sabato 5 maggio 2012

SCRIBD e links a malware. Utilizzo del noto servizio di condivisione documenti SCRIBD per proporre links a malware (5 maggio)

AVVISO ! Ricordo che anche se alcuni links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso ! Si tratta di links ad eseguibili malware spesso poco riconosciuti dai softwares AV.

Attraverso l'analisi di siti IT compromessi o comunque utilizzati sfruttando le possibilita' offerte dalla presenza di guestbooks, forum, form per postare commenti..... senza alcuna verifica di sorta, capita di trovare sistemi veramente particolari e fantasiosi per proporre links a malware

E' il caso di sito IT che rivela, nella pagina dedicata ai commenti, parecchi links al noto servizio di pubblicazione e condivisione documenti denominato Scribd, cosa che a prima vista, puo' sembrare alquanto particolare.
Ricordo che Scribd e' un diffuso servizio di condivisione documenti che possono essere caricati sul sito in vari formati, e proposti on-line e condivisi attraverso una apposita pagina web.
E' evidente che chi vuole distribuire malware cerchi sempre nuovi metodi per proporre links che appaiano come legittimi e non 'sospetti', e l'uso odierno di Scribd potrebbe appunto far apparire il fake player proposto come affidabile e privo di rischi.

Vediamo alcuni dettagli:

Questa una delle pagine Scribd linkate dai commenti su sito IT

e che propone un player video (in realta' una immagine) di grandi dimensioni.

Tutto il fake player e' cliccabile e redirige a codice che provvede a puntare ad un falso sito Youtube dall'accurato layout e gia' descritto in questo post. (differente whois).

Considerato che il falso player risiede su sito di condivisione documenti proviamo ad utilizzare questa caratteristica per analizzare sia il modo utilizzato per proporre il link a malware che eventuali dettagli su chi lo propone.

Intanto e' possibile verificare attraverso l'opzione di gestione degli accounts Scribd che il personaggio che ha uploadato il player lo ha fatto in data recente (inizio maggio).

Altri accounts Scribd coinvolti vedono differente nome del documento

e data (comunque recente)

Proviamo poi a scaricare il documento in questione, cioe' quello che propone il player con il collegamento al redirect, attraverso il download in formato PDF.

Con un visualizzatore pdf possiamo osservare che il documento

e' composto da una sola pagina con una grande immagine (il fake player)

e naturalmente attiva nel proporre i il link

Piu' interessante e' l'analisi dei metadati relativi al documento che mostrano

ed in dettaglio

da cui ricaviamo sia che lo stesso e' stato creato con l'utilizzo di Word ma anche che la possibile data di creazione risale a fine aprile 2012, il che dimostra una azione di distribuzione malware attuale.

Altra particolarita' anche se marginale, e' che la codifica utilizzata

parrebbe essere quella in lingua Cirillica Uzbeka,

cosa che avvalorerebbe l'origine est europea del file ed anche della probabile fonte del malware.

Seguendo il link proposto dal fake player, dopo un ulteriore redirect,ci troviamo di fronte a questo fake Youtube

dal layout estremamente curato e che presenta un fake install di flash player con basso riconoscimento da parte dei software AV

con

Considerando il fatto che il fake player venga presentato su sito legittimo e noto come e' appunto Scribd e che il riconoscimento malware e' molto basso potremmo avere una situazione abbastanza favorevole ad una diffusione estesa del malware analizzato ora.

Edgar

Nessun commento: