venerdì 14 maggio 2010

Supporto a SEO poisoning con links inclusi su siti legittimi .IT (aggiornamento 15 maggio 2010)

Un breve aggiornamento riguardo al sito di radio locale dell'Emilia Romagna (gia' analizzato qui) utilizzato per distribuire links a fake AV attraverso l'inclusione degli stessi in pagine 'legittime'.

A distanza di qualche giorno si nota come i links presenti siano ulteriormente cambiati, dimostrando una gestione tuttora attiva dell'attacco,

e puntano ora a differente sito compromesso

con whois

che provvede tramite il solito script debolmente offuscato


e con successivi redirect

a linkare questo falso scanner online AV (dal consueto layout)

ma anche su questo fake Youtube con contenuti porno che propone il medesimo eseguibile del fake scanner

Questa una analisi VT del file che come sempre risulta quasi sconosciuto ad una scansione on-line

Per quanto si riferisce al sito della radio , pur avendo inviato mail all'indirizzo presente sulla homepage alla voce 'CONTATTI” pare che non sia stata presa nessuna misura al riguardo della bonifica del sito, cosa che potrebbe anche voler significare che la presenza dell'indirizzo mail sulla pagina e' , come succede spesso, a solo scopo 'decorativo'.

Fortunatamente, almeno al momento, non esistono problemi di sicurezza per chi vistasse il sito della radio in quanto i links inclusi sono nascosti al visitatore (vengono proposti solo se l'user agent e' quello di motore di ricerca) ma comunque indicizzati dai motori di ricerca come ad esempio Google

ma anche Bing

Edgar

Nessun commento: