[NEWS] Malware, falsi AV , pharmacy su siti .IT. Una breve analisi.

[Edgar Bangkok]

giovedì 6 novembre 2008

Raccomando a chi volesse esplorare i links presenti nel post di prendere le dovute precauzioni. Si tratta infatti anche di links a malware spesso NON riconosciuto dai softwares Av e quindi ancora piu' pericoloso.(utilizzare ad esempio sandbox, noscript e possibilmente il tutto in esecuzione all'interno di una macchina virtuale con i dovuti settaggi (non condivisione files o cartelle, firewall con blocco degli indirizzi di rete locali ecc....ecc.....)

Qui di seguito una breve analisi della situazione attuale limitata ad una parte dei problemi presenti su alcuni (ma ormai direi molti) siti .IT per quanto si riferisce a distribuzione di malware, falsi programmi antivirus, siti di pharmacy , spam ecc...

Questa breve analisi e' stata effettuata solo con l'ausilio di un motore di ricerca (Google) filtrando i risultati sia per sito .IT che per data (ultima settimana) proprio per avere un quadro aggiornato della situazione.

Ecco il risultato di una mezzora di ricerche in rete per evidenziare parte dei problemi a cui si va' incontro navigando tra siti .IT che risultano piu' o meno compromessi, proponendo a volte malware, a volte falsi siti di pharmacy ma anche sempre piu' spesso false applicazioni antivirus.

A confermare perche' si stia diffondendo la distribuzione di falsi AV cito ad esempio questo articolo apparso su Punto Informatico che tratta proprio del grande giro di denaro dietro a queste applicazioni antivirus fasulle “ .....i guadagni di una settimana per gli appestatori-affiliati possono variare da 58mila a 158mila dollari, con ricavi netti stimabili in 5 milioni di dollari all'anno gestendo una botnet da 10mila o 20mila compromissioni giornaliere. ..........”


Pagine inserite in maniera nascosta all'interno del sito

Sono centinaia i siti .IT che al loro interno contengono una a piu' pagine che simulano falsi blog, forums o layout di siti web che propongono links a pagine con, normalmente, scripts java che tentano in automatico di scaricare sul pc di chi le visita files eseguibili malware.
In questi ultime tempi si e' passati dal download di file eseguibili malware al download di falsi antivirus
Qui vediamo un esempio di un sito italiano

che al suo interno ospita folders nascosti contenenti codici
(img sul blog)
con links a questo falso antimalware
(img sul blog)
che in ogni caso Virus Total evidenzia come un trojan dowloader
(img sul blog)

Codici introdotti direttamente nel sito per reindirizzare su altri di vario genere ma sempre con contenuti pericolosi o comunque non sicuri

In questo caso ad esempio un sito di una squadra di pallavolo
(img sul blog)
che da una ricerca in rete
(img sul blog)
propone direttamente il sito noto come Canadian Pharmacy (whois variabile spesso in fastflux) che vediamo nello screenshot sottostante

Siti che vengono sfruttati per proporre links a pagine malware (di solito links a siti con contenuti porno) come vediamo sia nel caso di collegamenti nascosti aggiunti (qui visibili poiche' gli scripts sono disabilitati)

con links a falsi AV
(img sul blog)
che VT analizza come
(img sul blog)
molto poco riconosciuto.
(img sul blog)
Oppure:
links inseriti su forums con post generati automatiamente allo scopo

di solto di genere porno
(img sul blog)

e con link a falsi codecs
(img sul blog)
e nella piu' recente massiccia presenza di:
pagine Moodle (e-learning) sfruttate per diffondere links:
Questo un esempio di sito Moodle odierno
(img sul blog)
con links che tramite redirect puntano, al momento di scrivere il post, ad un file che si spaccia per antivirus
(img sul blog)
ma in realta' e' malware
(img sul blog)
Sembra che la tendenza sia sia quella di alternare distribuzione di reale malware con files di falsi antivirus sempre dallo stesso links di redirect e questo per avere una riuscita migliore dell'operazione.
Il numero di siti Moodle che presentano falsi accounts utente con links malware e' enormemente aumentato in queste ultime settimane come si nota da queste ricerche odierne
(img sul blog)
per un totale di
(img sul blog)

Ma , poiche' la fantasia di chi propone questo genere di files pericolosi non ha limiti ecco una interessante scoperta
Sempre attraverso un links su forum giungiamo a questa pagina
(img sul blog)

che come vediamo propone la visione free di filmati porno.
Per poter visualizzare i filmati occorre pero' un accesso tramite password e questa volta viene proposto un 'generatore di codici di accesso' che dovrebbe permettere di creare il nostro codice.
(img sul blog)
In realta' se tentiamo di generare una key quello che succede e' la proposta di eseguire un file che pero una volta lanciato ci mostra un avviso di incompatibilita' del programma con il nostro sistema operativo.

Chiaramente e' un falso avviso, in quanto il programma scaricato si installa sul nostro computer e produrra' effetti non desiderati
Anche se un report su VT lo cataloga come Spyware
(img sul blog)

una analisi con Anubis e Threat Expert rivelano la pericolosita' dell'eseguibile
(img sul blog)

In conclusione in circa 30 minuti di navigazione Internet abbiamo scaricato sul nostro computer questi files eseguibili
(img sul blog)
che dimostrano ancora una volta come le insidie in rete aumentino costantemente anche per siti .IT.

Edgar

fonte: http://edetools.blogspot.com/