AVVISO ! Ricordo, come sempre, che anche se alcuni links sono in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!!
Si tratta molto spesso di files eseguibili malware, poco riconosciuti dai software AV in commercio
Si tratta molto spesso di files eseguibili malware, poco riconosciuti dai software AV in commercio
Insieme alla consueta pratica dell'inclusione di pagine nascoste che linkano a malware o falsi Av, e' molto diffusa, ormai da tempo, la pratica di inserire in maniera nascosta, all'interno di siti legittimi, links o pagine web che redirigono a siti di pharmacy.
Inoltre, nel corso di questa analisi, visto che in ogni caso si tratta di siti con vulnerabilita' piu' o meno gravi, e' stato anche rilevato un sito di ambasciata di nazione asiatica che , oltre ai links di pharmacy, distribuisce un eseguibile, probabile malware, praticamente sconosciuto ai softwares su VT.
Iniziamo l'analisi partendo dai links a Pharmacy:
In questi casi e' molto usata la pratica di filtrare la risposta dei codici inclusi, attraverso l'utilizzo di user agent per attivare e rendere visibili i riferimenti a pharmacy al solo motore di ricerca.
Quelli che vedremo adesso sono alcuni attuali esempi che coinvolgono siti IT tra cui quelli appartenenti ad Ente italiano, a “negozio online” di squadra di calcio di serie A , ecc...... ma anche, per citare pagine non IT, un sito di ambasciata locata in Brunei che come vedremo presenta anche altri problemi !
Comune a tutti questi casi e' stato, nel corso delle ricerche in rete, l'utilizzo di un user agent che simulasse la 'visita' al sito coinvolto da parte di un noto motore di ricerca.
Questa come si presenta una ricostruzione della struttura di sito che nelle note di presentazione sulla homepage si propone come “ ... Ente che da oltre cinquanta anni svolge un'attivita' di studio, formazione ed informazione, sui temi di politica estera, sicurezza ed economia internazionale........”
Come si nota abbiamo un notevole numero di riferimenti a pagine di pharmacy che sul browser appaiono , a seconda dell'user agente utilizzato come:
con user agent OFF , come normali pagine del sito
mentre attivando l'User Agent (in questi caso Google-bot)
Se osserviamo il source della pagina, quando l'User Agent e' attivo, notiamo inoltre diversi link che puntano anche ad altri siti , tra cui alcuni sempre .IT, che hanno subito la stessa sorte
Abbiamo ad esempio questo sito di Store Point (negozio online) di squadra di calcio di serie A italiana
e questo di Hotel
Un caso particolare e' poi il sito di un Istituto di Formazione gestito da noto Sindacato italiano
che presenta, se l User Agent e' attivo , persino la homepage sostituita da pagina con links automatico a siti di Pharmacy:
Altro sito colpito e' questo IT di giornale politico online, attivo ed aggiornato nei contenuti
ma che presenta pagine di linsk a pharmacy.
A conferma che i siti coinvolti sono numerosi e certamente non si tratta di siti 'personali' ma di una certa importanza abbiamo poi tra i vari links presenti in ognuna delle pagine incluse, questo ad Ambasciata di paese asiatico locata in Brunei
Ad una analisi approfondita notiamo due differenti caratteristiche che lo rendono interessante.
La prima e' che i links presenti nelle pagine incluse su questo sito, evidenziano numerosi siti IT, coinvolti nella distribuzione di pharmacy
Piu' importante invece e' che esiste un eseguibile, probabilmente malware, che solo Prevx vede come pericoloso, distribuito in alternativa alla pagina dei links a pharmacy, da questo sito di Ambasciata.
Piu' precisamente, mentre con l'user agent Google-boot anche la homepage presenta i links (e l'eseguibile malware), con l'user agent OFF, abbiamo questa situazione
Come si puo' notare si tratta del sito dell'Ambasciata delle Filippine in Brunei che in automatico propone un file visto da VT come
mentre un whois dell'eseguibile punta a
Il risultato finale, della presenza dei links a pharmacy e' comunque sempre questo
ossia un redirect automatico, solo se si proviene da una ricerca in rete , su decine di siti che propongono viagra e derivati....
Come si vede una serie notevole di links su siti legittimi a pagine di pharmacy che meritano alcune considerazioni:
Innanzitutto viene evidenziato come il fenomeno pharmacy si sempre molto esteso e rilevante come numero di siti coinvolti e come tipologia degli stessi (siti legittimi, siti creati appositamente come 'vetrina' per farmaci di dubbia affidabilita, uso di blogs free come quelli Live Microsoft, pagine incluse nei piu' differenti modi.......)
Il fatto che i siti colpiti siano quasi tutti attualmente attivi e non si tratti di siti creati e poi 'abbandonati' da chi li doveva utilizzare ed amministrare dimostra inoltre come si facile nascondere contenuti non legittimi su comuni siti web , cosa che tra l'altro, crea sicuramente un traffico di rete non voluto sugli stessi.
Inoltre, ancora una volta, vengono evidenziate vulnerabilita' piu' o meno gravi presenti su decine di siti che anche se nel caso presente sono utilizzate solo per linkare a siti di pharmacy, possono benissimo essere usate per proporre malware, come succede nel caso del sito dell'Ambasciata delle Filippine visto ora.
Vista la notevole quantita' di siti IT coinvolti ne vedremo altri in dettaglio prossimamente
(continua)
Edgar
Nessun commento:
Posta un commento