domenica 7 giugno 2009

'Stimoli RAI' ovvero links a pagine malware sotto forma di falsi players o codecs (07/06)

Sempre numerosi i links presenti su siti .IT che puntano a malware sotto forma di pagine che propongono falsi instal di players video, codecs, ecc......

Quelli che vediamo oggi, con date recenti, hanno in piu' la particolarita' di provenire da uno de siti appartenenti alla Radiotelevisione Italiana - RAI

Ecco infatti una delle pagine RAI, dal titolo che per ironia della sorte sembra quasi appropriato ai contenuti ( '...distributore automatico di stimoli quotidiani ....' ) e che propone diversi links tutti o quasi attivi e comunque indicizzati dai principali motori di ricerca.


Tra l'altro sembra che BING, il nuovo motore di ricerca Microsoft, presenti molti links proprio a queste pagine RAI.

In dettaglio, vediamo ad esempio questo link datato maggio 2009, e chiaramente inserito da chi vuole creare il maggior numero di collegamenti a siti pericolosi:



Seguendolo si viene rediretti su sito di falso blog, o falso motore di ricerca, con all'interno ad esempio questo codice java offuscato

che in maniera automatica, se gli script sono abilitati, una volta eseguito punta a sito di falso player video con relativo falso codec

che VT vede come
e che un whois indica come hostato su server
Un secondo esempio punta invece a questa pagina di clone YouTube ma chiaramente con il solito file di falso lettore video
che VT vede, poco riconoscuto, come


Molti altri sono i links presenti che puntano a falsi motori di ricerca od altre pagine dubbie.

Come particolarita' di questi links ci sono da evidenziare alcune caratteristiche e precisamente:

- l'uso quai sempre di redirect tramite sito intermedio , cosa che favorisce la longevita' del link malevolo in quanto chi gestisce la distribuzione malware puo' modificare in tempo reale i links finali a cui puntare;
- l'utilizzo di tecniche di riconoscimento dell'IP di provenienza con geo localizzazione che permette di variare i contenuti o di mostrare ad esempio il link a malware solo al primo collegamento al sito pericoloso mentre per i successivi si viene rediretti a differenti siti
- links a malware che risulta sempre molto aggiornato e poco riconosciuto, almeno da quanto viene rilevato da scansioni online-on demand.

C'e' inoltre da dire che in questi casi visti ora, usando ad esempio Firefox con l'addon Noscript, si puo' preventivamente bloccare l'esecuzione dei codici java presenti e limitarne i danni, o quantomeno valutare se la pagina linkata possa avere contenuti dubbi o pericolosi.

Edgar

Nessun commento: