AVVISO ! Ricordo che anche se i links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!! Si tratta, in alcuni casi, di pagine con links ad eseguibili spesso poco riconosciuti dagli AV.
Filoutage mi segnala questo sito compromesso di Societa' di Chirurgia italiana
che al suo interno ospita un phishing ai danni di Bank Of America
Questo invece un sito compromesso su IP Usa a cui i viene linkati dall'ennesimo blog, myblog.it, creato allo scopo di distribuire links pericolosi
Il sito compromesso redirige poi, tramite script, su questo falso player, dal layout ben noto
che cerca di far scaricare un eseguibile, gia' visto molte volte in passato , e che questa mattina (ora thai) e sconosciuto a tutti i software presenti su VT
(ricordando sempre i limiti della scansione AV online, e cioe' la possibilita' che alcuni software AV possano rilevare il pericolo quando il file scaricato venisse eseguito sul pc.)
Tra laltro sullo stesso IP del 'fake' player si possono notare altre url dal nome simile e probabilmente create per il medesimo scopo
Ecco invece un sito IT a tema natalizio
legato alla presenza di questa pagina di phishing ai danni di Abbey Bank
Questo, per terminare, un report che elenca attuali siti IT
compromessi con la sostituzione della homepage da questa pagina
ma anche (vedi screenshot) in alcuni casi con l'inclusione della stessa pagina all'interno del sito colpito.
Questo un whois dei siti compromessi
Come si nota, la maggior parte delle attivita' illecite viste, si basa sulla presenza di links o di pagine incluse su siti compromessi o di cui si sfruttano alcune caratteristiche (vedi la possibilita' di creare utenti non autorizzati per linkare a malware) , confermando la tendenza attuale dell'uso di siti legittimi invece che, come succedeva molto in passato, di siti creati appositamente allo scopo.
Edgar