Come molte volte gia' osservato, uno dei principali argomenti utilizzati per diffondere malware e' l'utilizzo di siti con contenuti porno.
Per facilitare la ricerca di questi siti, si creano pagine di solo testo contenenti migliaia di parole, frasi con links ai siti ma anche migliaia di urls con nomi diversi ma tutti che ci ricordano il contenuto hard.
Una ricco campionario di queste pagine, con moltissime urls create appositamente per il 'mercato' italiano, lo possiamo trovare sfruttando una delle ormai consuete pratiche utilizzate per proporre links pericolosi.
Per avere un rifrimento a questi links aggiornato ad oggi non dobbiamo procedere a ricerche approfondite in quanto possiamo, ad esempio, utilizzare il sito del Comune di Bra nelle sue pagine di news 'Bra Notizie'
Come al solito, sfruttando una caratteristica di siti come questo che danno a chi li visita la possibilita di commentare i contenuti delle notizie in maniera del tutto priva di controlli sono stati inseriti parecchi links a siti porno.
Utilizzando un motore di ricerca per reverse IP vediamo ora cosa ci viene proposto cliccando ad esempio sul link presente nei commenti alle news di Bra Online e precisamente "Donne Vip Udine"
L'ip rilevato e' il 72.245.61.101 e da un reverse ip otteniamo un migliaio di urls di cui vediamo una breve lista
Eseguendo una ricerca anche su IP vicini a quello iniziale i risultati non cambiano; abbiamo circa mille pagine hostate per ogni IP con diffrenti URLS e tutte con il medesimo genere di contenuti
C'e' da ricordare che molti di questi siti linkano a loro volta a malware di solito ZLOB proposto come falso setup di player video o codec.
Quello che e' particolare e' che solo pochi software antivirus riescono a roconoscere il pericolo come vediamo da questo report VT
Sempre sullo stesso genere di siti abbiamo quelli hostati su IP 85.92.154.141 ed IP vicini a questo.
Anche in questo caso centinaia, se non migliaia, di url moltissime delle quali in italiano.
I whois degli IP linkano a server in Olanda ma anche USA e Filippine anche se di solito si usa dominio .cn
Inoltre, nel caso di dialers, vengono proposti diversi sistemi a seconda se si usi una connessione modem oppure ADSL per continuare a sfruttare il sitema dialer anche in assenza di un collegamento tramite linea telefonica tradizionale.
In pratica si propone di ricevere una password di accesso al sito XXX componendo un numero di telefono a pagamento.
Come si vede una tale quantita' di links, personalizzati anche per il "mercato' italiano, presuppone una organizzazione sicuramente molto efficiente e diffusa e che approfitta efficacemente anche di tutte le possibilita' offerte da siti che permettono senza troppi controlli di postare links e commenti come nel caso visto ora di 'Bra Notizie'.
Edgar
Per facilitare la ricerca di questi siti, si creano pagine di solo testo contenenti migliaia di parole, frasi con links ai siti ma anche migliaia di urls con nomi diversi ma tutti che ci ricordano il contenuto hard.
Una ricco campionario di queste pagine, con moltissime urls create appositamente per il 'mercato' italiano, lo possiamo trovare sfruttando una delle ormai consuete pratiche utilizzate per proporre links pericolosi.
Per avere un rifrimento a questi links aggiornato ad oggi non dobbiamo procedere a ricerche approfondite in quanto possiamo, ad esempio, utilizzare il sito del Comune di Bra nelle sue pagine di news 'Bra Notizie'
Come al solito, sfruttando una caratteristica di siti come questo che danno a chi li visita la possibilita di commentare i contenuti delle notizie in maniera del tutto priva di controlli sono stati inseriti parecchi links a siti porno.
Utilizzando un motore di ricerca per reverse IP vediamo ora cosa ci viene proposto cliccando ad esempio sul link presente nei commenti alle news di Bra Online e precisamente "Donne Vip Udine"
L'ip rilevato e' il 72.245.61.101 e da un reverse ip otteniamo un migliaio di urls di cui vediamo una breve lista
Eseguendo una ricerca anche su IP vicini a quello iniziale i risultati non cambiano; abbiamo circa mille pagine hostate per ogni IP con diffrenti URLS e tutte con il medesimo genere di contenuti
C'e' da ricordare che molti di questi siti linkano a loro volta a malware di solito ZLOB proposto come falso setup di player video o codec.
Quello che e' particolare e' che solo pochi software antivirus riescono a roconoscere il pericolo come vediamo da questo report VT
Sempre sullo stesso genere di siti abbiamo quelli hostati su IP 85.92.154.141 ed IP vicini a questo.
Anche in questo caso centinaia, se non migliaia, di url moltissime delle quali in italiano.
I whois degli IP linkano a server in Olanda ma anche USA e Filippine anche se di solito si usa dominio .cn
Inoltre, nel caso di dialers, vengono proposti diversi sistemi a seconda se si usi una connessione modem oppure ADSL per continuare a sfruttare il sitema dialer anche in assenza di un collegamento tramite linea telefonica tradizionale.
In pratica si propone di ricevere una password di accesso al sito XXX componendo un numero di telefono a pagamento.
Come si vede una tale quantita' di links, personalizzati anche per il "mercato' italiano, presuppone una organizzazione sicuramente molto efficiente e diffusa e che approfitta efficacemente anche di tutte le possibilita' offerte da siti che permettono senza troppi controlli di postare links e commenti come nel caso visto ora di 'Bra Notizie'.
Edgar
Nessun commento:
Posta un commento