AVVISO ! Ricordo che anche se alcuni links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!! Si tratta di links ad eseguibili MALWARE poco riconosciuti dai softwares AV !!!
Quello che vedremo adesso e' un notevole ed attuale esempio di come in rete, si possa utilizzare un MIX di siti compromessi, account utente fasulli e siti di supporto alla distribuzione malware creati appositamente.
Una ricerca in rete porta a trovare decine di risultati con links a differenti pagine di sito di istituto scolastico italiano:
Questo un parziale dettaglio della ricerca,
che conferma la presenza di pagine aggiornate sul sito (notare la data del 1 settembre che ritroveremo anche nel sito intermedio di redirect).Diversamente da altre volte Google indicizza i contenuti pericolosi mantenendo pero' come intestazione del risultato di ricerca il reale argomento trattato nella pagina compromessa trovata (es. l'intestazione del risultato di ricerca riferito alla pagina che descrive la messa online dei nuovi orari scolastici rimane quindi “ Orario prima settimana scuola.... “mentre il testo che decrive i contenuti trovati propone i vari termini.... porno ..... ecc...)
In altre parole non vengono create pagine apposite per contenere i links ma questi vengono 'inclusi' in pagine legittime presenti ed attivati solo quando GoogleBot visita il sito.Il motore di ricerca vedra' quindi la pagina originale, titolo compreso, ma indicizzera' i links inclusi pericolosi ed il relativo testo 'porno'
Il risultato finale prodotto da Gogle sara' quindi abbstanza singolare in quanto vedremo ad esempio risultati di ricerca dal titolo "Istituto Scolastico xyz...." seguito da decine di termini porno....
Ecco la 'simulazione' della visita Google utilizzando un User Agent appropriato.
Le centinaia di links presenti, sfruttano a loro volta un redirect sul noto sito di distribuzione files 'FILES TUBE' e specificatamente nella sezione Groups.
In pratica sono stati creati decine di account di comodo ed in data recente (1 settembre) e si e' provveduto a proporre un fake player con link a pagina che presenta ancora un player video fasullo ma anche l'eseguibile malware
Il sito creato appositamente che ospita il falso player, ma non solo, presenta whois
Questa volta, nonostante ultimamente gli eseguibili proposti in rete siano in maggioranza Fake applicazioni Av, potremmo trovarci di fronte a qualcosa di piu' pericoloso.
Una analisi VT mostra infatti un quasi nullo riconoscimento e ad esempio Kaspersky che cataloga il file scaricato tra i malware pericolosi.Che il sito non sia dei piu' raccomandabili lo vediamo esplorandolo e trovando sia questo fake sito di movies porno (layout ormai visto centinaia di volte in rete)
ed anche questo fake scanner AV
Tutti i files distribuiti da fake palyer, sito clone youtube e fake scanner AV, pur con nomi diversi install.exe e Codec_CCIR-601.exe (i numeri tra parentesi sono aggiunti dal dowload manager quando sono scaricati files con stesso nome)
presentano lo stesso hash code
e confermano l'ennesimo tentativo in rete di distribuzione malware.Edgar
Nessun commento:
Posta un commento