martedì 30 marzo 2010

Fake AV distribuiti da ricerche in rete sugli attentati a Mosca e pagina particolare di falsi filmati (Moscow subway explosion SEO)

Come era prevedibile, la notizia degli attentati di ieri alla metropolitana di Mosca, e' stata subito utilizzata in rete , per attuare le consuete pratiche di blackhat search engine optimization (SEO).

Una odierna ricerca porta infatti a questi risultati:

dove possiamo distinguere almeno due differenti tipologie di utilizzo.

Si tratta in genere di siti compromessi che fungono o da redirect a sito di fake av ma anche hostano direttamente un eseguibile malware, in genere falso AV.

Vediamo alcuni dettagli

Questo un falso scanner AV, linkato attraverso redirect, quando clicchiamo sul risultato della ricerca

e che propone un eseguibile visto da VT come


Una differente tipologia di utilizzo dei risultati della ricerca vede invece direttamente coinvolti siti compromessi come in questo caso


(notate anche che si tratta anche di sito HTTPS ad aumentare, se vogliamo, la parvenza di autenticita' della pagina proposta)

In realta' il file proposto come codec da utilizzare per la visione del falso filmato, risulta essere

Una nota particolare merita inoltre questa tipologia di sito compromesso, che sembra ospitare una pagina di falso video, molto versatile come utilizzo.

Se esaminiamo infatti il codice sorgente possiamo vedere come siano presenti decine di righe di testo relative all'evento dell'attenta terroristico


ma cosa piu' interessante e' che il contenuto in questione sembra essere dinamicamente creato a partire dall'argomento proposto nella URL della pagina.

Se proviamo a passare una differente stringa di testo nell'indirizzo web della pagina (es. la stringa 'utilizzo di antivirus') notate come , non solo abbiamo ora una pagina di falso av che propone titolo e link con il testo che abbiamo incluso nella url

ma anche come il source contenga ora decine di righe di testo relative all'argomento digitato nella url

Per effettuare una ulteriore verifica del funzionamento di questo interessante stratagemma, proviamo ad inserire nella url un testo riferito ad una notizia di attualita' italiana (elezioni regionali 2010)

ed ecco il source corrispondente (decine di righe di testo relative all'evento elettorale)

E' probabile che questa tecnica consenta, attraverso una ricerca in rete dei termini digitati in url, di costruire un source dai contenuti ottimizzati al fine aumentare le possibilita' di SEO, garantendo una maggiore visibilita' della pagina e quindi dei possibili links a file malware , fake av ecc....

Edgar

Nessun commento: