venerdì 12 settembre 2008

“Il vostro Blog in pochi click” ovvero un facile sistema per diffondere links a malware

N.B. si tratta di pagine con collegamenti a malware attivo o a falsi softwares AV Usate quindi le dovute precauzioni se visitate questi siti.

Esistono in rete, anche per utenti italiani, servizi free che offrono risorse per crearsi un proprio blog, come ad esempio questo che vediamo

cosa che se da un lato permette l'interessante diffusione in rete di blogs personali, attrae purtroppo anche l'interesse di organizzazioni criminali per sfruttare gli spazi offerti a proprio vantaggio (diffusione di malware, falsi Antivirus , links a siti dubbi ecc.....)

Quella che vedremo ora e' una analisi, non approfondita, che parte dalla presenza in rete di questa pagina


che utilizza appunto l'offerta free del noto gruppo editoriale italiano per la creazione di un blog personale e che rende bene l'idea di come malintenzionati possano utilizzare questi spazi free disponibili in rete

Da quello che appare sembrerebbe un 'tentativo' di creare un nuovo blog poi abbandonato ma in realta' non e proprio cosi'
Se andiamo infatti ad esaminare l'URL di questo blog scopriamo che dietro questa registrazione 'fasulla' di nuovo account si nasconde un sistema ormai ben collaudato di distribuzione di pagine che puntano sia a malware che a siti porno, a falsi motori di ricerca, falsi Av ecc....
In pratica chi vuole creare links indicizzabili da motori di ricerca ha bisogno di hosting free per le sue pagine e quello che vedremo e' un modo molto pratico per disporre di spazio in quantita praticamente illimitate ed in piu' in maniera difficilmente visibile.
Questa l'url che punta ad una pagina inserita all'interno del blog visto sopra, chiaramente in maniera volutamente non visibile,

che contiene lo script necessario a richiamare altra pagina,

che con un layout ben noto, propone una ennesima variante di malware ZLOB camuffato da falso setup di player video, e come sempre poco riconosciuto dagli AV

Il tutto avviene senza lasciare l'url originaria ma all'interno di un iframe come vediamo qui

e qui

Il blog in questione sembra non presente negli elenchi che appaiono sulla homepage del servizio di blog personale free ma in ogni caso viene comunque riconosciuto come blog autorizzato dal sito in quanto il tentativo di crearne un nuovo con il medesimo nome viene rifiutato

Ecco un altro esempio di pagina che

una volta caricata redirige su sito di webcam porno a pagamento

Una differente tecnica utilizzata, che colpisce sempre su questo servizio di blogs free, NON crea invece pagine con codice malevolo ma pagine , nascoste, con migliaia di links (piu' di 6.000 (seimila !!!) in questa ),


che puntano a siti costruiti usando anche servizi di free hosting presenti in rete

per reindirizzare su vari tipi di siti comunque tutti dai contenuti dubbi.

Un uso pratico di questo genere di attivita' illecita ai danni di servizi free di blogs lo vediamo effettuando una ricerca in rete dove si scopre, come i riferimenti a pagine hostate servendosi del servizio free di blog personale visto ora ,sono migliaia

ed in tutte le lingue thai compresa

Un whois dei blogs per cosi' dire fasulli punta al medesimo IP di blogs 'del tutto 'normali' e tuttora attivi e comunque ileva che sono tutti hostati su server USA mentre la home page del sito che propone la creazione del blog punta a IP italiano.

Pare evidente che , visti i numeri relativi ai links presenti in rete, questo servizio di blogs free sia stato preso di mira in maniera veramente massiccia e al momento stia hostando migliaia di links e pagine dubbie ed a volte direttamente coinvolte in distribuzione di malware e che forse, a questo punto, occorra, da parte di chi lo gestisce, un deciso intervento per la verifica dei contenuti e la eventuale relativa bonifica dei blogs 'fasulli'

Edgar

Nessun commento: