Ancora falsi utenti Moodle per diffondere links a siti pericolosi

Nonostante gli aggiornamenti di sicurezza presenti sul sito ufficiale Moodle ed anche alcune facili misure da prendere per evitare il problema della compromissione e dell'utilizzo del sito di e-learning per distribuire links a malware, falsi Av, siti di pharmacy o comunque pagine poco attendibili, sembra che la situazione sia sempre la stessa.

In particolare, per quanto si riferisce a siti Moodle .IT c'e' da rilevare ancora oggi la presenza in rete di 'aggiornamenti' quotidiani con links, questa volta abbastanza pericolosi.

Vediamo alcuni casi:

Questa la pagina Moodle, aggiornata il 25 marzo

con inserite sia immagini cliccabili di natura porno che links che puntano , tramite sito intermedio, al solito e conosciuto clone di Yotube che distribuisce file eseguibile malware sotto forma di falso setup di player flash.

Il medesimo sito Moodle presenta inoltre un ulteriore aggiornamento in data di ieri, che questa volta invece linka a siti casino online, ecc...

Questa invece la pagina Moodle di falso utente che , tramite un player simulato, e numerosi links, punta direttamente a pagina che tenta di far scaricare un eseguibile sotto forma di install.

Come vediamo, in questo report riassuntivo

entrambi i files exe sono hostati su server in paese Est Europeo , e su range gia' noto ed utilizzato per ospitare files e pagine pericolose.
Inoltre da una analisi VT vediamo che specialmente il falso player presenta scarso riconoscimento del file malevolo.

Tra l'altro sembra che forse le vulnerabilita Moodle vengano anche utilizzate per inserire links nascosti all'interno di pagine del sito di e-learning e non necessariamente solo su profili fasulli.

Qui vediamo infatti una pagina Moodle di introduzione ad un corso

che nel codice

trova inseriti centinaia di links nascosti che vengono rilevati solo se l'user agent utilizzato dal browser simula quello di un motore di ricerca. (scopo evidente di forzare i risultati di ricerche in rete verso pagine dai contenuti dubbi o pericolosi).

C'e' infine da notare che i links aggiunti su falsi profili Moodle di solito utilizzano la tecnica di un redirect intermedio per variare il link finale proposto (falsi Av, malware, siti di vendita online di video.., pharmacy).
Questo sitema permette anche di filtrare l'IP di provenienza del visitatore, reindirizzandone (quando IP non ritenuto utile) la navigazione es. su Google. (cosa che succede spesso con IP thai).

Edgar