AVVISO ! Anche se alcuni links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso ! Si tratta di links a malware attivo e, in alcuni casi, poco riconosciuto dai softwares AV
La distribuzione in rete di malware attraverso link a pagine che propongono download di eseguibili malware e 'sempre molto attiva.
Una caratteristica importante di quasi tutti i casi di siti che propongo codici pericolosi e' l'utilizzo non di links diretti all'host del malware ma piuttosto l'uso di redirect attraverso pagine incluse in siti legittimi.
In questo caso i siti compromessi fungono solo da tramite per linkare l'hosting finale di trojan, spyware ma anche molto spesso di fake AV.
Chiaramente chi visita il sito compromesso non si accorgera' della presenza della pagina inclusa che effettua il redirect a malware e la stessa potra' rimaner attiva, senza che chi amministra i sito il piu' delle volte si accorga della sua presenza.
Oltre a costo zero, questo sistema consente di modificare spesso l'url di redirect garantendo, un po come avviene nel phishing, la bassa presenza dei link malevoli in blacklists poiche' sara' molto facile cambiare spesso sito compromesso.
I links presenti su siti legittimi sono di solito gestiti attraverso spam con messaggi che appunto puntano al sito compromesso oppure in, altri casi, sfruttando link presenti in messaggi legati a social network.
Ad esempio questo blog polacco (tradotto con Google)
illustra in data recente una analisi di link a malware che usa Facebook e link a codice incluso con struttura praticamente identica a quella che vedremo nel caso attuale di sito compromesso di hotel IT.Vediamo alcuni dettagli dell'odierno sito IT compromesso:
Si tratta di sito di hotel del centro Italia di cui vediamo la homepage
e dove troviamo incluso questo semplice codice html
che a sua volta redirige su questa pagina di link a download di photoalbum
Come al solito non bisogna farsi ingannare dalla url che vede dominio US ma piuttosto analizzare l'IP che dimostra come sia utilizzato un servizio di free DNS
che permette di creare una url ingannevole e con l'IP che punta a
dove troviamo hostato l'eseguibile malware
Una analisi VT mostra un riconoscimento di circa la meta' dei softwares presenti
ed in dettaglio
mentre una analisi Anubis vede una attivita' di rete del malware che, una volta in run, scarica altri eseguibili sempre da indirizzo IP dello stesso range Ukraino visto ora
In questo caso la risposta dei softwares AV e' notevolmente piu' bassa con soli
6 dei 42 softwares AV che riconoscono il codice come pericoloso
In definitiva durante il test abbiamo acquisito questi due eseguibili entrambi dallo stesso range IP.
Notare le icone tra cui quella del secondo eseguibile che assomiglia ad una gia' utilizzata in files di fake AV.Interessante un reverse IP, del range legato a questa distribuzione malware che evidenzia questo sto di pharmacy ( con IP multiplo ukraino e russo)
anche in lingua italiana e con ampia scelta di medicinali e non solo di Viagra e derivati.
Edgar
Nessun commento:
Posta un commento