AVVISO ! Ricordo, come sempre, che anche se alcuni links sono in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!!
Si tratta molto spesso di exploits e files eseguibili malware, poco riconosciuti dai software AV in commercio
Come visto in precedenza (qui e qui) si sta diffondendo, su siti IT hostati sempre su
Si tratta molto spesso di exploits e files eseguibili malware, poco riconosciuti dai software AV in commercio
Come visto in precedenza (qui e qui) si sta diffondendo, su siti IT hostati sempre su
(o altri IP sempre relativi allo stesso hoster), l'inclusione di decine di pagine di falso blog (dai piu' diversi layout) con links a differenti generi di malware o falsi AV, pharmacy, ecc...
A confermare la pericolosita' dei links serviti da questi falsi blogs inclusi, vedremo, analizzando uno dei links proposti, come il risultato finale sia una pagina di Exploit Pack (tools per la distribuzione di expolit e gestione di botnet) denominato Eleonore.
Per iniziare vediamo alcuni dettagli sulla procedura utilizzata per linkare ai siti pericolosi, attraverso i falsi blog inclusi:
Al momento vengono utilizzati alcuni script java (cammuffati nel nome da codice di counter) , che eseguono il redirect automatico e precisamente
ed anche
che analizzeremo in maniera approfondita nel seguito del post.
Possiamo subito notare che il nome dell'indirizzo a cui si viene rediretti e' anche quello di pagine ispirate alle festivita' di fine anno (happy-newyear2010(dot)com ) e che i server che ospitano i files java cambiano frequentemente indirizzo.(la maggior parte dei file javascript e' hostata ora su)
mentre le pagine a cui puntano risiedono su
Si tratta sempre di indirizzi che variano in continuazione ogni poche ore per eludere meglio il tracciamento della distribuzione malware senza contare che nella maggior parte dei casi viene sempre effettuato un riconoscimento dell'IP di provenienza del visitatore, disattivando, ad esempio, il caricamento delle pagine, dopo la prima visita.
A parte i falsi Av linkati in maniera automatica dai fake scanner online e sempre poco riconosciuti, vediamo invece in dettaglio questo sito a cui si viene rediretti e precisamente
con whois USA
La pagina presentata e' quella del noto clone Youtube con contenuti porno ma questa volta invece che proporre subito un eseguibile malware (molto spesso fake AV) viene invece presentata, in automatico, una serie di links a falsi motori di ricerca
Capita cosi' che se si effettua una ricerca ad sempio di software AV
si viene rediretti su pagina con whois
e di cui vediamo in dettaglio i contenuti
Si tratta di due links sia a malware sotto forma di eseguibile che a exploit PDF con riconoscimento dei due files molto basso ad una analisi VT
Un exploit PDF
e
Entrando ancora piu' nel dettaglio relativamente alla pagina con malware, possiamo notare come si sia in presenza di un Exploit Pack denominato Eleonore in una versione recente, la 1.3.1.
Eleonore Exploits Pack, e' e' una raccolta di exploit progettata per gestire e controllare una botnet zombie con incluso software che provvede a produrre statistiche dettagliate sui computer infettati...ecc...
La versione iniziale sfruttava vulnerabilita' di vario tipo quali
> MDAC
> MS009-02
> Telnet - Opera
> Tag Font - FireFox
> DirectX DirectShow
ecc...
e veniva proposta inizialmente in rete ad un prezzo attorno ai 700 $
Sono seguite poi nuove versioni quali la 1.1 la 1.2 e la 1.3 b
La versione (1.3b), presenta nuovi exploit, migliorando anche le statistiche relative ai dati dei computer infettati .
Edgar
Nessun commento:
Posta un commento