martedì 11 maggio 2010

Supporto a SEO poisoning con links inclusi su siti legittimi .IT

AVVISO ! Ricordo che anche se i links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!!

Sino ad ora abbiamo visto in prevalenza come la possibilita' di creare migliaia di riferimenti a malware e falsi AV, attraverso i risultati di ricerche in rete, passasse per l'inclusione di pagine nascoste all'interno di siti legittimi.( o meglio di kit di SEO poisoning che provvedono a creare e gestire i vari redirect)

Una differente alternativa e' offerta dalla inclusione, non di intere pagine ma di links nascosti direttamente nel codice di legittimi siti web compromessi.

Questa tecnica e' stata, e lo e' ancora, molto usata per generare links a pharmacy, ma come vedremo in questo interessante ed odierno esempio, si puo' applicare anche per creare links a fake AV ,, malware ecc...

Ecco l'attuale sito di una radio locale del Nord Italia

e questa una pagina di news presente sullo stesso,che, solo apparentemente, risulta priva di qualsiasi problema

Solo apparentemente, in quanto , se andiamo a simulare la 'visita' della pagina da parte di un 'bot' di motore di ricerca (es Googlebot)

succede che il codice sorgente della pagina si 'riempie' di centinaia di links che in questo caso puntavano ad altrettante pagine create appositamente, da chi vuole distribuire malware o fake AV, su xoomer.virgilio.it

Ognuna di queste pagine

presenta codice che in automatico provvede a redirigere la navigazione su un sito che a sua volta reindirizzera' alternativamente su differenti pagine con distribuzione, in prevalenza di fake AV

Questa una analisi di successive connessioni tutte per il medesimo link di riferimento presente come codice incluso sul sito 'compromesso' della radio.


Possiamo vedere come ci siano diverse alternative sulla destinazione finale a cui si giunge dopo aver seguito i vari redirect.

In genere gli eseguibili proposti sono identificabili come falsi AV sempre poco riconosciuti

mentre un whois punta , per questo sito di fake player

su server
Facendo una ricerca sul database associato a quanto pubblicato su questo blog e che, per utilita', riporta i dettagli (ip, urls ecc ) dei vari posts


troviamo come il medesimo hoster dell'Est Europa fosse gia' 'coinvolto' qualche mese fa, relativamente a vari redirect presenti su siti Moodle di alcune Universita' italiane.

Tra l'altro ripetendo una analisi odierna dei redirect ancora presenti sui siti Moodle universitari (chiaramente sempre attivi e non bonificati) si nota, non solo identico hoster ma anche IP uguale a quello odierno di fake player.
Questo significa che ci troviamo di fronte ad un sistema che dinamicamente varia i links presenti, in special modo al riguardo dei siti di redirect.

Una forte conferma della modifica ad intervalli di tempo abbastanza brevi, dei links presenti sui siti compromessi,(per evitare sia la messa offline dei redirect, che la messa in black lists da parte dei motori di ricerca degli indirizzi pericolosi ... ecc...), lo vediamo analizzando il sorgente della medesima pagina del sito compromesso della radio locale a distanza di qualche ora

Ecco che la stessa pagina delle news presenta codici inclusi (links) a differente sito, non piu' xoomer.virgilio.it come in precedenza, ma a pagine con whois USA ed i cui codici inclusi effettueranno comunque redir su altri siti sempre con destinazione finale uguale a quella proposta ieri tramite le pagine xoomer.virgilio.it.

E' stata inviata una mail alla radio perche' vengano presi i necessari provvedimenti di bonifica del sito.

Edgar

Nessun commento: