AVVISO ! Ricordo che anche se alcuni links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....).
Sunbelt blog riporta una attuale azione di SEO poisoning che sfrutta la notizia, ampiamente diffusa da TV e stampa mondiale, al riguardo del fidanzamento tra Il principe William e Kate Middleton.
Vediamo qualche dettaglio in piu', che dimostra come si tratti di una azione di SEO poisoning molto curata nella sua esecuzione.
Gia' come particolarita' c'e' da evidenziare che questa volta il link pericoloso e' presente non su una ricerca testuale ma come link sulle foto relative alla notizia e presenti nei risultati Google.
Ecco la pagina dei risultati della ricerca per testo chiave "Kate Middleton"
ed ecco un dettaglio delle foto trovate
Non tutte le immagini puntano a pagina pericolosa, ma al momento solo la prima (1) immagine, la seconda foto (2) propone infatti
che mostra una segnalazione di account sospeso mentre le altre immagini linkano a pagine di notizie online sull'argomento.
E' evidente che siamo tutt'ora in una fase di evoluzione dell'azione di SEO poisoning, dove a siti che vengono messi OFF-line, se ne potrebbero sostituire altri con redirects attivi.
La prima immagine , se cliccata punta, come vediamo, ad una serie di redirect,
passando per una pagina , hostata su sito UK probabilmente compromesso, che e' in effetti quella che contiene il codice necessario all'azione di SEO poisoning
Vediamo infatti nei dettagli che tramite uso di referer ed user agent viene identificato il browser in uso permettendo scelte diverse a seconda che chi ha cliccato sulla foto utilizzi Microsoft Internet Explorer o Firefox od altri browsers
Nel caso specifico di Firefox verra' linkata la pagina che vediamo
con whois
e che propone di aggiornare Firefox con il download di un eseguibile malware firefox-update.exe fatto passare come un update indispensabile all'uso del browser
Nel caso di utilizzo di Internet Explorer viene invece proposta questa pagina che , in maniera diversa, tenta di convincere a scaricare ed lanciare un falso update flash player v11_flash_AV.exe
Una analisi VT vede i due eseguibili praticamente sconosciuti ai vari softwares AV (solo 3 softwares evidenziano il pericolo)
Inoltre, ad esempio, lo stesso file firefox-update.exe scaricato in diversi momenti parrebbe presentare hash diverso a conferma del tentativo di rendere il malware meno riconoscibile dai softwares AV..
Edgar
Sunbelt blog riporta una attuale azione di SEO poisoning che sfrutta la notizia, ampiamente diffusa da TV e stampa mondiale, al riguardo del fidanzamento tra Il principe William e Kate Middleton.
Vediamo qualche dettaglio in piu', che dimostra come si tratti di una azione di SEO poisoning molto curata nella sua esecuzione.
Gia' come particolarita' c'e' da evidenziare che questa volta il link pericoloso e' presente non su una ricerca testuale ma come link sulle foto relative alla notizia e presenti nei risultati Google.
Per di piu' il risultato 'pericoloso' e' piazzato trai i primi trovati da Google e rappresenta quindi un evidente possibile rischio per chi effettuasse ricerche in rete sull'argomento.
Ecco la pagina dei risultati della ricerca per testo chiave "Kate Middleton"
ed ecco un dettaglio delle foto trovate
Non tutte le immagini puntano a pagina pericolosa, ma al momento solo la prima (1) immagine, la seconda foto (2) propone infatti
che mostra una segnalazione di account sospeso mentre le altre immagini linkano a pagine di notizie online sull'argomento.E' evidente che siamo tutt'ora in una fase di evoluzione dell'azione di SEO poisoning, dove a siti che vengono messi OFF-line, se ne potrebbero sostituire altri con redirects attivi.
La prima immagine , se cliccata punta, come vediamo, ad una serie di redirect,
passando per una pagina , hostata su sito UK probabilmente compromesso, che e' in effetti quella che contiene il codice necessario all'azione di SEO poisoning
Vediamo infatti nei dettagli che tramite uso di referer ed user agent viene identificato il browser in uso permettendo scelte diverse a seconda che chi ha cliccato sulla foto utilizzi Microsoft Internet Explorer o Firefox od altri browsersNel caso specifico di Firefox verra' linkata la pagina che vediamo
con whois
e che propone di aggiornare Firefox con il download di un eseguibile malware firefox-update.exe fatto passare come un update indispensabile all'uso del browserNel caso di utilizzo di Internet Explorer viene invece proposta questa pagina che , in maniera diversa, tenta di convincere a scaricare ed lanciare un falso update flash player v11_flash_AV.exe
Una analisi VT vede i due eseguibili praticamente sconosciuti ai vari softwares AV (solo 3 softwares evidenziano il pericolo)
Inoltre, ad esempio, lo stesso file firefox-update.exe scaricato in diversi momenti parrebbe presentare hash diverso a conferma del tentativo di rendere il malware meno riconoscibile dai softwares AV..
Edgar
Nessun commento:
Posta un commento