lunedì 7 maggio 2012

Distribuzione malware attraverso links presenti su forum, guestbooks e commenti.(7 maggio)

AVVISO ! Ricordo che anche se alcuni links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso ! Si tratta di links ad eseguibili malware spesso poco riconosciuti dai softwares AV.

Come gia' evidenziato il 4 maggio nel post al riguardo della distribuzione di links a malware su siti IT, e' sempre molto attiva la 'campagna' di inclusione in forum, guestbooks e commenti ai siti, di collegamenti a files con contenuti malevoli.

Si tratta di links tutti appartenenti attualmente al medesimo dominio de.lt (Est Timor) generati utilizzando free web service tedesco e che compaiono in un numero notevole di siti legittimi che offrono la possibilita' di postare su forum, guestbooks e/o scrivere commenti in maniera free senza restrizioni.

Che si sia di fronte ad una distribuzione di collegamenti a malware molto intensa e tuttora attiva lo possiamo rilevare da diversi indizi tra cui:

Una ricerca su siti IT che presentino link a malware del tipo nome_dominio.de.tl mostra, ad esempio, questo sito con commenti aggiornati da qualche ora


Altro sito questo IT

con evidenti commenti con links ed in data attuale

Ecco un altro forum IT con situazione simile a quelle viste ora.

In questo caso si nota anche la possibilita' di avere un collegamento ipertestuale sul link mentre in altri casi, specialmente nei commenti e guestbooks, i links sono presenti ma solo in modo testuale.

Una ricerca in rete per siti non .IT mostra un rilevante numero di links (decine di migliaia) , anche se chiaramente non tutti saranno relativi a questa distribuzione malware) e tempi di indicizzazione da parte del motore di ricerca che variano da pochi minuti od ore, cosa che avvalorerebbe la tesi di azione di distribuzione malware in corso.

Ecco ad esempio un sito su dominio francese con un libro degli ospiti che riporta il noto link.

Ulteriore conferma di distribuzione links tuttora ben supportata la abbiamo tornando ad analizzare l'eseguibile distribuito da pagine come questa

che sono linkate attraverso vari redirect

come gia' visto nel post del 4 maggio.

L'analisi Virus Total mostra sempre un basso riconoscimento, addirittura un software in meno di quelli della precedente analisi VT, e tra l'altro con alcuni software che ora non riconoscono piu' la minaccia e sono sostituiti da altri


con

Evidentemente chi gestisce il malware sta sempre 'aggiornando' i codici per renderli il meno possibile 'riconoscibili' dagli AV, cosa gia' vista in passato in questo genere di diffusione di malware.

Edgar

Nessun commento: