lunedì 24 marzo 2008

Scacchi e malware

I motori di ricerca, e non solo Google, permettono a volte di trovare situazioni di siti compromessi che sono veramente al di fuori di ogni logica.
In effetti viene il dubbio, vendendo la quantita' di links restituiti dalla ricerca sul sito preso in esame oggi, che veramente si tratti di reali pagine php hostate sullo stesso e tutte che puntano al diffusissimo sito di contenuti porno Porntube che distribuisce varianti del malware ZLOB.
Analizzando comunque gli IP coinvolti seguendo i links proposti dal motore di ricerca, questi corrispondono a quelli di questo sito italiano sul gioco degli scacchi che appare quindi, suo malgrado, utilizzato per linkare malware.

Questo sito compariva gia' effettuando una ricerca generica in rete per siti su dominio .IT e contenenti il termine 'porn' che funziona sempre molto bene per trovare pagine compromesse e contenenti spesso link a malware.
Un secondo passaggio e' stato quello di affinare la ricerca utilizzando l'url del sito
'inurl:xxxxxscacchi.it'

il che ha portato a a quasi 5000 links.

La quantita' e' sembrata veramente alta per un sito di scacchi, anche se evidentemente molto visitato, ed a questo punto si e' provato a verificare un po di pagine di risultati , non le prime proposte dal motore di ricerca , ma le ultime e' c'e' stata una prima conferma.

Infatti come si vede compaiono nei link termini che hanno ben poco a che fare con il gioco degli scacchi anche se l'url punta sempre a www.xxxxscacchi.it con una sottopagina sempre /download/xyz.php dove xyz assume i testi piu' diversi

Cliccando su uno di questi link abbiamo, ad esempio un fake sito di ricerche ma non solo ....


Approfondendo ulteriormente al ricerca ed aggiungendo il solito termine 'porn' questa volta i link al sito di scacchi si riducono, si fa per dire , a circa 600.

Tutti i link trovati corrispondono a pagina php che parrebbe hostata all'interno del sito, cliccandoli si viene trasferiti al sito Porntube che tenta di scaricare una variante del malware ZLOB quando si cerca di visualizzare un falso filmato.


La possibilta' di vedere come e strutturata una di queste pagine php, che linkano a Porntube, ci viene offerta dall'uso della cache del motore di ricerca:

Si tratta dei soliti termini aggiunti per cercare di comparire ai primi posti di una ricerca in rete.

C'e' inoltre da dire che , se non e presente il referer della ricerca, ossia se cerchiamo di aprire uno dei link visualizzati dal motore di ricerca in una pagina a se' il risultato e' quello di pagina non trovata.

Inoltre, se proviamo a linkarci direttamente sul folder /download/ del sito di scacchi il risultato e' questo
poche parole ma che spiegano molto.


Sempre in riferimento a possibili attacchi subiti in passato, questo sito appare presente in un elenco di pagine compromesse pubblicato in rete.

dove si nota che risultano due attacchi di cui uno abbastanza recente.

Alcune considerazioni.

Sembra quasi impossibile che nessuna delle persone che visita il sito abbia mai provato ad eseguire una ricerca in rete e non si sia accorta del probabile problema delle pagine aggiunte e che linkano a Porntube.
Da parte sua il sito Porntube sta' in questi ultimi mesi aumentando la quantita' di pagine che lo linkano in maniera notevole.
Basti pensare che sfruttando solo questo siti di scacchi ci troviamo di fronte a 600 links solo per Porntube ma dei quasi 5000 visti nella ricerca generica per questa url sicuramente molti linkano a pagine dubbie e poco affidabili.

Alla base di tutto questo c'e' comunque sempre il fatto che molti siti .IT e altrettanti server web risultano poco sicuri ed espongono i loro contenuti ad essere facilmente attaccati da malintenzionati.
Una pratica che sembra destinata in futuro a diffondersi se non verranno presi opportuni provvedimenti.

Continua

Edgar

Nessun commento: