giovedì 29 ottobre 2009

I domini che linkano a false pagine di login Facebook

AVVISO ! Ricordo che anche se i links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!! Si tratta pagine con di links anche a files eseguibili spesso poco riconosciuti dagli AV.

Una breve ricerca in rete ha portato ad individuare i nomi di dominio che attualmente , tramite il probabile utilizzo della Zeus botnet, distribuiscono il malware sotto forma di falso update tool per gli utenti Facebook.

La struttra della url che linka al phishing e' la seguente :(in azzurro la parte di url che referenzia l'indirizzo mail da fare apparire nel form di login)(vedi aggiornamenti nel post precedente)

Ecco una lista parziale (parte evidenziata in giallo della URL)

ed ecco un report eseguito con Webscanner dei siti attivi al momento

Come succedeva per i link hostati da Waledac Botnet, alcuni risultano non attivi, ed altri attivi solo ad intervalli di tempo.

Una analisi di piu' nomi di dominio coinvolti, lanciando piu istanza del tool Autoit che esegue un whois ciclico su tre differenti nomi ,

mostra ad esempio che vi sono anche IP italiani coinvolti nella distribuzione delle pagine di phishing.

Tra l'altro avvicinandosi il 31ottobre e la festa di Halloween vedremo se anche altre bootnet si attiveranno per proporre pagine e links pericolosi (qualcuno ricordera' ad esempio la pagina dello ' scheletro danzante ' (download the dancing skeleton" ) collegata alla botnet StormWorm nel 'lontano' 2007 ed online per Halloween)

Edgar

Nessun commento: