Vediamo un esempio pratico approfittando di una recente segnalazione del Blog Gromozon e i sui Fratelli che indicava il sito lineacount.info appartenere a quella particolare tipologia di pagine web che a seconda dell'IP di chi le vista propongo differenti links a malware o comunque a diverse pagine di dubbia affidabilita'.
In questo caso, analizzandone piu' in dettaglio il comportamento, vediamo che la diversa risposta al nostro IP e' attuata da ceroline.info, pagina che viene caricata in maniera automatica appena apriamo lineacount.info.
Nel codice di ceroline.info troviamo questo script offuscato in maniera molto semplice
Una volta deoffuscato abbiamo questo link a juncite.com che, a seconda del nostro IP restituisce un diverso script .Qui vediamo la risposta di juncite.com quando il nostro IP e' quello in uso normalmente per chi naviga dalla Thailandia
e questo e' quello che appare su ceroline.info
mentre simulando un IP tedesco abbiamo lo script
che punta ad un falso antivirus , tra l'altro aggiornato nella versione
se poi richiamiamo juncite.com con l'IP
appartenente a connessione dall'Italia:
ecco apparire uno script che linka ad una pericolosa pagina che tra le altre cose presenta un falso player
in realta' malware come sempre poco riconosciuto dai softwares antivirusCome si vede, con un semplice utilizzo di Portable Tor abbiamo potuto verificare la risposta di un sito malware simulando la provenienza del visitatore da diverse nazioni e in maniera veramente semplice e veloce.
Ricordo anche che l'analisi dell'IP di provenienza per chi vista siti malware e' spesso utilizzata per filtrare gli accessi a siti pericolosi, ad esempio evitando di proporre lo stesso file malware piu' volte a chi vista la pagina ripetutamente, e cercando cosi' di rendere piu' difficile l'individuazione del codice malevolo.
Edgar
Nessun commento:
Posta un commento