Feeds:
Posts
Comments

Archive for September 28th, 2010

Due piccioni e una fava…

Nelle ultime ore, c’è in circolazione un proliferare di spam che vuol apparire come proveniente da LinkedIn, come quello che riporto qui accanto.

Lo spam esce dalla botnet denominata Cutwail, ben nota alle cronache per essere una delle botnet più grandi in circolazione e al centro di svariate attività (ovviamente tutte illegali) tra le quali alcuni recenti DDoS come quello ai danni di Twitter.

Abbastanza ovviamente, il contenuto dello spam non linka affatto LinkedIn: punta infatti a pagine html depositate su webserver “innocenti”, cui lo spammer ha avuto accesso grazie al fatto di essersi impossessato delle credenziali FTP. Nel caso specifico, il pattern è quello riconducibile allo Zeus Trojan, che ha infettato il PC del proprietario dell’account FTP, ha sniffato le credenziali e le ha solertemente mandate al suo controllore.

Nel caso della mail qui accanto, la pagina linkata è http://altanyilmaz .com.tr/1.html (lo spazio l’ho messo apposta per evitarvi tentazioni).

Se si va a vedere cosa contiene la pagina in questione, si trova:

In sostanza, la pagina fa due cose:

  • esegue una redirezione verso un sito di pilloline (il marchio “Pharmacy Express” riportato dallo stesso è di norma riconducibile alla gang che fa capo a Leo Kuvayev, recentemente incassettato)
  • include un iframe puntante ad un altro sito

A che serve l’iframe?

Facile: cerca di installare lo Zeus Trojan sul PC del visitatore incauto.

Prendono due piccioni con una fava, insomma.

E indovinate dove cercan di mettervi la fava…

Read Full Post »

%d bloggers like this: