Edgar Bangkok
29-10-2008, 09:07
mercoledì 29 ottobre 2008
Prosegue l'utilizzo di siti Moodle (sistema di sviluppo di siti di e-learning,( Course Management System)) per creare pagine con links a siti poco affidabili o peggio che distribuiscono false applicazioni AV o malware.
Dopo quanto pubblicato in questo post (http://edetools.blogspot.com/2008/10/uso-di-moodle-per-linkare-pagine-con.html), ulteriori ricerche odierne hanno portato ad individuare ulteriori “aggiornamenti” su siti Moodle appartenenti a scuole od universita' nonche' aziende private.
Ecco alcuni esempi della recente pagina Moodle relativa al profilo utente con un layout comune a molti siti attualmente online:
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/moodle2/model5.jpg
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/moodle2/moodle12008-10-29_115507.jpg
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/moodle2/moodle2.jpg
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/moodle2/moodle3.jpg
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/moodle2/moodle4.jpg
Come si vede viene simulato una sorta di motore di ricerca multiplo cliccabile direttamente sull'immagine
Il risultato e' costituito dall'apertura di una pagina fasulla di scansione online per questo fake antivirus denominato Pro Antispyware 2009 o come si vede dalla url 'scannerantispyware'
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/moodle2/n4fake.jpg
Una analisi fatta con VT dimostra il quasi nullo riconoscimento della falsa 'applicazione da parte degli AV presenti sul report.
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/moodle2/vt.jpg
Interessante notare che per l'ennesima volta viene utilizzata una URL che modificata porta a caricare nomi diversi dello stesso falso setup exe e che presenta anche differenti layout del falso scanner AV
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/moodle2/n6fake.jpg
Edgar :D
fonte: http://edetools.blogspot.com/
Prosegue l'utilizzo di siti Moodle (sistema di sviluppo di siti di e-learning,( Course Management System)) per creare pagine con links a siti poco affidabili o peggio che distribuiscono false applicazioni AV o malware.
Dopo quanto pubblicato in questo post (http://edetools.blogspot.com/2008/10/uso-di-moodle-per-linkare-pagine-con.html), ulteriori ricerche odierne hanno portato ad individuare ulteriori “aggiornamenti” su siti Moodle appartenenti a scuole od universita' nonche' aziende private.
Ecco alcuni esempi della recente pagina Moodle relativa al profilo utente con un layout comune a molti siti attualmente online:
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/moodle2/model5.jpg
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/moodle2/moodle12008-10-29_115507.jpg
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/moodle2/moodle2.jpg
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/moodle2/moodle3.jpg
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/moodle2/moodle4.jpg
Come si vede viene simulato una sorta di motore di ricerca multiplo cliccabile direttamente sull'immagine
Il risultato e' costituito dall'apertura di una pagina fasulla di scansione online per questo fake antivirus denominato Pro Antispyware 2009 o come si vede dalla url 'scannerantispyware'
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/moodle2/n4fake.jpg
Una analisi fatta con VT dimostra il quasi nullo riconoscimento della falsa 'applicazione da parte degli AV presenti sul report.
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/moodle2/vt.jpg
Interessante notare che per l'ennesima volta viene utilizzata una URL che modificata porta a caricare nomi diversi dello stesso falso setup exe e che presenta anche differenti layout del falso scanner AV
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/moodle2/n6fake.jpg
Edgar :D
fonte: http://edetools.blogspot.com/