setup/file.php?xid=install_1522_MHw1fGZmfHx8fHx8_
hXXp://xscanner.spyshredderscanner.com/setup/webinst.cab
hXXp://xscanner.spyshredderscanner.com/a/Install1522.exe
hXXp://scanner2.malware-scan.com/setup/file.php?xid=_c3dwX2dyb25fbWE5_NjU1MA_cHBfNjEzMDI3MDU_
ma non escludo che possano essercene altri, in quanto i siti su cui si viene reindirizzati accedendo a onlysecuretools.com sono parecchi.
Edgar
Nessun commento:
Posta un commento