AVVISO ! Ricordo che anche se alcuni links relativi al redirect su sito moldavo sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!! Si tratta di exploits ed eseguibili malware al momento attivi e pericolosi.
Ricevuta mail che potremmo definire sia come phishing Facebook ma anche come spam dei piu' noti, ossia a sito di pharmacy.
Infatti, abbiamo la presenza di un layout che imita nella grafica quella tipica di Facebook e quindi potrebbe essere riconducibile ad azione di phishing (inteso come uso di un layout clone di reale sito) ma d'altronde in questo caso lo scopo e''solo' quello di linkare a pharmacy , cosa che fa catalogare questa mail tra quelle classiche di spam di viagra e derivati.
Ecco la mail
![](http://2.bp.blogspot.com/_-6waw8mcpyI/TD17ki0A5ZI/AAAAAAAAZyU/YjaxzaLszSI/s320/mail.jpg)
I links presenti in mail puntano tutti in realta' a sito di redirect con whois usa
![](http://3.bp.blogspot.com/_-6waw8mcpyI/TD17kxGUCaI/AAAAAAAAZyc/188Xlmpeuik/s320/redir.jpg)
![](http://3.bp.blogspot.com/_-6waw8mcpyI/TD17SHpDdvI/AAAAAAAAZxs/MO3xxp6gs9g/s320/finale+facebook.jpg)
![](http://2.bp.blogspot.com/_-6waw8mcpyI/TD17T-KbIbI/AAAAAAAAZyM/a-Ifg77AXeI/s320/ipfinale.jpg)
![](http://3.bp.blogspot.com/_-6waw8mcpyI/TD17TPujswI/AAAAAAAAZyE/laCVfr-V3mc/s320/ip+spam.jpg)
Se infatti andiamo ad esaminare la homepage del sito che supporta il redirect
![](http://4.bp.blogspot.com/_-6waw8mcpyI/TD17SrOyOkI/AAAAAAAAZx0/NrimDHcZZNw/s320/home+del+sito+di+redir.jpg)
![](http://1.bp.blogspot.com/_-6waw8mcpyI/TD17S_fiE4I/AAAAAAAAZx8/WpcKMDXflOQ/s320/home+sito+redir+malzilla.jpg)
![](http://2.bp.blogspot.com/_-6waw8mcpyI/TD17sZcVC5I/AAAAAAAAZy8/44V_D9OAji0/s320/whois+redirect+from+java+obfu.jpg)
Sul sito moldavo sono infatti presenti diversi files e codici malevoli (exploit) alcuni dei quali analizziamo:
E' presente ad esempio questo fake file pdf
![](http://4.bp.blogspot.com/_-6waw8mcpyI/TD17l08162I/AAAAAAAAZy0/4Qxy_0qjlRI/s320/vt+pdf.jpg)
![](http://3.bp.blogspot.com/_-6waw8mcpyI/TD17lM4roDI/AAAAAAAAZyk/__kXH6eeaHI/s320/sito+fron+java+obfu+vari+exploit+1.jpg)
![](http://2.bp.blogspot.com/_-6waw8mcpyI/TD17lutQ0sI/AAAAAAAAZys/bozAa9Mz1hc/s320/update+vbe+from+iframe.jpg)
Nessun commento:
Posta un commento