sabato 24 dicembre 2011

E-Cards pericolose. Una cartolina elettronica natalizia particolare (24 dicembre)

Ecco una mail ricevuta questa mattina, che dal testo (nome di persona sconosciuta che invia l'E-Card) sembra essere il solito tentativo di compromettere il PC di chi al riceve.

Un click su uno dei links presenti, rivela pero' che il sito IT a cui puntava

e' stato messo offline dall' hoster, molto probabilmente proprio a causa di problemi di sicurezza.

Una veloce ricerca in rete permette comunque di trovare un altro sito IT compromesso,

questa volta ON-line, e che propone una pagina come questa

Notate che il link corrisponde comunque nella sua struttura ---- /E-Cards/?id---- a quello rilevabile nel source della mail ricevuta

cosa che dimostra che ci troviamo, molto probabilmente, sempre di fronte ad un sito coinvolto, suo malgrado, nella distribuzione del malware linkato dalle fake E-Card.

Il sorgente della pagina contiene questo codice offuscato

che parrebbe puntare a sito ucraino

con whois

Seguendo il link del codice de-offuscato ci troviamo di fronte a questo nuovo codice nuovamente offuscato

che deoffuscato mostra

Il codice e' simile a quello gia' analizzato qualche giorno fa sul blog, in un caso di spam malware, e ricorda il noto BlackHole Exploit.

In effetti se salviamo il codice della pagina di fake E-Card e passiamo il file a Virus Total troviamo

con 8 softwares Av che individuano una minaccia ed alcuni nello specifico un software malevolo Blacole

Se passiamo invece a VT il codice finale, offuscato linkato sul sito ucraino abbiamo l'antivirus Microsoft che individua il file come Blacole Exploit.

Come si vede, si tratta di un tentativo di diffondere malware da parte di personaggi che approfittano del periodo natalizio per rendere piu' credibili le mails con links a fakes E-Card hostate, anche, su alcuni siti IT compromessi.

Edgar

Nessun commento: