Strategie usate dai cyber criminali per diffondere il software rogue e altre minacce pericolose come Zeus o Trojan Zlob sono sempre più orientati al web-based-diffusione con Blackhat SEO e Social Engineering per permettere all’utente di scaricare e installare il file eseguibile maligno.
Il metodo più utilizzato è quello di creare una pagina web, in genere con contenuti pornografici, che mostra una finta immagine di un video e lo avvertono che, per giocare e guardare i video è necessario il download e l’installazione di un codec speciale o un plugin di adobe falso.
Questo è il caso del sito web maligno di nome get2 (punto) tv che utilizza un massiccio spam commenti strategia per promuovere il download di un falso codec video lasciando l’utente pensare che sia Adobe Flash Player e che la sua installazione è necessaria per guardare il falso video. Il sito web “maligno” spamma il suo URL con query false, prevalentemente orientata al porno , e utilizzati Blackhat strategie SEO per essere sicuri di ottenere più visitatori e forse più vittime .
Se si clicca sul link per scaricare il codec falso che riceviamo una richiesta di installare un file denominato setup.exe ma non è scaricato da get2 (punto) tv ma da un altro sito maligno di nome szickfrost.com che ospita il file infettoQuando il file scaricato viene eseguito, si connette a un altro sito web maligno di nome systemveteran (dot) com per scaricare due file eseguibili di nuovo nella cartella Temp, che vengono immediatamente eseguiti:
Dalla prima immagine del programma, che viene installato dal falso file setup.exe codec video, possiamo vedere che sembra un software di sicurezza canaglia di nome SystemVeteran e ha già rilevato 46 infezioni cosiddette nel nostro sistema:
La parte divertente di questo software di sicurezza malevole è che crea nelle nostre cartelle ddi sistemapiù di 100 file, con un nome casuale, che poi vengono rilevati dal SystemVeteran durante il processo di scansione.In pratica questo programma, si è installato, inserendo nel nostro sistema 100 naia di file infetti facendo credere a l’utente che il suo sistema è stato infettato da migliaia di minacce dannose
Mentre è in esecuzione SystemVeteran visualizza avvisi di protezione sul desktop attestante che il computer è sotto attacco o che il malware attivo è stato rilevato. Questi avvisi sono solo un’altra tattica dove stanno cercando di convincervi che il vostro computer ha un problema e deve essere ignorato. SystemVeteran utilizza volutamente falsi avvisi di sicurezza e falsi risultati di scansione come un metodo per spaventare voi ad acquistare il software.
