giovedì 7 agosto 2008

Utilizzo di folders di 'upload' come deposito di links a malware

Sono parecchi anche i siti .IT che, come al solito in maniera nascosta, ospitano links a malware, il piu delle volte sotto forma di falsi player video contenuti nelle pagine linkate.
Esamineremo questa volta i contenuti 'nascosti' dei folders di upload presenti in molti siti web.

Prima di vedere alcuni dei moltissimi casi presenti in rete e contenuti in folders di upload e bene segnalare che nella maggior parte delle volte la pagina o le pagine (possono essere anche centinaia per simulare ad esempio un falso blog) sono raggiungibili solo se il referrer passato del browser e' quello risultante da una ricerca in rete.

Qui vediamo un setup di referrer che permette di raggiungere le pagine malware attraverso la stringa che simula la provenienza del link utilizzato, da una pagina di ricerca in rete.

Questo si spiega bene con il fatto che queste pagine, nelle intenzioni di chi le ha create, servono malware attraverso i risultati di una ricerca Internet ed il link diretto, se nascosto, aumenta la probabilita' che rimangano per diverso tempo attive e nascoste.
In altre parole se richiamiamo il codice html dal browser con link diretto otteniamo un risultato di pagina non trovata
Inoltre il sub-folder spesso all'interno di quello di upload ed utilizzato per hostare le pagine porta ad esempio un riferimento a data passata (2005) anche se creato recentemente e questo ,ancora una volta per mascherare meglio il suo contenuto.

In questa schermata vediamo ad esempio il contenuto del folder 'upload' di un sito di un noto parlamentare italiano che, insieme a tre folder del tutto 'normali' e contenenti le immagini pubblicate sulle pagine, ospita anche il folder 2005

cliccando su quale abbiamo l'apertura della seguente pagina, contenente un buon numero di ulteriori links pericolosi.


Non si salvano da questo genere di attacchi che distribuiscono links a malware anche folders di upload che , peraltro senza grande successo visiti i risultati, si propongono come inseriti in 'Area Riservata'

Qui vediamo un screenshot di siti italiano che al momento dell'accesso al folder upload mostra il seguente avviso

Peccato che il contenuto nell'area Riservata sia facilmente accessibile da una ricerca in rete e porti a linkare , anche con gli script disabilitati sul browser , a questo noto sito di falsi filmati porno

che naturalmente ospita il falso setup del player video contenente varianti del malware ZLOB con codice continuamente modificato e poco riconosciuto dai softwares AV

Questo un whois del sito di falsi filmati porno:

molto noto a chi si occupa di malware.

Stessa data ma nome diverso per quest'altro folder

contenente una serie di false pagine con ulteriori links questa volta a falsi antivirus.

Tra l'altro il fatto di avere date comuni tra diversi folder con questo genere di contenuti sembrerebbe evidenziare che non ci si trova di fronte ad un caso isolato ma ad un sistematico ed esteso tentativo di aumentare la diffusione del malware in rete

(continua)

Edgar

Nessun commento: