Si tratta di una mail segnalatami da Denis Frati, che punta ad exploit tramite link a codice su sito IT compromesso e serie di redirect.
Il testo in mail si riferisce, peraltro in maniera molto confusa ( e che fa pensare ad origine straniera della mail), ad un fatto di cronaca recente
Il testo in mail si riferisce, peraltro in maniera molto confusa ( e che fa pensare ad origine straniera della mail), ad un fatto di cronaca recente
“............Il sindaco di Roma ancora una volta ha inviato una lettera con proiettili ….......... '
ed e ' seguito da questo link
hxxp: //www. nomedelsito.it/posta/LunaIT.php.
Come si nota si tratta di un codice php incluso nel sito IT compromesso che tra l'altro presenta anche un iframe nascosto (che non pare piu' attivo) sula homepage, segno di precedente attacco.
Il caso odierno comunque , dal punto di vista 'operativo' assomiglia di piu' a quanto vediamo nei consueti casi di phishing con link a redirect su sito compromesso per arrivare a clone (in questo caso codice di exploit) su sito creato probabilmente solo per ospitare il malware.
Il php LunaIT.php. Redirige infatti su sito compromesso di OSCommerce con whois USA
che punta a sua volta a sito con whois ukraino
creato di recente
La particolarita' e' che occorre il corretto referrer (in questo caso il domino che effettua il redirect) per visualizzare il codice offuscato malevolo:
Si tratta di codice offuscato abbastanza complesso
e che viene modificato ad ogni ulteriore download come s nota da questo screenshot.
Il codice, de-offuscato. mostra analogie con altri gia' presenti in rete ed attribuibili a noto exploit.
In particolare si vede come si sia posta molta cura sia nell'individuare il sistema operativo della macchina da colpire
nonche' il browser usato sul pc attaccato.
A riprova che si tratta di una azione di distribuzione malware attiva, una ulteriore analisi del redirect mostra attualmente un diverso dominio rispetto a quello linkato ieri,
sempre su medesimo hoster ukraino , ma creato in data piu' recente.
Un po come succede per il phishing ai danni di banche, le continue modifiche degli indirizzi al malware e del codice malevolo sono eseguite per evitare eventuali blacklist dei domini malevoli e aumentare la difficolta' di riconoscimento dei codici pericolosi da parte dei softwares AV.
Edgar
Nessun commento:
Posta un commento