Sempre molto attivo l'uso di siti compromessi per creare links in maniera automatica a siti di Pharmacy attraverso ricerche in rete.
Il caso odierno riguarda l'utilizzo di fake pagine dal layout di quelle del sito comunale e con testo di Pharmacy e che redirigono in automatico a sito di vendita di medicinali online su IP tedesco
Il sito compromesso che presenta le pagine con il redirect a Pharmacy e' quello di noto comune del nord Italia.
Ecco come si presenta una delle numerose fake pagine incluse nel sito comunale
dove si notano i consueti testi relativi a vendita dii medicinali online.
Una analisi della struttura del sito mostra che le pagine fake sono ospitate in questo folder
di cui vediamo un dettaglio
Da notare come il timestamp dei files risalga al 2012 anche se alcuni riferimenti in rete farebbero pensare a data piu' recente per la messa 'online' dei contenuti di pharmacy.
Infatti una ricerca Google mostra decine di risultati indicizzati in data attuale
cliccando sui quali se il nostro user agent corrisponde a quello di un browser veniamo portati prima sul sito del Comune e poi rediretti automaticamente sulla pagina di Pharmacy
tramite il codice contenuto in iframe
Naturalmente se proviamo ad utilizzare un user agent come quello di Google Bot verra' solamente presentata la pagina fake considerato che a chi vuole distribuire i link serve proporre al motore di ricerca la maggiore quantita' possibile di termini di pharmacy associandola allo script di redirect.
Niente di nuovo quindi riguardo alla presenza di siti online che redirigono a Pharmacy, tra cui un buon numero di siti di P.A., ma in ogni caso da notare come questo evidenzi sempre un grande numero di siti con vulnerabilita' che potrebbero essere usate anche per distribuzione di malware, phishing e creare possibili problemi di sicurezza su dati sensibili eventualmente accessibili sul sito comunale compromesso.
Edgar