venerdì 30 luglio 2010

Sempre attivi ! Links a malware su sito di radio locale .IT a supporto di SEO Poisoning

AVVISO ! Ricordo che anche se alcuni links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!! Si tratta di links ad eseguibile poco riconosciuto dai softwares AV.

In questo post e con aggiornamenti su questo descrivevo l'uso di links nascosti inclusi su sito di radio locale che puntavano a fake AV.

A distanza di qualche mese i links sono sempre presenti ed inoltre, come si vede confrontando i diversi post al riguardo, sono cambiati puntando a differenti siti, come succede spesso in questi casi.

Come in precedenza si tratta di attacchi portati al fine di generare links a malware, fake Av ecc. … attraverso tecniche di SEO Poisoning che generano, nei risultati del motore di ricerca, links pericolosi.

Questa una delle pagine colpite, presa come esempio

il cui codice, se interroghiamo il sito con l'user agent Google-bot, presenta

Si tratta di centinaia di links che ora puntano a probabile fake Av praticamente sconosciuto ai software AV in VT.

Ecco i dettagli:

Se interroghiamo uno dei links presenti (ricordo evidenziabili nel source delle pagine solo se usiamo un user agent come ad esempio Google-bot) abbiamo questa serie di redirect

passando per siti hostati su IP di paesi 'esotici' come

per giungere a questo sito hostato su

che presenta

Il file di cui e' proposto il download e' quest'eseguibile praticamente sconosciuto ai softwares Av presenti in Virus Total

Il codice hash del file scaricato cambia inoltre ad ogni successivo download per aumentare le possibilita' di eludere il riconoscimento


ed il sito che lo distribuisce parrebbe eseguire anche check sull''IP di provenienza del visitatore

Da notare che se si usa l'user agent Google-bot per seguire uno dei links presenti sul sito della radio, il redirect si ferma ad una pagina , la prima della catena di redirect, che presenta sia parole chiave da sottoporre al crawler del motore di ricerca che links a pagine simili

hostata su sito finlandese compromesso


Questo garantisce che il bot del motore di ricerca acquisira' keywords e links che proporra' nelle ricerche mentre chi seguira' i risultati della ricerca in rete passera' direttamente dalla pagina dei links su sito finlandese per proseguire con la serie di redirect sino alla pagina che propone il falso player ed il download del file eseguibile pericoloso.

L'uso di redirect (anche piu' di uno) garantisce sia una minore possibilita' che i links vengano rilevati e messi in blacklist dal motore di ricerca ma anche una maggiore 'longevita'' dell'uso delle pagine compromesse in quanto basta modificare i vari links nelle pagine di redirect, per puntare sempre a nuovi siti malware.

Per quanto si riferisce al sito della radio locale, pur essendo stata inviata e-mail di avviso sul problema riscontrato, non e' successo niente, ma questo e' abbastanza normale in rete.(indirizzi mail presenti su homepage, pagine dei contatti, ecc.. ma che corrispondono ad indirizzi di mailbox non utilizzate o messi sulla pagina a solo scopo 'decorativo')

Edgar

Nessun commento: