Ricordo sempre che anche se alcuni links sono lasciati in chiaro negli screenshot, evitate di visitare i siti in questione se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!!
Sempre molto diffusi in rete i siti con layout simile a YouTube che propongono falsi setup di player video, falsi plugin o installers di Flash Player tutti rigorosamente eseguibili malware, fake av, ecc....
Sempre molto diffusi in rete i siti con layout simile a YouTube che propongono falsi setup di player video, falsi plugin o installers di Flash Player tutti rigorosamente eseguibili malware, fake av, ecc....
Questa la pagina, dal layout abbastanza curato, hostata su diversi indirizzi IP USA e che presenta il solito flash player update
In realta' si tratta, come risulta da un report VT,
di malware che anche questa volta, risulta non rilevato da un discreto numero di softwares AV tra i piu' noti.Come sempre, bisogna comunque ricordare che, anche se non in elenco, alcuni software AV potrebbero riconoscere la minaccia quando il file venisse eseguito sul pc, e questo per i noti limiti di una scansione online on-demand.
Sempre relativamente a falsi player video, riprendo il post di ieri, per una analisi un poco piu' approfondita dei contenuti della pagina inclusa in maniera nascosta sul sito IT compromesso.
Analizzando la 'provenienza' dei contenuti della pagina, si puo' notare come, questa volta, vengano utilizzati numerosi link esterni per costruire il layout del falso blog e linkare il relativo codice pericoloso.
In questo screenshot vediamo raccolti i principali dettagli dei links usati
e precisamente:Una serie di links alle immagini relative al background pagina del falso blog (su sito con whois tedesco che propone un servizio free di blog (sublo.com))
Un links ad immagine gif animata hostata su Google Code
Un links a javascript per la gestione dei cookies e sempre su Google Code
Ecco un dettaglio della pagina creta evidentemente per questo scopo ed hostata su Google Code (ricordo che Google Code e' il sito rivolto a chi e' interessato allo sviluppo di applicazioni collegate ai vari servizi Google)
Come si vede si tratta di utente di fantasia che ha creato il proprio account per hostare i files utili al layout e gestione della falsa pagina blogPer finire un link a sito tedesco che redirige sul sito dal quale viene scaricato il falso setup flash player
Per completezza occorre anche dire che il redirect sembra cambiare con frequenza in quanto mentre ieri si veniva linkati a questo sito con whois in Serbia e che sulla home presentava anche un ulteriore download dal differente nome ma uguale contenuto
oggi si viene invece rediretti sempre sul download a file fake AV ma su sito hostato in posti piu''esotici' almeno dall'IP visualizzato
Come si vede una gestione molto accurata e complessa per una semplice pagina di falso player video.Edgar
Nessun commento:
Posta un commento