Dal punto di vista della pericolosita' per chi seguisse quanto proposto dai risultati Google non parrebbero esserci al momento problemi in quanto l'azione di compromissione si limita a redirigere su sito di pharmacy casuale senza che siano presenti altri links malevoli.
La tecnica utilizzata e' il ben noto uso di referer che sono generati da specifiche parole chiave usate nella ricerca Google.
In pratica se visitiamo la homepage dei siti colpiti attraverso un link diretto o comunque attraverso una ricerca Google dove non compaiano termini di pharmacy il risultato punta alla homepage legittima del sito.
Se la nostra provenienza deriva da una ricerca in rete che comprende termini di pharmacy quali ad esempio viagra, cialis ecc...., appena apriamo la homepage veniamo rediretti ai siti di pharmacy.
Ecco alcuni dei tanti siti IT colpiti attualmente:
Questa ricerca in rete
punta ad azienda dei trasporti di capoluogo di provincia del sud Italia.
Cliccando sul link risultante abbiamo
oppure
ma anche questo sito, disponibile in lingua italiana
Si puo' notare come i siti di pharmacy linkati siano differenti ad ogni click sul risultato Google, cosa comune anche agli altri casi trovati.
Naturalmente il sito di pharmacy viene linkato in presenza di opportuno referer, come vedremo piu' dettagliatamente in seguito:
Naturalmente il sito di pharmacy viene linkato in presenza di opportuno referer, come vedremo piu' dettagliatamente in seguito:
Ecco invece un'altra ricerca Google, che trova sito su dominio della Regione Piemonte
la cui homepage presenta date attuali ed e' sostituita da una di pharmacy con le stesse modalita' del caso precedente.
Questa un'altra ricerca, che coinvolge dominio di Regione Lombardia,
e la cui homepage legittima appare come
Anche in questo caso se la ricerca in rete comprende parole chiave con termini di pharmacy (viagra, cialis ecc...).abbiamo redirect automatico a siti con contenuti pharmacy, scelti in maniera casuale.
Tramite una analisi della connessione possiamo notare come intervenga un sito intermedio di redirect
che viene utilizzato per gestire il link casuale.
Lo stesso sito intermedio lo troviamo in questa ricerca che linka a pharmacy attraverso homepage di sito di quotidiano del nord Italia
Ma i risultati potrebbero continuare a riempire pagine di blog comprendendo ad esempio un noto sito di Casa Editrice italiana
oppure questo sito su dominio della Regione Puglia
ecc....ecc.........
Molti dei redirects a pharmacy trovati hanno probabile origine comune in quanto il sito intermedio di redirect e' sempre lo steso come vediamo es. nel caso del sito su dominio della Regione Puglia.
Nello screenshot si nota come partendo dal sito legittimo si raggiunga il sito di pharmacy gia' visto in altri casi, attraverso sempre il medesimo redirect.
Inoltre a riprova che si usa sempre il referer come mezzo di attivazione del redirect possiamo notare come utilizzandone uno opportuno (come se fossimo giunti sul sito attraverso ricerca Google con termini di pharmacy )
facendo un reload della pagina otteniamo :
(notare sito pharmacy con layout differente da quello caricato in precedenza)
Edgar
Nessun commento:
Posta un commento