AVVISO ! Ricordo che anche se alcuni links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso ! Si tratta di links ad eseguibili pericolosi e molto spesso poco riconosciuti dai softwares AV.
Una attuale ricerca in rete porta a trovare centinaia, se non migliaia di links, come quelli che vediamo in questo screenshot Google:
Il time di indicizzazione dei contenuti e' attuale mentre la quantita' dei risultati proposti riferiti al sito IT e' estremamente elevata
Si tratta di sito IT di arredamento (cucine) di cui vediamo la homepage
Accedendo al sito con IP su range italiano parrebbe non esserci il redirect alla distribuzione del malware , cosi' come accedendo al sito direttamente e non dai risultati di ricerca Google, cosa abbastanza normale in queste azioni di distribuzione di links malevoli attraverso i risultati di una ricerca in rete.
Analizzando poi la pagina dei risultati Google sfruttando la funzione di preview,
vediamo come il motore di ricerca indicizzi contenuti totalmente diversi da quelli visibili da chi accede normalmente al sito, cosa voluta da chi lo ha compromesso allo scopo di creare il maggior numero di links da proporre nei risultati di una ricerca.
In effetti esiste pure, in questo specifico caso, un altro modo per verificare cosa viene 'passato' al crawler di Google dai codici inclusi in maniera fraudolenta sul sito compromesso, e precisamente l'utilizzo della funzione di traduzione online di pagine web fornita dal noto motore di ricerca.
Passando un link risultato della ricerca al traduttore online ecco cosa succede:
dove notiamo anche la parte relativa ai contenuti 'originali' del sito
In pratica Google restituisce un risultato che cliccato da chi ha effettuato la ricerca, semplicemente punta all'exploit, ma passato a Google (attraverso il programma di traduzione online) viene invece visto come un mix di foto e di testo di tutti i generi molto adatti a creare links da proporre in rete.
Riassumendo: se il sito compromesso e' visitato da Google vengono proposti al motore di ricerca contenuti utili a creare links mentre se il sito di vendita cucine e' visitato da un utente internet detti contenuti sono invisibili.
Ecco un piccolo schema che propone alcune delle possibili situazioni analizzate:
Lo scopo finale di tutto questo complesso sistema e' sempre, cliccando sui risultati della nostra ricerca Google, quello di puntare in maniera del tutto 'trasparente' (tramite alcuni redirects)
a questa pagina dai contenuti malevoli
che tenta di far scaricare un file proposto come PDF
e riconosciuto da VT come
Da notare anche come la 'favicon' della pagina presenti il noto logo GMAIL, cosi come il titolo della pagina sia riferito al noto servizio di posta elettronica Google:
Anche se il numero di softwares AV che rilevano la minaccia e' alto rimangono comunque alcuni noti software che non rilevano il pericolo. (da ricordare sempre che stiamo eseguendo una verifica Av attraverso scansione ON-line che presenta comunque possibili limiti su riconoscimento del malware che potrebbe invece essere evidenziato quando il software AV e' eseguito localmente sul PC )
Edgar
Nessun commento:
Posta un commento