Un click su uno dei links presenti, rivela pero' che il sito IT a cui puntava
e' stato messo offline dall' hoster, molto probabilmente proprio a causa di problemi di sicurezza.
Una veloce ricerca in rete permette comunque di trovare un altro sito IT compromesso,
questa volta ON-line, e che propone una pagina come questa
Notate che il link corrisponde comunque nella sua struttura ---- /E-Cards/?id---- a quello rilevabile nel source della mail ricevuta
cosa che dimostra che ci troviamo, molto probabilmente, sempre di fronte ad un sito coinvolto, suo malgrado, nella distribuzione del malware linkato dalle fake E-Card.Il sorgente della pagina contiene questo codice offuscato
che parrebbe puntare a sito ucraino
con whois
Seguendo il link del codice de-offuscato ci troviamo di fronte a questo nuovo codice nuovamente offuscato
che deoffuscato mostra
Il codice e' simile a quello gia' analizzato qualche giorno fa sul blog, in un caso di spam malware, e ricorda il noto BlackHole Exploit.In effetti se salviamo il codice della pagina di fake E-Card e passiamo il file a Virus Total troviamo
con 8 softwares Av che individuano una minaccia ed alcuni nello specifico un software malevolo BlacoleSe passiamo invece a VT il codice finale, offuscato linkato sul sito ucraino abbiamo l'antivirus Microsoft che individua il file come Blacole Exploit.
Come si vede, si tratta di un tentativo di diffondere malware da parte di personaggi che approfittano del periodo natalizio per rendere piu' credibili le mails con links a fakes E-Card hostate, anche, su alcuni siti IT compromessi.Edgar
Nessun commento:
Posta un commento