giovedì 11 ottobre 2012

Distribuzione malware. Aggiornamenti (11 ottobre)

Vediamo due casi di distribuzione malware attualmente online.

Il primo e' un classico esempio di messaggio mail con allegato zip che contiene un eseguibile fatto passare per pdf.
Questa volta sembra che l'utenza Internet da colpire sia quella IT visto che, sia il messaggio che il nome del file malware sono in lingua italiana.

Ecco il dettaglio del messaggio mail che fa riferimento alla nota azienda di spedizioni DHL

-----------------------------------------------------------------------------------------------------
Un errore nel recapito della consegna.
DHL Italiano italiano@xxxxxx.it 
Caro cliente, 
Il corriere della nostra societa non e riuscito a consegnare il pacco a Suo indirizzo. 
Motivo: Lerrore nellindirizzo della consegna. 
Lei potra personalmente ricevere il pacco presso Suo ufficio postale. 
Alla presente lettera e allegato il documento postale. 
Lei ha da stampare questo documento per poter ricevere il pacco nellufficio postale. 
La ringrazio. 
DHL Italiano. 
-----------------------------------------------------------------------------------------------------

Come si vede si tratta del consueto testo che tenta di ingannare chi ricevesse la mail facendogli aprire l'allegato fake pdf


 che se cliccato, mandera' in esecuzione i contenuti malware.
Anche l'icona, oltre che al nome del file eseguibile,  tenta di farlo 'passare' per PDF


Una analisi VT mostra, come succede spesso in questi casi, un riconoscimento basso dei contenuti pericolosi


con


Tra l'altro possiamo notare come l'eseguibile venga visto da VT come un file con differente  nome anche se con caratteristiche simili.
Il riferimento non e' alla nota azienda di spedizioni internazionali ma ad un ticket che dovrebbe riguardare la compagnia aerea USA, Delta Airlines.
Evidentemente chi distribuisce il malware ha ridenominato il file adattandolo per una utenza italiana della rete.

Il  secondo caso e' invece quello relativo a fake pagina di setup Adobe Flash Player


Si tratta della ennesima distribuzione di malware attraverso un falso file di update che viene proposto in automatico.

Anche in questo caso rileviamo un basso riconoscimento dei contenuti malware


con


Interessante notare come per il redirect al clone, venga utilizzata una tecnica molto diffusa anche in casi di tradizionale phishing, e precisamente l'utilizzo di subdominio che punta a diverso IP rispetto al dominio presente nella url.

Se infatti esaminiamo il dominio della pagina fake, troviamo che propone questa azienda agricola USA


con  diverso IP rispetto a quello del subdominio che punta al flash update fasullo


Questo un dettaglio dei DNS records  


dove vediamo i due ip coinvolti (fake flash page e url dell'azienda agricola USA.)

Una delle possibilita' e' che chi vuole distribuire malware abbia avuto accesso al pannello di configurazione dell'hosting creando un nuovo  subdominio che punta a differente IP
Questa una semplice demo presente su pagina di help di hoster usa  che mostra come utilizzando semplicemente il pannello di controllo, si possa attivare un subdominio che punta a differente IP (subdominio support.example.com di example.com)


Edgar

Nessun commento: