AVVISO IMPORTANTE! Ricordo che anche se alcuni links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso ! Si tratta di pagine e siti che distribuiscono eseguibili MALWARE, tra l'altro, anche poco riconosciuti dai software AV.
Una analisi Webscanner su siti trovati con reverse IP di
evidenzia che praticamente tutti i domini e relativi sotto-domini presenti
hanno incluso (in homepage ma anche in altre pagine) il codice offuscato che vediamo in dettaglio
Una volta de-offuscato, possiamo notare link a sito su dominio ......osa.pl
In realta' possiamo facilmente identificare il dominio osa.pl come appartenente a
che evidenzia un servizio di free web domains ed alias polacco.Questo un dettaglio del sito in questione
con evidente uso del nome di dominio osa.plDetto dominio parrebbe essere molto utilizzato per 'mascherare' distribuzione malware come denota ad esempio Norton Safe Webscanner
Il reale IP puntato dall'indirizzo presente nello script e'
con pagina
e codice
Una analisi del source consente di individuare due download di files .jar
che una volta scaricati passiamo a Virus Total.I risultati dimostrano che entrambi i files
ed
sono identificati come malware anche se in maniera estremamente bassa come succede spesso in questi casi dove i codici malevoli possono essere aggiornati in tempo reale per evitare o ridurre il riconoscimento da parte dei software AVQui invece alcuni dettagli della relazione tra IP russo e dominio osa.pl coinvolto
Edgar
Nessun commento:
Posta un commento