Aggiornamenti malware ZLOB e forum collegati (prima parte)

Molte volte la ricerca di nuove varianti di malware che simula codecs o setup di video players che tentano di colpire utenti della rete italiani , porta, come una delle fonti privilegiate, la consultazione di forum web.

Lascia comunque piuttosto perplessi il fatto che i forum che vedremo linkare a malware, in genere varianti del noto ZLOB, siano comunque collegati a siti di una certa importanza o comunque appartenenti ad aziende conosciute.
In ogni caso si tratta di links aggiunti al forum tutti in data attuale, aggiornati costantemente e come si vede in quantita' notevole.

Il primo preso in esame e' il forum in italiano collegato ad una nota azienda leader a livello mondiale della fornitura di apparati di networking.

Ecco una pagina indice, che presenta come argomento dei post 'files video'.

Questo un esempio di uno dei post presenti (con data attuale)


che ospita oltre al testo costituito da frasi o parole tali da comparire in una ricerca in rete relativa al genere porno anche centinaia di foto tutte che linkano a pagina che propone a sua volta un falso file di setup player video di cui vediamo un report virus total.

Notare come anche in questo caso una analisi consecutiva effettuata in tempi diversi mostra sempre un differente contenuto del codice malware per aumentarne la probabilita'di NON essere riconosciuto dai softwares antivirus.
Solo 9 su 35 softwares riconoscono il file come pericoloso

Questo un whois del sito di falsi filmati


Il secondo forum, anche questo collegato a sito sicuramente conosciuto, riporta una serie di post, tutti aggiornati ad oggi, con simili contenuti.


Ecco un esempio di post

In questo caso cliccando ad esempio su una delle centinaia di foto presenti in ogni singolo post si viene reindirizzati su questo sito (probabilmente uno dei soliti blog fasulli)


che , se l'esecuzione degli script sul browser e' attivata, non viene comunque visualizzato in quanto e' presente uno script offuscato


che reindirizza su falso sito di video di natura porno che linka a falso setup di player video.

A differenza del forum precedente la pagina con il falso setup mostra un whois che punta a

mentre anche in questo caso il file malware viene sempre 'scaricato' , come per il precedente forum da hoster USA ben noto a chi si interessa di malware.


Come si vede si tratta di una pratica , piu' che mai attuale, e che sembra possa essere utilizzata senza grossi problemi anche su forum di siti noti e non solo su forum appartenenti a siti meno conosciuti, in quanto probabilmente, non viene posta, anche per siti di una certa importanza, molta attenzione nell'amministrare i forum presenti.

Edgar