giovedì 25 settembre 2008

Ancora links nascosti inseriti in siti di P.A.

Vediamo due casi che riguardano siti di Amministrazione Pubblica che ospitano al loro interno, in una o piu' pagine, migliaia di links a siti con links a malware oppure a siti di pharmacy che di solito reclamizzano viagra e derivati.

Il primo sito la cui homepage presenta date relative ad aggiornamenti molto recenti, riguarda un Comune italiano.

mentre qui vediamo una visualizzazione totale del layout di una delle pagine

che pur essendo del tutto 'normale', al momento del caricamento nel browser presenta tempi insolitamente lunghi.
Analizzando con Wget al momento del caricamento notiamo che la dimensione del source risulta abbastanza grande anche rispetto al layout visto prima.

Infatti se andiamo ad esaminare il file sorgente troviamo oltre al normale codice migliaia di links nascosti

che vediamo in dettaglio

Una buona parte di questi link punta ad un sito di pharmacy

Un secondo caso invece ci mostra come i link nascosti presenti siano sempre ben aggiornati

Ecco la homepage, sempre di sito comunale,

che questa volta presenta migliaia di links che sfruttano il noto sito Google Groups

Si nota che gia' al momento del download della pagina di Google Groups viene caricata una immagine da un sto che ospita anche il falso player video.

Il link seguente apre questo sito di falsi filmati che presenta un layout del player abbastanza curato.


Non si tratta infatti della solita singola gif animata ma di un vero e proprio file flash che simula il player video, compreso l'avanzamento della barra del download del file.


Il sito di falsi filmati presenta whois

In maniera automatica, se gli scripts sono attivi , o cliccando sul link che propone il falso codec video, verra' scaricato il file eseguibile contenente malware, che vediamo analizzato con VT

ed a titolo di raffronto con VirScan

dove ancora una volta si notano alcune discordanze ,analizzando il medesimo file pericoloso con diverso sito di scansione online.

Come nota finale, c'e' da dire che entrambi i siti risultano costruiti utilizzando l'ambiente di sviluppo Joomla che potrebbe forse essere messo in relazione ai problemi osservati ora.
Infatti, ad esempio, esistono vulnerabilita' Joomla dovute ad estensioni che se non aggiornate favoriscono i tentativi di hacking, di cui abbiamo gia' visto vari esempi in passato.

Edgar

Nessun commento: