cloutz
02-09-2009, 09:53
Ciao ragazzi:D
volevo segnalarvi oggi una cosa carina, di cui molto probabilmente eravate già a conoscenza (io no, data la mia lunga assenza dalla scena)...
tutto parte da una mail di un mio amico di FB:
http://img37.imagefra.me/img/img37/2/9/2/kronos/t_nbs3aucw5m_db04556.png (http://imagefra.me/view.php?img=/2/9/2/kronos/f_nbs3aucw5m_db04556.png&srv=img37)
con sospetto apro il link in VM, con Opera sandboxato (con DW) e mi appare questo messaggio di facebook, dove mi viene consigliato (giustamente) di inserire i miei dati solo nel vero sito di fb:
http://img37.imagefra.me/img/img37/2/9/2/kronos/t_nbs3aucw6m_265ad3d.png (http://imagefra.me/view.php?img=/2/9/2/kronos/f_nbs3aucw6m_265ad3d.png&srv=img37)
non inserisco i dati e continuo..arrivando alla vera pagina incriminata (dall'indirizzo notiamo subito che non ha niente a che fare con fb):
http://img40.imagefra.me/img/img40/2/9/2/kronos/t_nbs3aucw7m_040be8f.png (http://imagefra.me/view.php?img=/2/9/2/kronos/f_nbs3aucw7m_040be8f.png&srv=img40)
è molto evidente, inoltre, la bassa qualità della grafica, il fatto che nessun tasto funzioni...poi la tipica richiesta del download flash è tutto un programma:D ... insomma un banale screen di un utente con facebook inglese (neanche italiano) dovrebbe metterci in crisi..
io faccio finta di niente e parte un download in automatico del file setup.exe..lo scarico e lo faccio analizzare a virustotal:
http://www.virustotal.com/analisis/a5fcb04bdc410428d7dfdcd08082ae2414e9ae161c3cd2e5436247ed70eb4496-1251879741
il file rimane sandboxato, ricevo alcuni avvisi dell'hips, che nego..
ormai è ovvio che si tratta del koobface che, a quanto so, dovrebbe rubare dati personali e reindirizzare a siti truffa...
Alla fine, per non rischiare, "svuoto" la sandbox di DW ed elimino tutti i dati personali..
l'ennesimo tentativo di truffa...
Saluti
volevo segnalarvi oggi una cosa carina, di cui molto probabilmente eravate già a conoscenza (io no, data la mia lunga assenza dalla scena)...
tutto parte da una mail di un mio amico di FB:
http://img37.imagefra.me/img/img37/2/9/2/kronos/t_nbs3aucw5m_db04556.png (http://imagefra.me/view.php?img=/2/9/2/kronos/f_nbs3aucw5m_db04556.png&srv=img37)
con sospetto apro il link in VM, con Opera sandboxato (con DW) e mi appare questo messaggio di facebook, dove mi viene consigliato (giustamente) di inserire i miei dati solo nel vero sito di fb:
http://img37.imagefra.me/img/img37/2/9/2/kronos/t_nbs3aucw6m_265ad3d.png (http://imagefra.me/view.php?img=/2/9/2/kronos/f_nbs3aucw6m_265ad3d.png&srv=img37)
non inserisco i dati e continuo..arrivando alla vera pagina incriminata (dall'indirizzo notiamo subito che non ha niente a che fare con fb):
http://img40.imagefra.me/img/img40/2/9/2/kronos/t_nbs3aucw7m_040be8f.png (http://imagefra.me/view.php?img=/2/9/2/kronos/f_nbs3aucw7m_040be8f.png&srv=img40)
è molto evidente, inoltre, la bassa qualità della grafica, il fatto che nessun tasto funzioni...poi la tipica richiesta del download flash è tutto un programma:D ... insomma un banale screen di un utente con facebook inglese (neanche italiano) dovrebbe metterci in crisi..
io faccio finta di niente e parte un download in automatico del file setup.exe..lo scarico e lo faccio analizzare a virustotal:
http://www.virustotal.com/analisis/a5fcb04bdc410428d7dfdcd08082ae2414e9ae161c3cd2e5436247ed70eb4496-1251879741
il file rimane sandboxato, ricevo alcuni avvisi dell'hips, che nego..
ormai è ovvio che si tratta del koobface che, a quanto so, dovrebbe rubare dati personali e reindirizzare a siti truffa...
Alla fine, per non rischiare, "svuoto" la sandbox di DW ed elimino tutti i dati personali..
l'ennesimo tentativo di truffa...
Saluti