AVVISO ! Ricordo, come sempre, che anche se alcuni links sono in chiaro, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc...)
L'utilizzo di siti compromessi per hostare codici di redirects a siti dai dubbi contenuti, quando non veri e propri files malware, e' sempre molto diffuso.
Analizziamo un attuale sito IT compromesso con link a 'fake' sito di free downloads di vario genere che in realta' propone un eseguibile riconducibile al noto adware filehunter.exe.
Questa una odierna ricerca in rete
![](http://3.bp.blogspot.com/-tMriH6nV8tk/T4KLNyiPhZI/AAAAAAAAo-k/a9Q08WHfftY/s320/search.jpg)
Una analisi approfondita del sito mostra folder con contenuti datati al 6 aprile
![](http://2.bp.blogspot.com/-y_W8oNfJWqk/T4KLOV0groI/AAAAAAAAo_A/DpYEDGAJTEM/s320/vintner%2Bfolder.jpg)
![](http://3.bp.blogspot.com/-1OMXkaDyzko/T4KLOwATEpI/AAAAAAAAo_I/kb_CATyElgg/s320/2286%2Bfiles.jpg)
![](http://2.bp.blogspot.com/-4iuKADILy3k/T4KLOMtZ_cI/AAAAAAAAo-s/MZPnWOQtvp4/s320/fake%2Bpage.jpg)
![](http://4.bp.blogspot.com/-43Fh6s7-hEc/T4KLPHPHxLI/AAAAAAAAo_U/I0CrmDToUGo/s320/links.jpg)
Usando opportuni codici di referrer possiamo vedere che dette pagine puntano in automatico, senza cioe' visualizzare il loro layout a chi cliccasse sui risultati di una ricerca, a questo sito con whois
![](http://4.bp.blogspot.com/-_pPxorGSGIQ/T4KM2P5fXvI/AAAAAAAAo_g/E-XV9QMWXps/s320/whois%2Bfilel%2Bmanager.jpg)
![](http://2.bp.blogspot.com/-npvFPumNIP4/T4KNLaJAERI/AAAAAAAAo_s/HS40WbIZ7cQ/s320/domain%2Breg.jpg)
![](http://4.bp.blogspot.com/-9vlnQiTMA5U/T4KPWhdlniI/AAAAAAAApAE/aZthOI9ET-s/s320/generico%2Blayout%2Bfm.jpg)
![](http://2.bp.blogspot.com/-LTF_hlPT8t4/T4KPWF-hutI/AAAAAAAAo_4/82dBEWsy04E/s320/altro%2Bandroid%2Bfm.jpg)
![](http://2.bp.blogspot.com/-XfY6gnhGBNU/T4KPW5TSwvI/AAAAAAAApAQ/5zC4jWxTZ6s/s320/file%2Bmanager%2Bdownload.jpg)
Per chi pensasse che quello linkato dalle pagine incluse sia un reale sito di download files, anche se evidentemente con contenuti non freeware, eseguiamo questo test:
Ecco una l'url di una pagina generica di ricerca (es. con chiavi di ricerca 'android' e 'apk')
![](http://2.bp.blogspot.com/-kbaAKJV-GO0/T4KQqOeZ40I/AAAAAAAApAo/GAe_cdlK_Vo/s320/andr%2Bapk%2B%2Bandroid%2Bfm.jpg)
Andiamo ora a sostituire la stringa di testo nella url con una di fantasia.... ad esempio “fake_nome_file ecc…....” ottenendo una sequenza di possibili download con svariate 'varianti' come new, 2012, final, official......... ecc...
![](http://2.bp.blogspot.com/-oWEuuDJE82U/T4KQpzFanJI/AAAAAAAApAc/ckc97YKeOsM/s320/fake%2Bp.jpg)
![](http://2.bp.blogspot.com/-HV6Z2TwspGQ/T4KRUQ04W7I/AAAAAAAApA0/_wOTkvaUWvs/s320/fake%2Bfile%2Bdown%2Bexe.jpg)
Una analisi VT mostra ad esempio il file exe scaricato da ricerca generica, come
![](http://2.bp.blogspot.com/-DWcyW4RQdpA/T4KRxavEoaI/AAAAAAAApBA/os0g4YIfkKY/s320/vttop.jpg)
![](http://1.bp.blogspot.com/-dKpMygnNpgM/T4KRxoFychI/AAAAAAAApBM/CUU1KJPfN1E/s320/vt%2Breport.jpg)
anche se c'e' da considerare che la maggior parte dei software AV individuano il file come adware e solo pochi come malware.
Anche il fake file generato 'al momento' mostra
![](http://2.bp.blogspot.com/-O5gePEUwX48/T4KRyLZFpqI/AAAAAAAApBY/iA2ThdvRBxg/s320/vt%2Bfake%2Bfile%2Bgenerato.jpg)
Esaminando in dettaglio la pagina del 'repository' di files, in realta' tutti i files fanno riferimento, per il download, a siti hostati sul medesimo server con whois
![](http://1.bp.blogspot.com/-9N6y3b7LadM/T4KSXksi7VI/AAAAAAAApBk/vdFISWoMYIY/s320/whois%2Bgestore%2Bfiles.jpg)
![](http://1.bp.blogspot.com/-hQu2N2YKxwQ/T4KSX77FsKI/AAAAAAAApBs/f4diwCM1-Xw/s320/filehunter%2Bsite.jpg)
E' evidente come ci siano strette analogie sia nelle icone che come dimensioni dei files, cosa che fa pensare che, pur con diversi codici hash, si tratti sempre e comunque del medesimo contenuto (filehunter.exe).
![](http://1.bp.blogspot.com/-UEYVndu7fiw/T4KSYFGkJLI/AAAAAAAApB4/3mFxp3eA5x0/s320/files%2Bsimili.jpg)
![](http://4.bp.blogspot.com/-UL2VJKQ3DoM/T4KS7fTiyuI/AAAAAAAApCI/-36j_aCI-Hw/s320/fake%2Bfile%2Bin%2Blist.jpg)
Inoltre lo stratagemma di generazione automatica di nomi di files consente di proporre sempre nuovi nomi aggiornandoli, se necessario, con termini attuali (es. stringa '2012').
![](http://2.bp.blogspot.com/-oWEuuDJE82U/T4KQpzFanJI/AAAAAAAApAc/ckc97YKeOsM/s320/fake%2Bp.jpg)
Edgar
Nessun commento:
Posta un commento