giovedì 25 dicembre 2008

Aggiornamento sulla distribuzione di falsi AV attraverso links su siti .IT

(postato dall'Italia)
Continua la distribuzione di links a falsi AV attraverso la presenza di pagine nascoste all'interno di siti web anche .IT
Qui vediamo ad esempio la homepage attuale di una azienda di arredamenti italiana

che contiene una notevole quantita' di links in maniera nascosta che vediamo in questo dettaglio (con Noscript attivo su Firefox)

anche su pagine diverse dalla homepage

e che puntano tutti ad altre pagine inserite sia all'interno dello stesso sito che a pagine ospitate su altri siti con un layout che ci ricorda pagine di blogs.

Come gia' visto in altri post le pagine su cui si viene reindirizzati seguendo i links hanno al loro interno un javascript offuscato

che deoffuscato

punta a falsi scanners online con relativo link automatico a files eseguibili di install

I falsi files eseguibili di install sono riconosciuti, come indica una scansione VT solo da alcuni dei 'reali' softwares AV

Ecco un altro esempio di pagina, appartenente questa volta a sito di Universita' italiana che come vediamo nel sorgente della homepage

presenta centinaia di links nascosti che a loro volta puntano a pagine come questa

Anche in questo caso dalla pagina linkata si viene poi reindirizzati a sito di falso AV.

In ogni caso si tratta sempre di links che, come si vede da un log

coinvolgono diversi siti che in sequenza puntano al sito 'finale' che contiene il file di install del falso scanner di cui viene proposto un download automatico con notevole insistenza

L'uso di links in sequenza permette, a chi gestisce la 'distribuzione' dei falsi AV visti ora, di variare facilmente il tipo di pagina finale proposta e naturalmente anche i contenuti della stessa passando da falsi AV anche a files malware ecc.....

Edgar

Nessun commento: