Continua l'inclusione su siti IT compromessi di codice che , tramite la visualizzazione di pagine simili a layout di blog redirige su falsi scanner AV online. In pratica, ad intervalli di qualche ora un nuovo 'gruppo' di siti IT sia aggiunge al grande numero di quelli che presentano queste inclusioni di codici con links a malware.
Come appare anche da alcuni post e articoli apparsi in rete , nelle ultime settimane stiamo assistendo ad un massiccio utilizzo di metodi di blackhat SEO (ottimizzazione dei risultati di una ricerca in rete ) per proporre come risultato proprio queste pagine incluse che in maniera automatica, con un semplice javascript debolmente offuscato, reindirizzano sul falso scanner AV o comunque su siti di dubbia affidabilita'
Questo un post apparso su http://blogs.zdnet.com/security/ a firma di Dancho Danchev che illustra gli ultimi sviluppi di questo genere di attacchi , mentre su questo sito una segnalazione che riprende quanto avevo gia' indicato alcune settimane fa' al riguardo.
Al momento sembrerebbe che solo il noto motore di ricerca di Mountain View indicizzi queste pagine incluse, mentre altri motori di ricerca non proporrebbero i risultati pericolosi.
Come spiegazione di questo si avanza l'ipotesi che Google permetta meglio di altri Search Engines la possibilita di sottoporre i links da includere nelle ricerche (ad esempio tramite il file sitemap.xml ), file trovato su alcuni dei siti esaminati.
Vediamo ora un ulteriore aggiornamento , relativo sempre a questo genere di attacchi, tra le centinaia disponibili in rete.
Si tratta del sito di un ristorante del centro Italia
che, al momento di scrivere il post e da alcuni giorni, ospita al suo interno decine di pagine con questo layout
Il codice offuscato presente
se decodificato, indica che questa volta, viene effettuato un ulteriore redirect a sito ,compromesso, che presenta questa homepage (anche se relativo al Brasile il sito e' hostato su server USA)
Il codice presente sul sito 'brasiliano' effettua un ulteriore redirect
che punta ad altro indirizzo web dove troviamo finalmente il link finale al falso scanner AV
Una analisi VT mostra che il file eseguibile e' praticamente sconosciuto ai softwares presenti nel report
mentre come si nota dallo screenshot, abbiamo differenti IP per il medesimo falso scanner online.
Esaminando uno a caso, di questi IP si nota come siano presenti altri nomi di dominio legati alla distribuzione di applicazioni antivirus fasulle.
In conclusione l'accoppiata tra siti con vulnerabilita' presenti in maniera diffusa piu' l'uso di tecniche di blackhat SEO, specialmente ai danni di Google, stanno portando i risultati di una ricerca in rete a proporre sempre piu' spesso links pericolosi.
C'e' anche da ricordare che l'utilizzo in questi casi, di links che puntano a siti intermedi, tutto sommato attendibili( i falsi blog o i siti compromessi visti prima) , porta anche ad un basso riconoscimento dei links risultato di ricerca, come pericolosi da parte di Google, bloccando di fatto, eventuali azioni di blocco del link malevolo. (il noto avviso Google: “Questo sito potrebbe arrecare danni al tuo computer.........”)
Edgar
Come appare anche da alcuni post e articoli apparsi in rete , nelle ultime settimane stiamo assistendo ad un massiccio utilizzo di metodi di blackhat SEO (ottimizzazione dei risultati di una ricerca in rete ) per proporre come risultato proprio queste pagine incluse che in maniera automatica, con un semplice javascript debolmente offuscato, reindirizzano sul falso scanner AV o comunque su siti di dubbia affidabilita'
Questo un post apparso su http://blogs.zdnet.com/security/ a firma di Dancho Danchev che illustra gli ultimi sviluppi di questo genere di attacchi , mentre su questo sito una segnalazione che riprende quanto avevo gia' indicato alcune settimane fa' al riguardo.
Al momento sembrerebbe che solo il noto motore di ricerca di Mountain View indicizzi queste pagine incluse, mentre altri motori di ricerca non proporrebbero i risultati pericolosi.
Come spiegazione di questo si avanza l'ipotesi che Google permetta meglio di altri Search Engines la possibilita di sottoporre i links da includere nelle ricerche (ad esempio tramite il file sitemap.xml ), file trovato su alcuni dei siti esaminati.
Vediamo ora un ulteriore aggiornamento , relativo sempre a questo genere di attacchi, tra le centinaia disponibili in rete.
Si tratta del sito di un ristorante del centro Italia
che, al momento di scrivere il post e da alcuni giorni, ospita al suo interno decine di pagine con questo layout
Il codice offuscato presente
se decodificato, indica che questa volta, viene effettuato un ulteriore redirect a sito ,compromesso, che presenta questa homepage (anche se relativo al Brasile il sito e' hostato su server USA)
Il codice presente sul sito 'brasiliano' effettua un ulteriore redirect
che punta ad altro indirizzo web dove troviamo finalmente il link finale al falso scanner AV
Una analisi VT mostra che il file eseguibile e' praticamente sconosciuto ai softwares presenti nel report
mentre come si nota dallo screenshot, abbiamo differenti IP per il medesimo falso scanner online.
Esaminando uno a caso, di questi IP si nota come siano presenti altri nomi di dominio legati alla distribuzione di applicazioni antivirus fasulle.
In conclusione l'accoppiata tra siti con vulnerabilita' presenti in maniera diffusa piu' l'uso di tecniche di blackhat SEO, specialmente ai danni di Google, stanno portando i risultati di una ricerca in rete a proporre sempre piu' spesso links pericolosi.
C'e' anche da ricordare che l'utilizzo in questi casi, di links che puntano a siti intermedi, tutto sommato attendibili( i falsi blog o i siti compromessi visti prima) , porta anche ad un basso riconoscimento dei links risultato di ricerca, come pericolosi da parte di Google, bloccando di fatto, eventuali azioni di blocco del link malevolo. (il noto avviso Google: “Questo sito potrebbe arrecare danni al tuo computer.........”)
Edgar
Nessun commento:
Posta un commento