mercoledì 26 novembre 2008

Aggiornamento 26 novembre siti Moodle su dominio .IT

Continua il costante 'aggiornamento' dei falsi profili utente anche su siti Moodle italiani.

Una ricerca in rete conferma infatti che anche nelle ultime ore e' continuato l'inserimento di falsi profili utente sui siti Moodle italiani.

Questo uno dei piu' recenti profili inseriti in un sito Moodle

Al momento non viene piu' fatta una verifica dell'IP di provenienza , come accaduto in precedenza, e una volta cliccato sull'immagine o i link presenti si viene connessi alla stessa pagina gia' vista di falso scanner AV

su server

che distribuisce questo eseguibile

NON riconosciuto da quasi tutti i principali softwares AV e che appare essere un installer di falsa applicazione AV

Anche cliccando una seconda volta, e per le successive, si viene sempre indirizzati sul falso AV

Da notare che il sistema adottato di linkare a sito intermedio che redirige su sito di fake AV (fornss(dot)com) consente una grande facilita' per chi gestisce il sistema, di modificare in tempo reale gli indirizzi a cui far puntare i links in Moodle.

Inoltre ancora una volta, vediamo che la tecnica di modificare spesso il codice linkato, tipica dei files malware, viene utilizzata ampiamente in questo caso creando un istaller di falso AV difficilmente rilevabile della applicazioni AV reali.

Edgar

riferimenti a precedenti post su Moodle:

http://edetools.blogspot.com/2008/10/uso-di-moodle-per-linkare-pagine-con_29.html

http://edetools.blogspot.com/2008/11/security-proscan-e-security-full-scan.html

http://edetools.blogspot.com/2008/11/continua-lutilizzo-di-moodle-per.html

http://edetools.blogspot.com/2008/11/aggiornamento-5-nov-distribuzione-falsi.html

http://edetools.blogspot.com/2008/11/aggiornamenti-10-novembre.html

http://edetools.blogspot.com/2008/11/aggiornamento-15-novembre-siti-moodle.html

Nessun commento: