AVVISO ! Ricordo che anche se i links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!! Si tratta di pagine con links ad eseguibili spesso poco riconosciuti dagli AV.
Continua la presenza di false pagine Google e I-Google on-line, come codici inclusi all'interno di siti IT compromessi e di cui ho gia scritto in questo precedente post.
Questa una ricerca delle ultime ore che dimostra alcuni nuovi siti IT che compaiono nei risultati
Le pagine incluse presentano un layout che riproduce la pagina di ricerca di Google
e contengono al loro interno decine di links tutti differenti, che puntano a siti compromessi, che a loro volta ospitano pagine simili a blog.
Ognuna di queste pagine di fake blog presenta oltre ad uno script offuscato anche decine di links ad altre pagine simili ed incluse nel medesimo sito compromesso per aumentare l'efficacia dei links proposti.
Ecco alcuni esempi di falso blog tra i tanti 'disponibili' online (ogni layout differente corrisponde a differente sito compromesso)
e l'elenco potrebbe continuare con numerosi e differenti layout.
A loro volta, tramite script offuscato,
queste pagine redirigono la navigazione su sito con whois tedesco che poi redirige successivamente a fake scanner AV (in questo caso whois canadese), come gia' indicato nel precedente post.
Interessante notare che una analisi VT , a parte il basso riconoscimento, evidenzia il file eseguibile scaricato dal falso scanner AV sia come fake AV ma anche, nel caso di Sunbelt , come possibile variante di malware Zbot.
Chiaramente le false pagine Google non si limitano a siti .IT compromessi ma una ricerca, ad esempio su dominio .COM, porta a piu' di 4.000 link a siti compromessi con questo genere di contenuti:
Edgar
Nessun commento:
Posta un commento