mercoledì 2 giugno 2010

Attenzione ai falsi siti di web-cams

AVVISO ! Ricordo che anche se i links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!!

Recentemente il blog http://www.chicchedicala.it (uno dei piu' interessanti blog italiani che seguo quotidianamente) ha pubblicato un post su come trovare centinaia di web cam in rete attraverso una ricerca Google.

Il problema, in costante aumento quando eseguiamo ricerche Google, e' che sempre piu' spesso i risultati sono letteralmente 'avvelenati' (SEO Poisoning) puntando a links che non c'entrano niente con quello che volevamo trovare ma che, quasi sempre , propongono siti pericolosi e, per di piu', molte volte in maniera del tutto trasparente per l'utente.

Relativamente alla ricerca di web-cams, come si legge nel post del blog, una delle stringhe piu' utilizzate e' -- intitle:"Live View / - AXIS" --

Ecco cosa puo' succedere attualmente ricercando con Google (ricerca ordinata per data) (notate in particolare come il sottodominio ert. sia comune a diversi siti legittimi - si tratta di fake sottodominio )

Come vedete i links piu' recenti puntano a diversi siti che, molto probabilmente sono stati vittima di un attacco che ha portato alla creazione di sotto-domini fasulli utilizzati per creare pagine come questa (ne ho scritto in un recente post)

La pagina risultato della ricerca Google, presenta numerosi riferimenti alla nostra chiave di ricerca ed inoltre evidenzia nella url il sotto-dominio wb.reeltimemedia.com creato sul legittimo sito reeltimemedia.com

A questo punto tramite una serie di redirect, se l'esecuzione degli scripts java e' abilitata sul browser, puo' capitare di essere portati su sito di fake scanner AV


con whois

che distribuisce un eseguibile (probabile falso AV) con queste caratteristiche

e come sempre poco visto dai softwares AV reali.

A conferma della presenza di risultati che puntano a pagine pericolose ecco cosa succede filtrando per siti .IT la ricerca Google vista sopra (intitle:"Live View / - AXIS" )

Si tratta di pagina su sito IT compromesso con javascript offuscato che vediamo in dettaglio

Il consiglio e' quindi sempre quello, specialmente come gia' detto quando si ricerca con Google, di verificare con attenzione i risultati tanto piu' che molto spesso lo scopo finale e' il tentativo di far scaricare ed eseguire sul nostro pc un file pericoloso.

Edgar

Nessun commento: