Il blog di D3lab segnala QUI un tentativo di diffusione malware attualmente in atto ed ottenuto attraverso l'invio di mails contenti messaggi che simulano comunicazioni dell'autorita' giudiziaria portoghese e propongono di consultare online il procedimento in corso.
Si tratta in realta' di false comunicazioni che riproducono uno schema di spam noto ormai da anni e non solo ai danni di utenti portoghesi della rete, e che, cercando di incuriosire chi ricevesse il messaggio, tentano di far cliccare sul link ad eseguibile malware.
Vediamo qualche dettaglio:
Questo un whois del server che ospita attualmente sia le false pagine di comunicazione del procedimento nonche' l'eseguibile malware ed alcune shells.
Analizzando i contenuti del sito troviamo sia le false pagine con link a malware
che sommariamente tradotte mostrano
ma anche numerosi eseguibili dai nomi random.
In effetti si utilizza una tecnica gia' vista parecchio sia per distribuzioni malware, che piu' recentemente (vedi QUI) in casi di phishing, e precisamente la generazione di nomi casuali sia per i folders che per gli eseguibili proposti partendo da un 'originale' .exe malware.
Questo un frammento del codice php
che svolge appunto la funzione di creare il nuovo nome di file partendo dall'originale eseguibile
ed inserendo sia la stringa “processo' che una sequenza casuale di numeri ottenuta con l'uso di alcune note funzioni php.
Questo il nome di file ottenuto e proposto a chi cliccasse sul link
con in dettaglio la conferma del download del fake file dal nome casuale e che dovrebbe essere la descrizione del 'processo' in corso.
Chiaramente si tratta di codice malware che attualmente e' rilevato da circa il 50 % dei software AV presenti in VT
con
Per cercare di aumentare la credibilita' della 'distribuzione malware" abbiamo diversi stratagemmi tra cui ad esempio l'icona del file scaricato che si presenta come quella di un folder
mentre cliccando sul logo presente nel layout del form, si viene reindirizzati sul reale sito della autorita' portoghese.
Edgar
Nessun commento:
Posta un commento