lunedì 6 dicembre 2010

Una distribuzione malware sotto forma di falso file pdf attraverso link fake proposto come provenire dal 'Centro nazionale anticrimine informatico'

AVVISO ! Ricordo che anche se alcuni links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....).

Sul database online di Antiphishing Italia compare questo pomeriggio la segnalazione n.4524 del 2010/12/06 che porta come obbiettivo del phishing questa info “Poste Italiane - Polizia di Stato” con link che punta, a sito compromesso francese che tratta di vendita di profumi

ed hostato su

Al suo interno e' incluso questo folder, creato in data odierna,(notate come il nome del folder faccia riferimento al sito Poliziadistato.it)


il cui contenuto vediamo in dettaglio

Si tratta di un codice di redirect su altro sito, probabilmente compromesso, e con whois

che presenta folder con riferimento a 'poliziapostale'

con questo ulteriore codice , che tenta di attivare il download automatico di un file pdf dal nome relativo al 'Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche ' (CNAIPIC)

Il CNAIPIC e' l'unita' specializzata interna al Servizio della polizia postale e delle comunicazioni dedicata alla prevenzione e repressione dei crimini informatici diretti ai danni delle infrastrutture critiche nazionali italiane. (fonte Wikipedia)

In effetti analizzando la pagina legittima che descrive il CNAIPIC hostata sul sito http://poliziadistato.it/

troviamo un link a file pdf che evidentemente e' stato preso come spunto per la creazione del falso file con nome simile ma che in realta' presenta la doppia estensione pdf.exe.

In questo dettaglio vediamo i due file (quello sul sito reale e quello fake) messi a confronto e notiamo come il fake pdf presenti la doppia estensione pdf.exe (eseguibile malware camuffato da file pdf).

Da notare come l'eseguibile fake pdf mostri l'icona come se si trattasse di reale pdf ( al contrario del reale pdf scaricato dal sito http://poliziadistato.it/ che non visualizza l'icona in quanto sul pc virtuale utilizzato per l'analisi non e' installato alcun lettore pdf). Da notare anche le dimensioni del falso pdf (eseguibile da piu' di 700k che farebbe pensare all'ennesimo fake Av ) e i relativi siti di download indicati.

Questa l'analisi VT dell'eseguibile

che mostra alcuni noti softwares AV non riconoscere il malware.

Anche se sul database di Antiphishing Italia il contenuto della mail di phishing collegata a questa distribuzione 'particolare' di malware non e' indicato, e' probabile che la mail tenti di far scaricare il fake pdf, che, se cliccato con intenzione di visualizzarne il testo, installerebbe il trojan sul PC .

Resta comunque molto particolare il sistema utilizzato per ingannare chi ricevesse la mail di phishing, che coinvolge il sito www.poliziadistato.it, cosa non comune nei casi di distribuzione phishing e malware che siamo abituati a vedere quotidianamente.

AGGIORNAMENTO 7 dicembre (ore 23.30 thai time – 17.30 IT time)

Il sito che effettuava il redirect al falso PDF e' stato bonificato, mentre rimane comunque attivo il sito finale che distribuisce il falso file PDF.

Una attuale analisi VT vede notevolmente aumentato il numero di software antivirus che individuano il malware (31 dei 43 presenti in report VT)

Edgar

Nessun commento: