Vediamo due casi che riguardano siti di Amministrazione Pubblica che ospitano al loro interno, in una o piu' pagine, migliaia di links a siti con links a malware oppure a siti di pharmacy che di solito reclamizzano viagra e derivati.
Il primo sito la cui homepage presenta date relative ad aggiornamenti molto recenti, riguarda un Comune italiano.
mentre qui vediamo una visualizzazione totale del layout di una delle pagine
che pur essendo del tutto 'normale', al momento del caricamento nel browser presenta tempi insolitamente lunghi.
Analizzando con Wget al momento del caricamento notiamo che la dimensione del source risulta abbastanza grande anche rispetto al layout visto prima.
Infatti se andiamo ad esaminare il file sorgente troviamo oltre al normale codice migliaia di links nascosti
che vediamo in dettaglio
Una buona parte di questi link punta ad un sito di pharmacy
Un secondo caso invece ci mostra come i link nascosti presenti siano sempre ben aggiornati
Ecco la homepage, sempre di sito comunale,
che questa volta presenta migliaia di links che sfruttano il noto sito Google Groups
Si nota che gia' al momento del download della pagina di Google Groups viene caricata una immagine da un sto che ospita anche il falso player video.
Il link seguente apre questo sito di falsi filmati che presenta un layout del player abbastanza curato.
Non si tratta infatti della solita singola gif animata ma di un vero e proprio file flash che simula il player video, compreso l'avanzamento della barra del download del file.
Il sito di falsi filmati presenta whois
In maniera automatica, se gli scripts sono attivi , o cliccando sul link che propone il falso codec video, verra' scaricato il file eseguibile contenente malware, che vediamo analizzato con VT
ed a titolo di raffronto con VirScan
dove ancora una volta si notano alcune discordanze ,analizzando il medesimo file pericoloso con diverso sito di scansione online.
Come nota finale, c'e' da dire che entrambi i siti risultano costruiti utilizzando l'ambiente di sviluppo Joomla che potrebbe forse essere messo in relazione ai problemi osservati ora.
Infatti, ad esempio, esistono vulnerabilita' Joomla dovute ad estensioni che se non aggiornate favoriscono i tentativi di hacking, di cui abbiamo gia' visto vari esempi in passato.
Edgar
Nessun commento:
Posta un commento