sabato 21 aprile 2012

Sempre notevole la diffusione di BlackHole exploit tramite siti, anche .IT, compromessi. Aggiornamenti.(21 aprile)

Continua intensa la 'campagna' di distribuzione malware che vede segnalata in rete la presenza di links a BlackHole Exploit anche su sito Altervista.

Per capire quanto sia attualmente estesa la presenza on-line di siti compromessi basta scorrere i reports di alcuni noti siti che verificano quasi in tempo reale la presenza di nuovi links a codici BlackHole.

Ecco un tipico report, dove vediamo che praticamente tutte o quasi le ultime segnalazioni coinvolgono il noto malware

Tornando al sito Altervista sorge il dubbio che, considerando la homepage inesistente e conoscendo quanto siano usati i servizi di free hosting in casi di phishing e distribuzione malware, si sia creato un nuovo dominio appositamente per distribuire BlackHole.

Una semplice analisi dei dati di registrazione relativi al sito Altervista, rivela invece che lo stesso e' presente on-line da fine 2010 e quindi ci troviamo di fronte, anche questa volta, a sito compromesso .

In ogni caso questo il contenuto della pagina dal noto layout BlackHole

con la tipica scritta che invita ad attendere ed i 3 link ad altrettanti siti compromessi che hostano il successivo redirect alla pagina con gli exploits

Ecco infatti che il secondo dei links presenti ( il primo link parrebbe non essere attivo) punta a

con redirect finale alla pagina BlackHole.

Una semplice analisi della url rivela

mentre piu' interessante e' dare una occhiata ad alcuni report Virus Total relativi a quanto 'scaricato' dal malware sul pc colpito .


Abbiamo questo fake PDF

con risposta AV bassa


come per questi altri eseguibili

ed anche

con riconoscimento quasi nullo.

Interessante anche una analisi Virus Total della pagina exploits passata ed analizzata come URL

che dimostra come sia veramente basso il riconoscimento dei codici malware, sempre tenendo conto di tutti i limiti di una scansione on-line on-demand.

Una delle possibili spiegazioni e' che trattandosi di codici linkati da siti attualmente compromessi e' evidente come il malware sia probabilmente aggiornato quasi in tempo reale, cosa che permette di creare le condizioni, per un difficile riconoscimento dei contenuti pericolosi.

In ogni caso sia il numero che la continua comparsa di nuovi siti compromessi con pagina dal noto layout

e codice altrettanto conosciuto, dimostra che siamo di fronte ad una delle distribuzioni malware piu' attive degli ultimi mesi.

Edgar

Nessun commento: