venerdì 4 maggio 2012

Script, ricerche, siti IT e links a malware con basso riconoscimento (4 maggio)

AVVISO ! Ricordo che anche se alcuni links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso ! Si tratta di links ad eseguibili pericolosi e spesso poco riconosciuti dai softwares AV.

Continuando con l'utilizzo di script Autoit per gestire ricerche in rete, ecco alcuni aggiornati esempi di nuova distribuzione di links a malware attraverso siti IT.

Lo script Autoit, di cui vediamo una provvisoria interfaccia

estrae in automatico, filtrandoli, i risultati proposti dai piu' noti motori di ricerca.

Naturalmente i links estratti presenti sul report, sono gli stessi che si otterrebbero manualmente tramite l'usuale pagina con interfaccia web del motore di ricerca ma il vantaggio e', oltre ad una presentazione piu' ordinata dei risultati, anche quello di poter estendere le info ottenute come, ad esempio, un whois automatico dei siti elencati nei links.

Ecco quindi il report

dove troviamo almeno 3 casi simili che coinvolgono sempre collegamenti a pagine create su sito tedesco di servizi free di web hosting,

pagine che, a loro volta, linkano a malware.

Si puo' anche notare come l'indicizzazione del motore di ricerca sia di poche ore o al massimo di uno o due giorni, confermando quindi che si tratta di distribuzione malware 'aggiornata'.

Ecco alcuni dettagli:

Questo un forum su sito di Comune IT che presenta una serie di post creati solo allo scopo di diffondere links pericolosi

Qui in dettaglio vediamo un post con link a dominio .de.tl (notate il partcolare country code top-level domain usato dal sito tedesco di free web service e precisamente .tl che corrisponde a Est Timor (Timor-Leste) )

Seguendo il link abbiamo questa pagina

Il link presente, a sua volta, tramite un redirect che coinvolge anche Google nella url

punta a diversi siti di fake movies

e

con layouts datati e ben noti.

Un whois del fake sito di filmati vede

Quello che invece non e' datato come i layouts visti, ma aggiornato, e' il contenuto dei files proposti che in ambedue i casi presentano stesso hash code e risultano quindi essere lo stesso file ridenominato

Una analisi VT mostra, come succede spesso in questi casi di malware 'aggiornato', un basso riconoscimento

con

Questo invece uno degli altri casi evidenziati sul report che non riguarda forum, ma piuttosto 'commenti dei lettori', fake ed aggiornati, sempre su sito di P.A.

Come si nota, sono numerosi i links alle pagine di redirect sullo stesso dominio tedesco di free web visto in precedenza, e successivo redirect a malware.

Edgar

Nessun commento: