Si tratta di una pagina di fake aggiornamento del noto browser Google Chrome
con hosting su server USA.
Come si vede, cliccando sul link del fake update viene proposto un eseguibile
che, fortunatamente, e' ampiamente riconosciuto dai softwares AV
Si tratta di malware non recentissimo che una analisi online mostra eseguire diverse 'attivita' tipiche dei codici trojan.
Interessante notare anche come l'URL della pagina del fake aggiornamento Chrome, mostri un indirizzo di dominio che punta ad agriturismo italiano ( hosting su server IT )
mentre l'effettivo hosting del trojan e' puntato dal sottodominio su server usa con differente IP
Questo si puo' spiegare con la tecnica di DNS sub-domain hijacking molto usata ad esempio dai phishers e dai siti di pharmacy e che nel caso attuale mostra questi DNS Records
In breve si tratta di creare, accedendo all'amministrazione dei DNS del sito legittimo, dei fake sottodimini dello stesso facendoli puntare a differente IP e relativo host del malware
Edgar
Nessun commento:
Posta un commento