Una delle tecniche piu' usate da chi vuole distribuire files malware sotto forma di eseguibili e' sicuramente la creazione di pagine web che, indicizzate dai motori di ricerca, propongano link ad eseguibili dai contenuti malevoli.
Di solito mentre le pagine contenti i riferimenti utili a creare il maggior numero possibile di risultati di ricerca sono hostate su siti spesso compromessi, gli eseguibili malware a cui si viene linkati dalla ricerca, vengono 'ospitati' in altri siti anche questi compromessi ma molte volte anche creati appositamente.
Il fatto di avere i codici eseguibili malevoli su altro host permette facilmente di aggiornare il malware indipendentemente dai link proposti.
Il caso analizzato mostra come questo sito di hotel italiano
stia attualmente fungendo da supporto alla distribuzione di una notevole quantita' di link a file eseguibile malware,tra l'altro poco rilevato,attraverso i risultati di ricerca in rete.
Ecco come si presenta una pagina di risultati di ricerca (notate l'url dei risultati riferita al sito dell'hotel IT)
Ecco i links ed i contenuti dei risultati in una tabella dettagliata generata da script Autoit.
Si nota subito come vengano elencati i piu' diversi generi di softwares ( nomi di programmi noti, riferimenti a mp3 e files musicali, riferimenti a noti antivirus ecc.....)
e come si tratti di pagine tutte comuni alla medesima url appartenete all'hotel IT
Ecco un'altra rappresentazione della struttura del sito di hotel con in evidenza i subfolders creati al suo interno allo scopo di ospitare il codice che linkera' al malware.
Ecco come si presenta invece il layout htm interrogando da browser i singoli folder creati
Chiaramente cliccando su uno qualsiasi delle centinaia di risultati proposti dal motore di ricerca, il sito compromesso dell'hotel non viene assolutamente visualizzato ma viene proposto un eseguibile dal nome generico (start.exe) linkato da altro sito.
Una analisi VT mostra un riconoscimento abbastanza basso del file malevolo
con, in dettaglio
Come si evidenziava in premessa, gli eseguibili malware linkati di solito sono hostati su sito diverso da quello compromesso (in questo caso quello di hotel IT) e quindi seguendo il link da dove e' stato scaricato il file 'start.exe' possiamo scoprire ulteriori dettagli.
Quello che appare e' un sito che al suo interno ospita una grande quantita' di files eseguibili dai nomi piu' diversi ma tutti che ricordano quelli di noto software, sistemi operativi, musica ecc....
Ecco una parziale visione dei contenuti
In particolare una analisi dei files presenti mostra un riconoscimento VT simile a quello del malware originale linkato dalle ricerche, mentre altri eseguibili sono, in realta', dei semplici files testo come si vede da questo screenshot.
Per capire meglio la natura dei contenuti del folder proviamo allora a scaricarne totalmente il contenuto ottenendo
Gia' dalle dimensioni dei files si vede come gli eseguibili siano probabilmente tutti file ridenominati derivanti dal medesimo eseguibile malware, cosa confermata da una analisi dei codici hash
In definitiva sono stati creati centinaia di files exe con differenti nomi da utilizzare probabilmente in link da pagine fake di download software o link generati da ricerche in rete.
Edgar
Nessun commento:
Posta un commento