venerdì 22 maggio 2009

Aggiornamento sull'inclusione di pagine nascoste su siti .IT (22 maggio 2009)

Ricordo sempre che anche se alcuni links sono lasciati in chiaro negli screenshot, evitate di visitare i siti in questione se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!!

In queste ultime settimane si nota in rete un elevato numero di siti IT compromessi con l'inclusione di pagine con link a falsi motori di ricerca, falsi scanner online AV ecc...
Una ricerca in rete mostra inoltre la comparsa giornaliera di nuovi siti

che presentano il medesimo problema e che si distinguono per centinaia di pagine incluse in una struttura simile a

www.nomesito.it/1/valore numerico casuale.htm

In pratica a partire dall'inclusione di un folder con valore numerico /1/ abbiamo l'inserimento di centinaia di pagine come questa

con indirizzo numerico casuale.

Questa la struttura di uno dei siti colpiti

Una analisi di una delle tante pagine mostra la presenza di un link a javascript offuscato ospitato sempre sul sito colpito

e che decodificato punta ad indirizzo web che provvede a redirigere su differenti pagine, tra cui ad esempio questo falso scanner online AV dal consueto layout

e che VT mostra poco riconosciuto

Il fatto di avere un links ad un sito intermedio che redirige su altri, presenta per chi gestisce questa tipologia di inculsione di files, alcuni aspetti positivi ma anche negativi:

Tra i primi la possibilita' di variare in tempo reale il sito a cui puntare una volta attivato il link e , come in questo caso, redirigere a differenti pagine a seconda, ad esempio, del referrer presente o dell'IP di provenienza.
L'aspetto negativo e' quello che, puntando, tutte le pagine incluse e tramite lo script java, al medesimo sito intermedio se questo e' messo OFFline tutto il sistema di links diventa inutilizzabile, a meno di non reinserire sul sito colpito, un nuovo script java con uguale nome ma differente indirizzo.

Come sempre queste pagine inserite in grande quantita', permettono di creare, quando indicizzate da un motore di ricerca, centinaia di links a siti di dubbia affidabilita', a falsi scanner Av ma anche a pagine che distribuiscono malware sfruttando il fatto che, risultando nascoste a chi gestisce il sito ed a chi lo visita, possono rimanere online per diverso tempo.

Edgar

Nessun commento: