mercoledì 1 ottobre 2008

Falsi forum per distribuire malware

Qualche giorno fa, un blog di noto produttore di software antivirus, informava della scoperta di falsi forum che distribuiscono malware.

In realta' la cosa e' gia in atto da diverso tempo, come possiamo vedere dalle date presenti sui post di questo forum di sito italiano, relative ai medesimi links indicati nel post sul blog USA.

Ecco cosa succede aprendo uno dei links proposti e ricordando che si tratta di collegamenti un poco 'datati':


Come si vede ci troviamo di fronte alla pagina principale di un forum creato appositamente per distribuire malware attraverso links o in automatico con un javascript offuscato contenuto nel codice della pagina

Una volta in esecuzione lo script ci porta tramite un link a sito intermedio

su questa pagina dal layout ben noto che contiene falsi links a filmati scaricabili solo installando un file di setup

file setup.exe che ad una analisi VT mostra la sua pericolosita'

Anche in questo caso il riconoscimento del malware e' abbastanza basso e si notano alcuni conosciuti software Av che non rilevano la minaccia. Questo e' sempre dovuto al fatto che anche se i links compaiono con riferimenti 'datati' il sistema utilizzato permette sempre un aggiornamento dei codici pericolosi

La falsa pagina di filmati video e' hostata su

Gli esempi potrebbero proseguire con altre centinaia di links a medesimi forum presenti su pagine italiane e con data piu' recente rispetto ai links precedenti.

Come si vede tutti questi links puntano ad un servizio gratuito di forum online.
Si tratta di ProBoards che, leggendo da Wikipedia, si apprende trattarsi di uno dei piu' grandi servizi online di forums con approssimativamente 22.200.000 di utenti e piu' di 2.600.000 forum online.

Tra l'altro registrare un nuovo forum di discussione e' veramente facile e veloce consentendo con pochi click la creazione di un forum personale con una grandissima quantita' di opzioni sia di gestione che di personalizzazione delle pagine visualizzate.
A titolo di curiosita' ho provato a creare un forum di prova che potete trovare qui


e confrontando gli IP sia del forum creato che di uno dei centinaia di forum con link a malware abbiamo la riconferma della medesima 'provenienza' delle pagine visualizzate.

Ancora una volta si vede come, approfittando di servizi free di hosting o di gestione di forums, blogs ecc... chi gestisce la distribuzione di malware sfrutti queste possibilita' in maniera molto efficace.

Edgar

Nessun commento: