Ecco la pagina italiana di 'parking' di un dominio .IT
dove il contenuto di uno degli iframe che ne compone il layout, presenta questo codice java offuscato
La decodifica con Malzilla rivela il link
che punta a sito cinese
molto attivo nella distribuzione di ogni genere di exploits e malware.
Qui vediamo come il dominio cinese sia anche coinvolto nel distribuire codice malware Zeus botnet (fonte http://www.malwaredomainlist.com/)
Se si tenta di aprire la homepage linkata dallo script offuscato viene invece presentato, come succede spesso per siti malware,
un messaggio di account sospeso, cosa in realta' non vera.
Il codice offuscato presente sul sito cinese analizzato con http://wepawet.iseclab.org/ rivela il contenuto pericoloso
ed inoltre abbiamo il download automatico di un file doc.pdf che in realta' e':
Interessante notare che ad ogni successivo download il falso pdf cerca di mascherarsi modificando il suo contenuto , come si nota dal valore dell' md5.
Edgar
dove il contenuto di uno degli iframe che ne compone il layout, presenta questo codice java offuscato
La decodifica con Malzilla rivela il link
che punta a sito cinese
molto attivo nella distribuzione di ogni genere di exploits e malware.Qui vediamo come il dominio cinese sia anche coinvolto nel distribuire codice malware Zeus botnet (fonte http://www.malwaredomainlist.com/)
Se si tenta di aprire la homepage linkata dallo script offuscato viene invece presentato, come succede spesso per siti malware,
un messaggio di account sospeso, cosa in realta' non vera.Il codice offuscato presente sul sito cinese analizzato con http://wepawet.iseclab.org/ rivela il contenuto pericoloso
ed inoltre abbiamo il download automatico di un file doc.pdf che in realta' e':
Interessante notare che ad ogni successivo download il falso pdf cerca di mascherarsi modificando il suo contenuto , come si nota dal valore dell' md5.
Edgar
Nessun commento:
Posta un commento