L'uso di mail che potremmo definire di phishing in quanto tentano di copiare layout di siti legittimi, vede coinvolti molto spesso, e sempre con maggior frequenza (vedi quanto riportato dal report Sophos descritto nel post precedente) servizi di Social Network quali ad esempio Facebook o Twitter
Questa una mail ricevuta nella giornata di ieri che risulta essere una fake notifica Twitter e che ,fortunatamente, si limita solo a linkare a noto sito di pharmacy.
I tre link in mail redirigono tutti a questo sito
peraltro gia' segnalato come pericoloso da Google Safe Browsing probabilmente per inclusione di iframe offuscato sulla home
e che contiene incluso in maniera nascosta questo codice di redirect
a sito di Pharmacy, nello specifico il ben noto Canadian Pharmacy
Da notare come gli IP rilevati da uno dei tanti addon Firefox preposti a questo uso, mostrino una lunga serie di valori , cosa che fa pensare anche al consueto utilizzo della tecnica fast-flux per mascherare il reale IP del sito.
In effetti gia' un NSlookup mostra tutte le caratteristiche che parrebbero associare il sito di pharmacy a tecnica fast-flux notando come i tempi TTL ((tempo di vita dello specifico IP dopo il quale l'indirizzo IP viene rinnovato) sono posti a solo 5 minuti, cosa che denota una continua variazione degli IP rilevati da un whois.
Questo l'output di un semplice script Autoit che esegue un whois ciclico sulla URL del sito di pharmacy e che mostra ad intervalli abbastanza regolari la variazione dell'IP rilevato
e che parrebbe coinvolgere anche IP italiano.
Ricordo che l'uso di fast-flux per mascherare il reale IP del sito e' noto da tempo ed utilizzato sia da attacchi malware tramite botnet ma anche in casi di distribuzione di pharmacy.
A conferma di questo consiglio la lettura di un breve post pubblicato da Sophos dal titolo 'Fast-flux pharmacies' che descrive seppur non in maniera approfondita il fenomeno pharmacy in relazione proprio a Canadian Pharmacy e all'uso di IP multipli in fast-flux.
Da notare come si tratti di un post del settembre 2007 , cosa che dimostra come il fenomeno pharmacy sia ormai ben presente in rete con questa tipologia di utilizzo e da parecchio tempo.
Quello che e' cambiato e' probabilmente l'uso di nuovi metodi per diffondere i links tra i quali appunto , anche il coinvolgimento di social network, e chiaramente non solo per linkare a siti che distribuiscono farmaci di dubbia provenienza od affidabilita' ma anche a ben piu' pericolosi codici malware
Edgar
Questa una mail ricevuta nella giornata di ieri che risulta essere una fake notifica Twitter e che ,fortunatamente, si limita solo a linkare a noto sito di pharmacy.
![](http://2.bp.blogspot.com/-gRGHHf7livU/TjoBEeegSgI/AAAAAAAAjmE/OFP5OrLKiv8/s320/mail%2Bfake%2Btwitter.jpg)
![](http://1.bp.blogspot.com/-72W9EP8VLOs/TjoBEg9-UJI/AAAAAAAAjmc/9AwPBrf1h1I/s320/redir%2Bobfu.jpg)
![](http://4.bp.blogspot.com/-aHQnOCGqThk/TjoBMlMdwYI/AAAAAAAAjms/tDgHs3ysDt8/s320/safe%2Bbrowsing%2B2011-08-04_083853.jpg)
![](http://4.bp.blogspot.com/-Y9HQvZqC4A0/TjoBE6UMsdI/AAAAAAAAjmk/l7DUP6zUe1A/s320/redcode%2Bobfu.jpg)
![](http://3.bp.blogspot.com/-GWJx7VViZ_g/TjoBEm_M8wI/AAAAAAAAjmU/tbV2-QwL0mE/s320/ph%2Bsite%2Bobfu%2B.jpg)
In effetti gia' un NSlookup mostra tutte le caratteristiche che parrebbero associare il sito di pharmacy a tecnica fast-flux notando come i tempi TTL ((tempo di vita dello specifico IP dopo il quale l'indirizzo IP viene rinnovato) sono posti a solo 5 minuti, cosa che denota una continua variazione degli IP rilevati da un whois.
![](http://3.bp.blogspot.com/-PlP-mNNyw20/TjoBEawpvgI/AAAAAAAAjmM/V8t6U0UZGIQ/s320/nslookuk%2Bobf.jpg)
![](http://2.bp.blogspot.com/-WNyLdWTl9iQ/TjoBM2Qya0I/AAAAAAAAjm0/9mtzGnGXkv0/s320/whoisip%2B2011-08-03_183246obfu%2B.jpg)
Ricordo che l'uso di fast-flux per mascherare il reale IP del sito e' noto da tempo ed utilizzato sia da attacchi malware tramite botnet ma anche in casi di distribuzione di pharmacy.
A conferma di questo consiglio la lettura di un breve post pubblicato da Sophos dal titolo 'Fast-flux pharmacies' che descrive seppur non in maniera approfondita il fenomeno pharmacy in relazione proprio a Canadian Pharmacy e all'uso di IP multipli in fast-flux.
Da notare come si tratti di un post del settembre 2007 , cosa che dimostra come il fenomeno pharmacy sia ormai ben presente in rete con questa tipologia di utilizzo e da parecchio tempo.
Quello che e' cambiato e' probabilmente l'uso di nuovi metodi per diffondere i links tra i quali appunto , anche il coinvolgimento di social network, e chiaramente non solo per linkare a siti che distribuiscono farmaci di dubbia provenienza od affidabilita' ma anche a ben piu' pericolosi codici malware
Edgar
Nessun commento:
Posta un commento