AVVISO ! Ricordo, come sempre, che anche se alcuni links sono in chiaro, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc...)
L'utilizzo di siti compromessi per hostare codici di redirects a siti dai dubbi contenuti, quando non veri e propri files malware, e' sempre molto diffuso.
Analizziamo un attuale sito IT compromesso con link a 'fake' sito di free downloads di vario genere che in realta' propone un eseguibile riconducibile al noto adware filehunter.exe.
Questa una odierna ricerca in rete
che propone diversi link a codici html presenti all'interno di sito compromesso ITUna analisi approfondita del sito mostra folder con contenuti datati al 6 aprile
e quasi 3.300 (tremilatrecento !!!!) codici html inclusi
che propongono pagine come questa
Ogni pagina mostra contenere, in linea con nota tecnica di distribuzione di link a malware, ulteriori riferimenti ad altre pagine sempre hostate sul medesimo sito
e decine di termini utili a 'forzare' il motore di ricerca nella creazione di numerosi risultati, a fronte di una ricerca online.Usando opportuni codici di referrer possiamo vedere che dette pagine puntano in automatico, senza cioe' visualizzare il loro layout a chi cliccasse sui risultati di una ricerca, a questo sito con whois
e nome di dominio creato quest'anno
Il sito presenta un tipico layout che ricorda pagine che propongono download dei piu' svariati generi.
In ogni caso il download
porta a far scaricare un falso mpg, zip, rar o comunque un qualsiasi file con doppia estensione, come si nota dallo screenshot....
anche se la stessa doppia estensione non viene pero' visualizzata nella lista files.Per chi pensasse che quello linkato dalle pagine incluse sia un reale sito di download files, anche se evidentemente con contenuti non freeware, eseguiamo questo test:
Ecco una l'url di una pagina generica di ricerca (es. con chiavi di ricerca 'android' e 'apk')
che naturalmente propone svariati files tutti “rigorosamente” con doppia estensioneAndiamo ora a sostituire la stringa di testo nella url con una di fantasia.... ad esempio “fake_nome_file ecc…....” ottenendo una sequenza di possibili download con svariate 'varianti' come new, 2012, final, official......... ecc...
Ma c'e' di piu', e' anche possibile scaricare il file 'fake' che abbiamo appena creato
ottenendo un eseguibile che analizzato mostra essere sempre con contenuti simili a quelli proposti da una ricerca di default attraverso la scelta tramite text box e pulsante 'search'.Una analisi VT mostra ad esempio il file exe scaricato da ricerca generica, come
con riconoscimento abbastanza basso dei contenuti
anche se c'e' da considerare che la maggior parte dei software AV individuano il file come adware e solo pochi come malware.
Anche il fake file generato 'al momento' mostra
Esaminando in dettaglio la pagina del 'repository' di files, in realta' tutti i files fanno riferimento, per il download, a siti hostati sul medesimo server con whois
con questa pagina riconducibile a filehunter.exe, applicazione catalogata come adware e da alcuni softwares AV come malware.
Andando ad esaminare i files scaricati dal sito di free download e ricordando anche come possa essere generato un nome di file di 'fantasia', possiamo fare un confronto tra questi e l'eseguibile filehunter.exe downloadato da uno dei siti referenziati nella pagina del file manager,E' evidente come ci siano strette analogie sia nelle icone che come dimensioni dei files, cosa che fa pensare che, pur con diversi codici hash, si tratti sempre e comunque del medesimo contenuto (filehunter.exe).
In pratica, nei casi di download di mpg, zip. rar ecc.. con doppia estensione ma anche di un file generato al momento ( fake_nome_file ecc…....)
, si tratterebbe sempre di filehunter.exe con evidente tentativo ingannevole allo scopo di fare installare un software quantomeno dai dubbi contenuti.Inoltre lo stratagemma di generazione automatica di nomi di files consente di proporre sempre nuovi nomi aggiornandoli, se necessario, con termini attuali (es. stringa '2012').
C'e anche da ricordare che una ricerca in rete mostra che lo stesso fake sito di files download visto ora, e' linkato da risultati Google che puntano anche ad alcuni altri siti IT compromessiEdgar
Nessun commento:
Posta un commento