In alcuni post precedenti abbiamo visto come tramite siti compromessi (molti anche IT) si cerchi di redirigere il visitatore su pagine che contengono i codici exploit BlackHole, ma un altro mezzo molto efficace e' pure quello di mails di spam con link al codice malevolo.
Interessante e' quindi la struttura di una mail ricevuta oggi, in quanto evidenzia sia la lingua italiana per il messaggio e anche per l'allegato codice htm (quindi mail diretta a utenti internet italiani) ma anche mail particolare per il doppio tentativo (allegato + link) di redirigere chi riceve il messaggio a pagina con codice BlackHole exploit.
Questa la mail
dove notiamo un allegato htm (in pratica una pagina web con iframe) e un link a sito che ospita codice simile a quello dell'allegato.
L'header in mail punta a
E' evidente che ci sono due diverse possibilita' per tentare di far seguire il link ad exploit
1 – cliccando sul link presente nel messaggio
2 – cliccando sull'apparentemente innocuo allegato dal nome ingannevole LEGGERE.htm
In particolare un click sull'allegato porta alle apertura nel browser di questa semplice pagina
con la presenza di iframe che redirige a
che linka a sua volta al php ospitato su (hoster gia' utilizzato in passate distribuzioni BlackHole – notare il nome che ricorda proprio una nota categoria di malware )
Il php e' costituito da codice offuscato
Allo stesso codice php possiamo pero' anche arrivare cliccando sul link in mail (ecco perche' si scriveva di una doppia possibilita' di compromettere il computer di chi ricevesse la mail di spam pericoloso)
L'unica differenza che il redirect avviene tramite sito on-line e non da codice allegato eseguito in locale.
Il codice php, o meglio l'url relativa sono visti da servizi di scansione online come
cosa che conferma la pericolosita' dei links proposti in mail.
In definitiva, anche se il testo in italiano e' abbastanza confuso, specialmente nella parte relativa al link presente nel messaggio, potrebbe facilmente accadere che chi riceve la mail clicchi sull'allegato LEGGERE.htm che a prima vista puo' sembrare un innocuo codice di pagina web.
In relata' si verrebbe linkati in automatico a codice exploit BlackHole con tutte le conseguenze del caso, se presenti le vulnerabilita' sfruttabili dal malware.
Come curiosita' evidenzio che una ripetuta analisi con sito di scansione online della pagina con codice PHP, mostra non rilevare, dopo un primo positivo esito, il codice malware ma indica una pagina priva di contenuti, cosa associabile quasi certamente ad una verifica eseguita dal malware BlackHole sull'IP del visitatore.
Ecco infatti, alcune delle caratteristiche del kit BlackHole exploit pubblicate in un precedente post. Si tratta di una sorta di presentazione delle varie caratteristiche del KIT malware proposta da chi distribuisce BlackHole.
Alla voce “sicurezza” (intesa come sicurezza da analisi esterne del codice malware leggiamo)
…........... Completamente aggiornata la "Sicurezza"
a) la possibilita' di bloccare il traffico senza referer (si consiglia di tenere sempre ON)
b) la possibilita' di vietare referer inutili
c) la possibilita' di vietare tutti i referer ad eccezione di alcuni
d) la possibilita' di vietare i bot …....
d) la possibilita' di vietare rete TOR........ (si consiglia di tenere sempre ON)
ecc.........
cosa che dimostra come tentativi di evitare analisi del malware siano ben presenti.
Dal punto di vista di un riconoscimento delle pagine e dei codici malevoli visti ora, una analisi Virus Total mostra, almeno al momento, un risultato praticamente nullo rendendo cosi' ancora piu' evidente i possibili pericoli di questa ennesima distribuzione di spam pericoloso.
Edgar
Nessun commento:
Posta un commento