Quest'oggi ho ricevuto la telefonata di un amico che mi segnalava la comparsa di una minacciosa notifica Virus rilevato, all'interno di una finestrella con due pulsanti: Open e Remove Ads (i testi specifici cambiano da caso a caso). La cosa curiosa è che, in basso, si legge il mittente di tale notifica: Google Chrome, seguito dal dominio di un sito Internet. Il problema di fondo è che non era possibile chiudere questa notifica: non appena lo si faceva, riappariva immediatamente. Vediamo allora come procedere [continua..]
In quel caso l'infezione c'era davvero, con una modifica al registri si potè risolvere.
Presumo il tuo conoscente non usasse un adblocker a giudicare da quanto vedo nelle immagini.
Per caso l'URL è ancora attivo e se sì potresti inviarmelo in privato cosicchè io possa segnalarlo a destra e manca per farlo bloccare?
Grazie in ogni caso
ciao leofelix,
questo caso sembra proprio solo uno scareware di "nuovo" tipo, niente di infettante di per sé. Poi, ovviamente, dopo aver sistemato è sempre una buona idea fare una scansione come suggerivo nell'articolo.
Ti confermo che l'utente non usava adblock.
Il nome del sito lo leggi chiaramente nella prima foto Grazie in anticipo per le segnalazioni di blocco che farai!
Zane ha scritto: ↑mer dic 04, 2019 12:47 am
Il nome del sito lo leggi chiaramente nella prima foto Grazie in anticipo per le segnalazioni di blocco che farai!
Ciao Zane,
di nulla, figurati, grazie a te che hai portato alla luce questo nuovo falso antivirus scanner.
il sito lo vedo è l'URL completo che chiedevo.
Insomma il sito in sè è pulito vedi?
Non risulta nemmeno compromesso, mi chiedo che tecnica hanno usato i malintenzionati.
Presumo si debba prima visitare il video che il tuo amico stava guardando, quindi individuare lo script che reindirizza verso la pagina con l'antivirus farlocco.
Sappiamo tutti che sono stati trovati anche cryptominers ben nascosti in video di youtube nel recente passato.
Non escludo nemmeno che sia geo-localizzato (ovvero che si visualizzi solo in un determinato Paese), che cambi da browser a browser e da OS a OS.
Anche a mia madre quando regalai un tablet con android per farla distrarre si trovò due volte in situazioni simili.
Io non sapevo ancora come bloccare la pubblicità su android e lei si trovò di fronte a due siti che le comunicavano menzionando persino un presunto modello di smartphone che il suo android era infetto simulando una scansione che portava a infezioni inesistenti
Il tutto finalizzato a farti scaricare un rogue antivirus.
A presto e
Io sono riuscito a far scattare la richiesta provando a scaricare un video. Non so dirti se siano loro che, volontariamente, sparano questa schifezza oppure se siano stati hackerati e gli aggressori hanno iniettato il codice in pagina.
Zane ha scritto: ↑mer dic 04, 2019 11:49 pm
Io sono riuscito a far scattare la richiesta provando a scaricare un video. Non so dirti se siano loro che, volontariamente, sparano questa schifezza oppure se siano stati hackerati e gli aggressori hanno iniettato il codice in pagina.
E' proprio come dici tu.
Io ho provato a scaricare diversi video e per ognuno sono stato reindirizzato a siti diversi che erano truffe o tentavano di far installare estensioni melevole o software di dubbia utilità e a pagamento, non sono riuscito però a trovare il falso antivirus
Ecco un esempio
Io credo che sia proprio il sito studiato per reindirizzare verso truffe o malware, ci devono guadagnare un bel po'.
Più tardi provo a dimostrare che si tratta di truffa almeno nel forum di Malwarebytes
[Edit] il problemino è che sia Google sia Netcraft (che fornisce la protezione antiphishing per Opera) difficilmente bloccano truffe generiche, ma solo siti contenenti malware o phishing
Ho fatto delle prove con l'estensione per Chrome della Malwarebytes e ne blocca parecchi di redirects
Non tutti, tra cui alcune fake news di siti che promuovono miracolose diete dimagranti.
Poiché è evidente che i reindirizzamenti sono geo-localizzati (riconoscono anche l'OS e il browser) rischierei di fare una figura da mentecatto o di non essere compreso appieno se chiedessi al forum della Malwarebytes (hanno una sezione apposita)
Ho comunque segnalato tutto quello che potevo via "l'estensione "Google site reporter" e quella di Emsisoft. Nutro poche speranze ma hai visto mai?
Non posso nemmeno caricarlo su phishtank, non solo perderei la mia credibilità come utente attivo (è basata su un algoritmo non lineare ed è sconosciuta agli utenti), ma non è permesso caricare siti che non siano phishing puro.
Magari provo a chiedere a un mio amico, una delle prime persone che ho conosciuto grazie a internet agli albori, e che da qualche anno svolge un importante ruolo per ESET
Non era dove credevo io, non nel redirect, appare una finestrella al lato della pagina in basso a destra. Se ci clicchi ti trovi la simulazione di scansione.
Se abbocchi vieni reindirizzato verso una seconda pagina dove una voce in italiano pronunciato da una orientale ti invita a scaricare il loro prestigioso strumento di pulizia che altro non è che un PuP rilevato solo da 5/6 antimalware (Kaspersky, Avira, SuperAntispyware, Bitdefender, Emsisoft, Eset, Microsoft etc non lo riconoscono, ho inviato il campione ad Avira e Emsisoft intanto). Invece Dr.Web e Malwarebytes lo rilevano.
Alernativamente ti viene chiesta di installare una estensione malevola che ho segnalato a Google.
Inserendo un messaggio, dichiari di aver letto e accettato il regolamento di partecipazione.
Nello specifico, sei consapevole che ti stai assumendo personalmente la totale responsabilità delle tue affermazioni, anche in sede civile e/o penale,
manlevando i gestori di questo sito da ogni coinvolgimento e/o pretesa di rivalsa.
Dichiari inoltre di essere consapevole che il messaggio sarà visibile pubblicamente, accetti di diffonderlo con licenza
CC BY-NC-SA 3.0 (con attribuzione a "TurboLab.it") e rinunci ad ogni forma di compensazione (economica o altro).
Rinunci inoltre esplicitamente a qualsiasi pretesa di cancellazione del messaggio.