AVVISO IMPORTANTE!
Ricordo che anche se alcuni indirizzi IP e/o links sono lasciati in chiaro negli screenshot, si tratta di pagine che propongono eseguibili malware scarsamente riconsciuti e che vanno visitate utilizzando possibilmente noscript attivato, sandboxie, ecc.....
Ricordo che anche se alcuni indirizzi IP e/o links sono lasciati in chiaro negli screenshot, si tratta di pagine che propongono eseguibili malware scarsamente riconsciuti e che vanno visitate utilizzando possibilmente noscript attivato, sandboxie, ecc.....
Era gia successo in passato (vedi questo post) che il sito principale di una nota Associazione Italiana fosse compromesso con l'inclusione di links a siti di pharmacy.
La cosa si e' ripetuta con maggiore gravita' ieri, visto che questa volta i links introdotti attraverso le pagine incluse nei siti, puntano, se richiamati dalla pagina di un motore di ricerca,
a falso player che distribuisce malware sotto forma di falso install flash.(in maniera random sono caricate anche pagine a fake motore di ricerca ecc....)Da notare che non solo il sito principale della associazione e' stato preso di mira ma anche alcuni dei siti delle sedi regionali della stessa.
Ecco i dettagli
Questo il folder creato all'interno dei siti e che ospita decine di subfolder in data attuale
che al loro interno contengono pagine come questa
che a sua volta, tramite links e redirect puntano a
Il redirect viene eseguito puntando a differenti server che hostano pagine simili, cosa che possiamo notare dai diversi IP coinvolti nel download dell'eseguibile
di cui vediamo una analisi VT
Notare che il malware viene identificato come Koobface da alcuni software Av, su VTAlcune note da Wikipedia:
Koobface e' un virus informatico che colpisce gli utenti della rete sociale di Facebook. Koobface ultimamente dopo l'infezione, tenta di ottenere informazioni sensibili dalle vittime come numeri di carta di credito.
Koobface si diffonde inviando messaggi con richieste di amicizia agli utenti di Facebook e con un indirizzo a un sito al di fuori di Facebook dove viene richiesto un aggiornamento fasullo di Adobe Flash Player. Scaricando il file fasullo il pc viene infettato.
Sono state identificate due varianti del virus: Net-Worm.Win32.Koobface.a. (che attacca Myspace) e Net-Worm.Win32.Koobface.b, che attacca Facebook.
Ecco alcune altre caratteristiche particolari di questo attacco a siti .IT:
In primo luogo sono stati essenzialmente coinvolto siti .IT come vediamo dai links presenti nelle pagine incluse (sono 4 i siti IT colpiti e altri 3 su dominio .com)
Inoltre se si effettua il caricamento nel browser delle pagine attraverso i links presenti sui siti colpiti NON viene eseguito nessun redirect.(utilizzo di referer per attivare i links)Solo utilizzando i risultati della ricerca in rete si ha l'attivazione dei links visto che lo scopo dell'attacco e' quello di creare links pericolosi solo per chi effettuasse delle ricerche in rete.
E' stata inviata una mail (nella speranza che venga letta ) all'indirizzo mail presente sul sito principale per informare dell'accaduto e perche' vengano prese le dovute azioni di bonifica dei siti colpiti.
Breve aggiornamento
Un uso di proxy server per variare gli IP di provenienza dimostra che il caricamento o meno della pagina che distribuisce il falso player e' condizionato proprio dalla diversa geolocalizzazione di chi viene rediretto sul sito.
Sembrerebbe infatti che mentre ad esempio IP da Thailandia., India , Korea attivano il redirect sulla pagina con malware un IP Italiano, al momento, non attivi il caricamento del codice pericoloso.
In ogni caso si tratta di espedienti gia' visti altre volte ed utilizzati da chi effettua questo genere di attacchi per 'ottimizzare' la distribuzione del malware e che possono modificare il comportamento dei siti in tempo reale a seconda degli IP di riferimento.
Edgar
Un uso di proxy server per variare gli IP di provenienza dimostra che il caricamento o meno della pagina che distribuisce il falso player e' condizionato proprio dalla diversa geolocalizzazione di chi viene rediretto sul sito.
Sembrerebbe infatti che mentre ad esempio IP da Thailandia., India , Korea attivano il redirect sulla pagina con malware un IP Italiano, al momento, non attivi il caricamento del codice pericoloso.
In ogni caso si tratta di espedienti gia' visti altre volte ed utilizzati da chi effettua questo genere di attacchi per 'ottimizzare' la distribuzione del malware e che possono modificare il comportamento dei siti in tempo reale a seconda degli IP di riferimento.
Edgar
Nessun commento:
Posta un commento