Si tratta molto spesso di files eseguibili malware ed exploits spesso poco riconosciuti dai software AV in commercio
Sempre molto attiva la distribuzione di links a pagine con exploits attraverso l'uso di codici offuscati di redirects ospitati anche su siti IT.
Una delle distribuzioni malware piu' attive attualmente e' sicuramente quella a codi di exploits BlackHole, utilizzando mails di spam con link alle pagine di redirects spesso incluse in siti legittimi.
E' il caso di questo sito di liceo romano
con whois
sul cui troviamo incluso questo codice htm
che in dettaglio mostra
Si puo' notare come il testo proposto sia il 'solito' riconducibile a distribuzione di links BlackHole exploit.
Deoffuscando tale codice otteniamo
con link a sito su dominio .ru
Il sito russo ospita questo ulteriore codice php
che parrebbe essere riconducibile ancora una volta a BlackHole exploit.
Una breve ricerca in rete mostra infatti diversi indirizzi su dominio .ru e con il medesimo nome di codice php, e che vengono identificati come BlackHole exploit.
Per capire meglio come vengano distribuiti i link in rete e' interessante verificare sul blog blog.dynamoo.com la presenza di alcuni posts al riguardo di mails di spam UPS
con links agli stessi domini visti prima, e di cui viene anche fornito un breve elenco.
Nel caso analizzato attualmente si nota come il codice con redirect a codice malevolo sia attivo gia' da qualche giorno
anche perche', come succede spesso in questi casi, la pagina rimane nascosta a chi vista il sito, svolgendo solo la funzione di supporto di redirect al malware.
Edgar
Nessun commento:
Posta un commento