domenica 6 dicembre 2009

Non solo NEWS

AVVISO ! Ricordo che anche se i links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!! Si tratta di pagine con di links anche a files eseguibili spesso poco riconosciuti dagli AV.

Si tratta di un sito di giornale online di News relative a una regione del Nord Italia, gia visto altre volte con questi problemi, e che continua a proporre links pericolosi, nascosti ad un normale visitatore del sito.
Ecco una delle pagine con articolo molto recente

e che presenta inclusi nel codice piu' di mille links a pagine incluse su sito compromesso USA
I links sono presenti, come succede in questi casi, su molte delle pagine che compongono il sito (dalla homepage a quelle delle news inserite attualmente)

Esaminiamo la lunga 'catena' di links che partono da quelli inclusi nel sito del giornale online:

Tutti i links presenti puntano a pagine incluse all'interno di questo sito USA compromesso
che presenta la seguente struttura nella parte relativa alle pagine incluse


Tutte le pagine hanno un layout simile a falso blog come questo


con al top della pagina un avviso cliccabile


che se confermato redirige tramite diversi siti intermedi

a questo fake player

Da notare, come curiosita', la possibilita' di personalizzazione del nome dell'eseguibile proposto, tramite la modifica del testo presente nella url.
Questo rende sicuramente il sito utilizzabile per proporre facilmente differenti nomi di file eseguibile, che si adattano maggiormente al sito che li propone (es. se il sto e' un fake player posso chiamare il file come 'plugin.'... oppure come “flash install” ecc....)

Oltre a questa pagina, e' anche presente, sempre al medesimo indirizzo, questo clone youtube che e' un 'classico' per questo genere di siti che propongono un eseguibile malware o falso AV

Una analisi VT vede, come succede in questi casi, il file poco riconosciuto


Questa una analisi che dimostra anche questa volta come il file sia un install di falso AV

Lo scopo dei links nascosti si puo anche capire attraverso una ricerca in rete dell'url del sito di news

Come si vede l'url compare in risultati di ricerca che propongono diversi fake players tra cui

Per una analisi piu' dettagliata del sistema utilizzato per distribuire links a malware attraverso la creazione links nascosti come riferimenti incrociati a pagine pericolose rimando a questo precedente post che ne spiega nei dettagli il funzionamento

Edgar

Nessun commento: