martedì 7 ottobre 2008

Uso di Moodle per linkare pagine con malware o siti di pharmacy

Raccomando a chi volesse esplorare i siti in questione, di prendere le dovute precauzioni. Si tratta infatti di pagine con links a malware spesso NON riconosciuto dai softwares Av e quindi ancora piu' pericoloso.(utilizzare ad esempio sandbox, noscript e possibilmente il tutto in esecuzione all'interno di una macchina virtuale con i dovuti settaggi (non condivisione files o cartelle, firewall con blocco degli indirizzi di rete locali ecc....ecc.....)

Moodle (acronimo di Modular Object-Oriented Dynamic Learning Environment) e' una piattaforma web open source, scritta in PHP, per l'e-learning,( Course Management System).
E' stato progettato per aiutare gli insegnanti e gli educatori a creare e gestire corsi on-line con ampie possibilita' di interazione tra studente e docente e la sua licenza libera e la progettazione modulare consentono alla comunita' di sviluppare di continuo funzionalita' aggiuntive. (fonte Wikipedia)

Parecchi siti universitari, istituti e scuole italiane sembra che abbiano adottato questo software di gestione di corsi online che se da un lato presenta valide caratteristiche pare pero' soffrire dei medesimi problemi visti per i forum.

In pratica vengono creati profili personali fasulli con il solo scopo di inserire codice che propone immagini e links a siti in preferenza cloni porno di youtube con allegato il solito malware sotto forma di codec video o setup di player multimediale.

Al momento non sembra che ci siano particolari restrizioni nel visualizzare questi profili personali ma in ogni caso sembrerebbe che la creazione di un nuovo account debba passare per una registrazione che richiede la conferma da parte dell'amministratore del sito.

Le date presenti sule pagine sono molto recenti segno che questo sistema di attacco a siti Moodle e' attuale.

Qui vediamo ad esempio una pagina datata 3 ottobre

Questo un dettaglio di come si presenta una pagina tipo, relativa ad un profilo utente fasullo, dove abbiamo sia testo che immagini

e come si vede la scelta e' molto ampia con la presenza online di profili che propongono cartoons di genere porno

che puntano a

e che non mi pare necessiti di ulteriori commenti al riguardo di malware scaricabile.

Il codice di solito riporta il riferimento al sito porno direttamente sulle immagini

che permette anche con noscript abilitato il caricamento del falso youtube.

Oltre alle foto con links a falso sito di filmati di solito in testa alla pagina, nei casi esaminati, e' presente un link al sito Adult Finder

(notare il particolare del testo 'Area Riservata" in alto sulla pagina )

mentre un whois del falso sito Youtube porta in molti casi a

segno di una fonte di attacchi coordinata confermata anche dalla fonte comune delle immagini proposte nei profili utente fasulli e che puntano a sito locato in

e che interrogato presenta la solita consueta pagina fasulla di account sospeso o cessato

Inoltre se esaminiamo la struttura della URL della pagina di uno dei profili Moodle possiamo vedere che lo steso viene gestito con codice numerico relativo all'account ed al corso collegato

Modificando il numero presente possiamo quindi facilmente accedere ad altre centinaia di profili fasulli che ad esempio pubblicizzano viagra e derivati

Una scansione eseguita con webscanner dimostra che in riferimento a siti .IT di universita' e istituti scolastici la quantita' di profili utente inseriti in siti Moodle e' comunque elevata .
Questo un parziale del report dove viene anche evidenziata un serie di codici reattivi a profili utente fasulli per il medesimo sito

Cosi' come si evidenzia anche da una normale ricerca in rete dove ancora una volta si notano date attuali relative ai falsi profili utente inseriti in siti Moodle

Una delle spiegazioni di questa massiccia presenza di profili fasulli nei siti Moodle visti ora potrebbe derivare dal non utilizzo della piattaforma di E-learning e relativa non gestione dei contenuti forse in concomitanza con le vacanze estive.

In ogni caso il tentativo di trovare nuove vie per distribuire links a siti dubbi o con links a malware e' in continua evoluzione e presenta sempre novita' (negative) sul fronte della sicurezza per chi naviga in rete.

Edgar

Nessun commento: