NB. Anche se alcuni links sono in chiaro usate attenzione nel visitare le pagine in quanto si tratta pur sempre di redirects a fake AV che potrebbe passare, in qualsiasi momento, dal proporre falsi AV a qualcosa di piu' pericoloso (exploit, ecc....)
Inoltre come vedremo nell'analisi dell'eseguibile una volta installato sul PC il falso antivirus crea numerosi problemi.
Una odierna ricerca in rete evidenzia un buon numero di siti IT che ospitano al loro interno links a falso online scanner AV.
Ecco i risultati che presentano per diversi siti .IT , evidentemente compromessi,
molti links per ogni sito trovato
che puntano a questo javascript debolmente offuscato
che sua volta redirige su questo falso scanner online AV
con whois:
Sempre sul medesimo IP abbiamo una serie di pagine, tutte simili
che propongono lo stesso scanner online visto sopra.
Il riconoscimento del file eseguibile e', come succede in questi casi , quasi nullo
mentre il falso setup(dot)exe e' ospitato su server con whois cinese
Anche questa volta, sembra che per IP ripetuti o comunque appartenenti ad alcuni ranges si venga direttamente rediretti sulla pagina di Google senza che venga proposto il falso scanner.
Per l'analisi dell'eseguibile scaricato setup(dot)exe rimando al successivo post.
Edgar
Inoltre come vedremo nell'analisi dell'eseguibile una volta installato sul PC il falso antivirus crea numerosi problemi.
Una odierna ricerca in rete evidenzia un buon numero di siti IT che ospitano al loro interno links a falso online scanner AV.
Ecco i risultati che presentano per diversi siti .IT , evidentemente compromessi,
molti links per ogni sito trovato
che puntano a questo javascript debolmente offuscato
che sua volta redirige su questo falso scanner online AV
con whois:
Sempre sul medesimo IP abbiamo una serie di pagine, tutte simili
che propongono lo stesso scanner online visto sopra.Il riconoscimento del file eseguibile e', come succede in questi casi , quasi nullo
mentre il falso setup(dot)exe e' ospitato su server con whois cinese
Anche questa volta, sembra che per IP ripetuti o comunque appartenenti ad alcuni ranges si venga direttamente rediretti sulla pagina di Google senza che venga proposto il falso scanner.
Per l'analisi dell'eseguibile scaricato setup(dot)exe rimando al successivo post.
Edgar
Nessun commento:
Posta un commento