Ecco una mail ricevuta questa mattina, che dal testo (nome di persona sconosciuta che invia l'E-Card) sembra
essere il solito tentativo di compromettere il PC di chi al riceve.![](//1.bp.blogspot.com/--r66faZpNk4/TvXKGb_gA3I/AAAAAAAAmv8/rtuNBOObKEs/s320/mail%2B2011-12-24_184835.jpg)
Un click su uno dei links presenti, rivela pero'
che il sito IT a cui puntava![](//3.bp.blogspot.com/-LMU8p-nUB8E/TvXK4l0hmAI/AAAAAAAAmxQ/KwF9pJbIiws/s320/wh%2Bsito%2Bsuspended.jpg)
e' stato messo
offline dall' hoster, molto probabilmente proprio a causa di problemi di sicurezza.
![](//1.bp.blogspot.com/-jfcOfCf2BSI/TvXKHclEdnI/AAAAAAAAmwk/mUBCR9a49zg/s320/susp.jpg)
Una veloce ricerca in rete
permette comunque di trovare un altro sito IT compromesso,![](//3.bp.blogspot.com/-blbdG8U_I90/TvXKGlkR6gI/AAAAAAAAmwE/_Oa-SQrWjak/s320/whois%2Bit%2Bsto%2Battivo.jpg)
questa volta ON-line, e
che propone una pagina come questa![](//3.bp.blogspot.com/-aBLCuB5TkIU/TvXK3_TYhTI/AAAAAAAAmws/dL3iDES7vl0/s320/card%2Bonline.jpg)
Notate che il link corrisponde comunque nella sua struttura ----
/E-Cards/?id---- a quello rilevabile
nel source della mail ricevuta![](//4.bp.blogspot.com/-VoThWxSvw3Q/TvXKG50FQ1I/AAAAAAAAmwQ/dynZHjsFXZA/s320/source%2Bmail.jpg)
cosa che dimostra che ci troviamo, molto probabilmente
, sempre di fronte ad un sito coinvolto, suo malgrado, nella distribuzione del malware linkato dalle fake E-Card.Il sorgente della pagina contiene
questo codice offuscato![](//2.bp.blogspot.com/-jv17mWLbpks/TvXK4H8ybjI/AAAAAAAAmw0/GSMcpffoPlw/s320/card%2Bcode.jpg)
che parrebbe
puntare a sito ucraino![](//3.bp.blogspot.com/-RWGxLhc6C2I/TvXK4R-eJuI/AAAAAAAAmxA/HbTpsUUvLrQ/s320/deoffuscato.jpg)
con whois
![](//4.bp.blogspot.com/-pwbVavRYvv4/TvXLX0VdfWI/AAAAAAAAmxc/GvfBLXtSKec/s320/whoi%2Bpuntato%2Bda%2Bdeoffsc.jpg)
Seguendo il link
del codice de-offuscato ci troviamo di fronte a questo nuovo codice nuovamente offuscato![](//1.bp.blogspot.com/-agw_Gdcq-zY/TvXLYMU9l8I/AAAAAAAAmxo/FumPNwbosvw/s320/cod%2Bof%2Bsu%2Bsito%2Bukr.jpg)
che deoffuscato mostra
![](//4.bp.blogspot.com/-13FQDDPopsc/TvXLYS6HqiI/AAAAAAAAmx0/eqfoptBsMgw/s320/malware.jpg)
Il codice
e' simile a quello gia' analizzato qualche giorno fa sul blog, in un caso di spam malware, e ricorda il noto
BlackHole Exploit.In effetti se salviamo il codice della pagina
di fake E-Card e passiamo il file a Virus Total troviamo
con 8 softwares Av che individuano una minaccia ed alcuni nello specifico un software malevolo Blacole
Se passiamo invece
a VT il codice finale, offuscato linkato sul sito ucraino abbiamo
l'antivirus Microsoft che individua il file come Blacole Exploit.![](//3.bp.blogspot.com/-ICpJur6txj8/TvXSWvGtaNI/AAAAAAAAmyM/wRV_IbDhsAs/s320/codice%2B%2Bsu%2Bukra.jpg)
Come si vede, si tratta di un tentativo di diffondere malware da parte di personaggi che approfittano del periodo natalizio per rendere
piu' credibili le mails con links a fakes E-Card hostate, anche, su
alcuni siti IT compromessi.Edgar
Nessun commento:
Posta un commento