lunedì 27 gennaio 2014

Segnalazione sul DB blog. Malware sotto forma di fake PDF e con il supporto di caratteri 'underscore' (27 gennaio)

Segnalati sul Db del blog, da un lettore che ringrazio, 


una serie di links a files ZIP con la nota struttura attribuibile a file con contenuti malware sotto forma di eseguibile fatto passare per file PDF.


Mentre sino a poco tempo fa il riconoscimento da parte dei softwares in VT di questi files linkati, era nullo nullo, attualmente ci sono 2 soli softwares AV che parrebbero rilevare i contenuti malevoli.


Passando il file come l'originario ZIP il riconoscimento e' piu' elevato in quanto viene individuato il file ZIP come possibile supporto al file malware.


In compenso abbiamo tutti gli indizi che si tratti di file eseguibile con contenuti malevoli considerando che:
I files fake PDF tutti con il medesimo valore MD5 e quindi identici nei contenuti, presentano differenti nomi ingannevoli
E' presente la consueta caratteristica di avere l'estensione .exe mascherata da una lunga sequenza di caratteri underscore  (cosa molto vista in passato in casi analoghi
Come si nota bene da questo screenshot l'estensione exe non compare


Una analisi VT mostra diverse varianti del nome di file pur mantenendo uguali contenuti.


La cosa pero' piu' particolare e' che la 'signature' dei fake PDF mostra un nome di applicazione legittima


cosa che si nota chiaramente nelle caratteristiche del file eseguibile


La 'signature' e' identica a quella di questo software


come vediamo in una analisi dell'eseguibile scaricato dal sito legittimo e passato a VT


Chiaramente l'eseguibile e' quello di applicazione legittima e non certo file malware.

Il  fatto che i files malevoli abbiano stessa 'signature' potrebbe essere uno stratagemma per mascherarne meglio i contenuti malware.
Inoltre se consideriamo come si presentano i testi che accompagnano i links in mail, testi che invogliano a scaricare e visionare i contenuti dei files ZIP, siamo certamente di fronte all'ennesima distribuzione malware simile alle numerose gia' viste in un recente passato.

Edgar

Nessun commento: