AVVISO IMPORTANTE! Ricordo che anche se alcuni links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso ! Si tratta di pagine e siti che distribuiscono eseguibili MALWARE a volte anche poco riconosciuti dai software AV.
Si tratta di una mail in lingua tedesca ricevuta oggi
che tradotta mostra
e che vede ancora una volta l'utilizzo dell'ormai ben nota pratica del file allegato in formato zip
che propone un nome di file eseguibile particolare
L'utilizzo di una lunga serie di caratteri 'underscore' consente, se la finestra del programma unzip e' di dimensioni ridotte, di vedere solo la parte iniziale del nome del fileche risultera' cosi essere un PDF e non un eseguibile come e' in realta'.Il sito compromesso che ospita il malware come zip file
e' questa volta IT
Una analisi VT mostra come, al momento, il riconoscimento del malware sia ancora estremamente basso
Anubis rivela invece come ci sia una serie di possibili download in cascata
di eseguibili malware che partendo dal primo exe presente nel link portano al download sul pc colpito di successivi files eseguibili spesso quasi per niente riconosciuti
Ecco alcuni dettagli:Il file eseguibile iniziale presenta codice che scarica quando in 'run' alcuni ulteriori eseguibili
Tra l'altro il sito di host dei nuovi files e' ancora con whois IT
A loro volta gli eseguibili scaricati presentano un codice che mostra attivare una connessione a 
scaricando altro malware.Si tratta di una pratica molto nota in caso di attacchi malware che evidenza come in tempo reale possano venire variati i codici malevoli che vengono uploadati sui pc colpiti per differenti scopi che vanno dall'acquisizione di dati personali, alla creazione di reti botnet, alla proposta di falsi softwares AV..... ecc..........
Edgar
Nessun commento:
Posta un commento