Oltre ai falsi post su forum abbiamo ora una nuova via di diffusione di links a malware.
Una odierna ricerca in rete porta infatti ad individuare inizialmente un sito di Universita' Italiana che propone links a siti porno e conseguente distribuzione di un probabile falso AV
Ho specificato inizialmente visto che procedendo nell'analisi vedremo essere coinvolte diverse Universita' europee ed anche almeno un'altra italiana.
Attraverso ricerche in rete capita sovente di imbattersi in siti appartenenti ad Universita', italiane e non, che risultano compromessi o comunque utilizzati per distribuire links a malware.
Cio' accade anche a causa del grande numero di siti universitari che vengono creati per supportare nuovi progetti, ricerche, ecc.. e che molte volte hanno breve durata (anche solo annuale) cosa che lascia i siti 'abbandonati' online senza che ci sia una verifica su eventuali contenuti inclusi.
Il sito universitario, inizialmente preso in considerazione oggi. propone (traduco dalla homepage in inglese) la gestione web-based di progetti software (e relativo debug tracing) attraverso un programma chiamato TRAC (Trac is an open source, web-based project management and bug-tracking tool (da wikipedia))
Senza entrare nel dettaglio, basta sapere che detta gestione dei progetti utilizza un sistema di monitoraggio anche attraverso la creazione di tickets.
Per ticket si intende un record che contiene varie informazioni sul progetto a cui e' collegato tra cui: la versione del progetto, parole chiave sull'eventuale problema rilevato, un elenco di altri utenti o E-mail di notifica. una breve descrizione del progetto ecc..
Per creare un nuovo ticket basta accedere, senza particolari verifiche, ad una pagina apposita all'interno dello specifico progetto da monitorare sul sito TRAC, cosa che vediamo in questo screenshot
A questo punto se andiamo a visualizzare i tickets relativi ad uno dei progetti presenti attualmente sul sito universitario ecco cosa troviamo (notare la favicon che richiama il logo TRAC che ritroveremo su altri siti europei).
In pratica si e' creato un ticket con immagini e links che andremo ad analizzare in seguito.
Piu' interessante e' notare come il numero di ticket generati in maniera automatica (visti anche i numeri di centianaia all'ora) sia veramente notevole.
Basta sfruttare l'opzione di timeline offerta dal sito per visualizzare una cronologia della creazione di nuovi ticket.
Scopriamo cosi' che solo negli ultimi minuti, ed in tempo reale (vedi le 5 ore di differenza tra time thai e it)
sono stati creati nuovi ticket ad una frequenza di 3 al minuto , facendo arrivare il numero dei ticket fasulli a diverse migliaia.
La sorpresa e' poi quella che nel singolo ticket, oltre ai links di redirect a pagine con malware, compaiono altri links a siti TRAC di varie Universita', tra cui ad esempio questa russa
con whois
ma anche di altra Universita' del nord Italia con un elevato numero di ticket generati e sempre con i medesimi contenuti
Possiamo quindi affermare che questo genere di attacco a siti TRAC e' stato organizzato similmente a quello che coinvolge gia' da tempo i noti siti Moodle (vedi parecchi post anche sul blog), che vedevano la creazione di centinaia di profili utente con immagini e links a siti pericolosi.
Evidentementee anche in questo caso che riguarda i siti TRAC si sfrutta la possibilita' di creare in maniera automatica tickets i cui contenuti malevoli verranno poi indicizzati dai motori di ricerca.
Vediamo ora qualche dettaglio dei links di redirects
che puntano nuovamente a sito che distribuisce un eseguibile probabile fake AV
e sempre sul medesimo range IP, visto moltissime volte nelle ultime settimane in fatto di distribuzione malware.
Edgar
(continua)
Una odierna ricerca in rete porta infatti ad individuare inizialmente un sito di Universita' Italiana che propone links a siti porno e conseguente distribuzione di un probabile falso AV
Ho specificato inizialmente visto che procedendo nell'analisi vedremo essere coinvolte diverse Universita' europee ed anche almeno un'altra italiana.
Attraverso ricerche in rete capita sovente di imbattersi in siti appartenenti ad Universita', italiane e non, che risultano compromessi o comunque utilizzati per distribuire links a malware.
Cio' accade anche a causa del grande numero di siti universitari che vengono creati per supportare nuovi progetti, ricerche, ecc.. e che molte volte hanno breve durata (anche solo annuale) cosa che lascia i siti 'abbandonati' online senza che ci sia una verifica su eventuali contenuti inclusi.
Il sito universitario, inizialmente preso in considerazione oggi. propone (traduco dalla homepage in inglese) la gestione web-based di progetti software (e relativo debug tracing) attraverso un programma chiamato TRAC (Trac is an open source, web-based project management and bug-tracking tool (da wikipedia))
Senza entrare nel dettaglio, basta sapere che detta gestione dei progetti utilizza un sistema di monitoraggio anche attraverso la creazione di tickets.
Per ticket si intende un record che contiene varie informazioni sul progetto a cui e' collegato tra cui: la versione del progetto, parole chiave sull'eventuale problema rilevato, un elenco di altri utenti o E-mail di notifica. una breve descrizione del progetto ecc..
Per creare un nuovo ticket basta accedere, senza particolari verifiche, ad una pagina apposita all'interno dello specifico progetto da monitorare sul sito TRAC, cosa che vediamo in questo screenshot
A questo punto se andiamo a visualizzare i tickets relativi ad uno dei progetti presenti attualmente sul sito universitario ecco cosa troviamo (notare la favicon che richiama il logo TRAC che ritroveremo su altri siti europei).
In pratica si e' creato un ticket con immagini e links che andremo ad analizzare in seguito.Piu' interessante e' notare come il numero di ticket generati in maniera automatica (visti anche i numeri di centianaia all'ora) sia veramente notevole.
Basta sfruttare l'opzione di timeline offerta dal sito per visualizzare una cronologia della creazione di nuovi ticket.
Scopriamo cosi' che solo negli ultimi minuti, ed in tempo reale (vedi le 5 ore di differenza tra time thai e it)
sono stati creati nuovi ticket ad una frequenza di 3 al minuto , facendo arrivare il numero dei ticket fasulli a diverse migliaia.La sorpresa e' poi quella che nel singolo ticket, oltre ai links di redirect a pagine con malware, compaiono altri links a siti TRAC di varie Universita', tra cui ad esempio questa russa
con whois
ma anche di altra Universita' del nord Italia con un elevato numero di ticket generati e sempre con i medesimi contenuti
Possiamo quindi affermare che questo genere di attacco a siti TRAC e' stato organizzato similmente a quello che coinvolge gia' da tempo i noti siti Moodle (vedi parecchi post anche sul blog), che vedevano la creazione di centinaia di profili utente con immagini e links a siti pericolosi.Evidentementee anche in questo caso che riguarda i siti TRAC si sfrutta la possibilita' di creare in maniera automatica tickets i cui contenuti malevoli verranno poi indicizzati dai motori di ricerca.
Vediamo ora qualche dettaglio dei links di redirects
che puntano nuovamente a sito che distribuisce un eseguibile probabile fake AV
e sempre sul medesimo range IP, visto moltissime volte nelle ultime settimane in fatto di distribuzione malware.Edgar
(continua)
Nessun commento:
Posta un commento