lunedì 1 aprile 2013

Attualmente presente online un elevato numero di siti IT compromessi con link diretto da homepage a siti di pharmacy. (1 aprile)

Sono veramente numerosi nelle ultime ore i siti IT che, come risultato di una ricerca in rete, presentano invece che link a homepage legittima, un redirect automatico a siti di pharmacy (vendita online di viagra e derivati ma non solo).

Dal punto di vista  della pericolosita' per chi seguisse quanto proposto dai risultati Google non parrebbero esserci al momento problemi in quanto l'azione di compromissione si limita a redirigere su sito di pharmacy casuale senza che siano presenti altri links malevoli.

La tecnica utilizzata e' il ben noto uso di referer che sono generati da specifiche parole chiave usate nella ricerca Google.
In pratica se visitiamo la homepage dei siti colpiti attraverso un link diretto o comunque attraverso una ricerca Google dove non compaiano termini di pharmacy il risultato punta alla homepage legittima del sito.
Se la nostra provenienza deriva da una ricerca in rete che comprende termini di pharmacy quali ad esempio viagra, cialis ecc...., appena apriamo la homepage veniamo rediretti ai siti di pharmacy.

Ecco alcuni dei tanti siti IT colpiti attualmente:

Questa ricerca in rete 


punta ad azienda dei trasporti di capoluogo di provincia del sud Italia.


Cliccando sul link risultante abbiamo 


oppure


ma anche questo sito,  disponibile in lingua italiana


Si puo' notare come i siti di pharmacy linkati siano differenti ad ogni click sul risultato Google, cosa comune anche agli altri casi trovati.
Naturalmente il sito di pharmacy viene linkato in presenza di opportuno referer, come vedremo piu' dettagliatamente in seguito:


Ecco invece un'altra ricerca Google, che trova sito su dominio della Regione Piemonte


la cui homepage presenta date attuali ed e' sostituita da una di pharmacy con le stesse modalita' del caso precedente.


Questa un'altra ricerca, che coinvolge dominio di Regione Lombardia


e la cui homepage legittima appare come 


Anche in questo caso se la ricerca in rete comprende parole chiave con termini di pharmacy  (viagra, cialis ecc...).abbiamo redirect automatico a siti con contenuti pharmacy, scelti in maniera casuale.
Tramite una analisi della connessione possiamo notare come intervenga un sito intermedio di redirect 


 che viene utilizzato per gestire il link casuale.

Lo stesso sito intermedio lo troviamo in questa ricerca che linka a pharmacy attraverso homepage di sito di quotidiano del nord Italia


Ma i risultati potrebbero continuare a riempire pagine di blog comprendendo ad esempio un noto sito di Casa Editrice italiana 


oppure questo sito su dominio della Regione Puglia


ecc....ecc.........

Molti dei redirects a pharmacy trovati hanno probabile origine comune in quanto il sito intermedio di redirect e' sempre lo steso come vediamo es. nel caso del sito su dominio della  Regione Puglia.
Nello screenshot si nota come partendo dal sito legittimo si raggiunga il sito di pharmacy gia' visto in altri casi, attraverso sempre il medesimo redirect.


Inoltre a riprova che si usa sempre il referer come mezzo di attivazione del redirect possiamo notare come utilizzandone uno opportuno (come se fossimo giunti sul sito attraverso ricerca Google con termini di pharmacy )



facendo un reload della  pagina otteniamo :


(notare sito pharmacy con layout differente da quello caricato in precedenza)

Edgar

Nessun commento: