mercoledì 17 aprile 2013

'Acute frecce incoccano Truci i Selvaggi sulla tesa corda'.Links a pharmacy su noti siti IT (17 aprile)

La frase nel titolo del post  anche se a prima vista non ha niente a che fare con la distribuzione di medicinali online,  e' invece una delle stringhe di testo ricorrente in alcuni noti siti IT compromessi con lo scopo di linkare a distribuzione di viagra e derivati.


Non si tratta di testo totalmente random come si potrebbe pensare leggendo la frase ma invece lo stesso potrebbe essere stato 'copiato' dal libro 'Volere e' potere'


pubblicato nel 1869 da Michele Lessona (vedi Wikipedia e che Google Books).

Questo e' l'attuale contenuto di un sito IT compromesso con links a pharmacy


Il fatto di includere testi copiati in maniera random da pubblicazioni e libri anche non attuali e' una consuetudine abbastanza diffusa per creare contenuti casuali in mails di spam, in files malware o comunque files di cui si vuole generare contenuto casuale.
Qui vediamo ad esempio del testo relativo al noto scritto di William Shakespeare e cioe' Romeo e Giulietta (The Most Excellent and Lamentable Tragedy of Romeo and Juliet)



testo incluso probabilmente come supporto per creare differenti codici di checksum dei contenuti di file zip, visto che tra due files compressi scaricati in tempi diversi il testo e' costantemente cambiato


Ritornando ai vari siti che presentano inclusi testo tratto da libro in lingua  italiana  e links, troviamo anche  quello di nota squadra  di calcio del campionato italiano di serie A.
In effetti nel sito e' stato incluso su decine di pagine non solo il testo citato nel titolo del post ma una lunga serie di frasi e tutte allo scopo di creare ulteriori riferimenti da usare quando il motore di ricerca indicizza i contenuti delle pagine web.


Come sempre tutte queste aggiunte al codice originale della pagina compromessa sono visibili solo se si utilizza uno 'user agent' che faccia riferimento ad un bot di motore di ricerca


mentre la stessa pagina viene visualizzata dal browser in maniera corretta senza ulteriori 'aggiunte' se la si visita normalmente.


In altre parole chi gestisce la distribuzione di links a pharmacy vuole che solo il crawler del motore di ricerca veda i links ai siti di vendita online di viagra mentre un 'normale' visitatore del sito (e molto spesso chi lo amministra e/o ne aggiorna i contenuti) non si accorgera' dei links inclusi nel codice.

La cosa interessante che le stesse stringhe di testo, esempio quelle viste nel sito della squadra di calcio .........Truci i Selvaggi sulla tesa corda'............”, le ritroviamo in altri siti sia IT che esteri tutti legati a distribuzione di viagra tramite link inclusi in maniera fraudolenta. 

Questo un report ottenuto con script Autoit


 che evidenzia come la frase in questione compaia inclusa in molte pagine su siti IT e non, e faccia riferimento a links di vendita di viagra e derivati.

Naturalmente oltre all'user agent viene utilizzato il referrer relativo ad una ricerca in rete mirata a trovare i siti di pharmacy, per cui, chi giunge sul sito compromesso attraverso referrer generato dal motore di ricerca e contenente stringhe di testo collegate ai medicinali, verra' rediretto in maniera del tutto automatica ai siti di vendita.
In dettaglio avremo, piu' che un redirect dal sito compromesso al sito finale, un reindirizzamento su sito che gestira' ulteriore link random a diversi siti di pharmacy.
Questo garantisce una migliore efficacia dei links in quanto si possono gestire eventuali messe OFF-line dei siti finali di pharmacy ed inoltre aumenta l'offerta di differenti prodotti.
Qui vediamo ad esempio come a partire da sito compromesso di universita' italiana si passi a sito di redir intermedio, evidenziato in giallo, che propone a sua volta i links


tra cui uno a sito di pharmacy anche in lingua italiana e che, come si vede, non si limita assolutamente alla vendita di viagra ma propone una vasta scelta tra farmaci di vario tipo selezionabili dal menu' laterale presente nella homepage.


Edgar

Nessun commento: