Un altro Italian Job o un Google Job?

Lo scorso mese di giugno, il virus battezzato “Italian Job” aveva infettato oltre 6.000 siti italiani di turismo, intrattenimento, automobili e materiale per adulti, provocando danni a più di 15.000 utenti Internet durante la sua prima settimana di attività.

Nei giorni scorsi, Trend Micro ha individuato un nuovo sito web “maligno” che può far pensare a un ritorno di “Italian Job”. Il sito, infatti, prende di mira gli utenti italiani, spacciandosi per un tour operator specializzato nei viaggi in India:

La fonte del malware è simile a: http://www.{BLOCKED}elettronici.com/

indiatouroperator/registrazione.exe“>

Il file “registrazione.exe” è stato identificato da Trend Micro come il trojan TROJ_AGENT.AAFY, mentre l’indirizzo URL che lo ospita è uno script maligno rilevato come HTML_AGENT.AAFX.

Una volta che il file “registrazione” si è installato nel sistema dell’utente, questo viene automaticamente reindirizzato su un sito di oroscopo, che di fatto non ha niente a che vedere con il tour operator:

Il file registrazione.exe (TROJ_AGENT.AAFY) scarica inoltre altre componenti malware come TROJ_AGENT.ZTH.

Quando l’installazione è stata completata, il browser indica che si è verificato un errore durante il caricamento del sito “desiderato”. Il modo più facile e veloce per continuare, quando Internet Explorer (IE) si blocca, è quello di aprire un nuovo browser, ma così facendo l’utente scoprirà che la pagina di avvio di IE punta verso un nuovo sito web,  www.qoogler.com, che finge di essere il sito web legittimo di Google:

Come ci si può immaginare, questo  non è un errore tipografico, ma in realtà è  “qoogler.com” che finge di essere il motore di ricerca Google. Guardando questa pagina più da vicino, ci si accorge che Google è diventato “GOOOGLE”. Il sito ha anche un link “AstroGooogle”, che rimanda l’utente al sito di astrologia già citato prima. Ancora una volta si tratta di una tecnica di social engineering che il malware utilizza per ingannare gli utenti inducendoli a scaricare altri suoi componenti maligni.

Il codice HTML di questa pagina maligna è:
< em>height=74 alt=Google src=”images/nav_logo.gif” mce_src=”images/nav_logo.gif” width=226>

Il file GobbaEvo.exe è stato individuato da Trend Micro come TROJ_AGENT.AAFX. Nella fase di infezione, quando l’utente tenta di cercare, ad esempio, “trendmicro” utilizzando Gooogle, potrebbe avere il risultato seguente:

La pagina con i risultati della ricerca chiede l’installazione di un nuovo programma per risolvere ancora un altro problema verificatosi con Internet Explorer. Il file scaricato è naturalmente ancora altro malware che reinderizza l’utente verso una pagina web per adulti , ancora sotto la parvenza di qoogler.com.