Il post seguente è stato tradotto per gentile concessione di F-Secure
Ci siamo imbattuti in un falso installer FlashPlayer.pkg per Mac:
Una volta installato, il trojan aggiunge alcune voci nei file host con l’intento di effettuare l’hijack degli utenti che visitano vari siti di Google, (ad esempio, google.com.tw, google.com.tl, ecc), verso l’indirizzo IP 91.224.160.26, che si trova nei Paesi Bassi.
Il server dell’indirizzo IP visualizza una pagina web fasulla, creata per apparire simile al sito legittimo di Google.
Per fare un esempio, questo è l’aspetto di Google.com.tw su un sistema normale, non-infetto:
Ecco, invece, come appare Google.com.tw su un sistema infetto:
Quando viene richiesta una ricerca, il server remoto restituisce una falsa pagina che imita una pagina legittima dei risultati di ricerca di Google.
Ecco una richiesta di ricerca sul sito reale di google.com.tw su un sistema pulito:
Ed ecco la stessa richiesta su un sistema infetto:
Anche se la pagina sembra abbastanza realistica, fare clic su uno dei link non porterà l’utente ad altri siti. Il clic sui link aprirà, però, nuove pagine pop-up, tutte provenienti da un server remoto separato:
Mentre scriviamo, le pagine pop-up non mostrano nulla, anche se presumiamo siano annunci di qualche tipo. Pare che il server remoto che invia le pagine pop-up non sia operativo.
L’altro server remoto che invia false richieste di ricerca sembra essere ancora attivo.
Abbiamo identificato questo trojan come Trojan:BASH/QHost.WB.
—–
Analisi di – Brod
Fonte: Trojan:BASH/QHost.WB We come across a fake FlashPlayer.pkg installer for Mac:
Once installed, the trojan add entries to the hosts file to hijack users visiting various Google sites (e.g., Google.com.tw, Google.com.tl, etc) to the IP address 91.224.160.26, which is located in Netherlands.
The server at the IP address displays a fake webpage designed to appear similar to the legitimate Google site.
As an example, this is what Google.com.tw looks like on a normal, uninfected system:
In contrast, this is what Google.com.tw looks like on an infected system:
When a search request is entered, the remote server returns a fake page that mimics a legitimate Google search results page.
Here’s a search request on the real Google.com.tw site on a clean system:
And here’s the same request on an infected system:
Even though the page looks fairly realistic, clicking on any of the links does not take the user to any other sites. Clicking on the links does however open new pop-up pages, which are all pulled from a separate remote server:
At the time of writing, the pop-up pages aren’t displaying anything, though we presume they are ads of some sort. It appears that the remote server serving the pop-up pages is down.
The other remote server returning fake search requests appears to be still active.
We detect this trojan as Trojan:BASH/QHost.WB.
—–
Analysis by – Brod
Source: Trojan:BASH/QHost.WB