martedì 5 gennaio 2010

Forum e nuove inclusioni di pagine nascoste su siti .IT (agg. 5 gennaio 2010)

AVVISO ! Ricordo, come sempre, che anche se i links sono in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!!
Si tratta molto spesso di exploits e files eseguibili malware, poco riconosciuti dai software AV in commercio

Anche il 2010 si apre con la medesima tipologia di attacchi a siti web legittimi che vengono sfruttati, ad esempio, per ospitare decine, se non centinaia, di pagine incluse in maniera nascosta, allo scopo di generare il maggior numero di links a siti poco affidabili, di pharmacy ma anche a malware e falsi software AV.

Attualmente continua infatti l'inclusione di pagine con layout simile a blog su siti .IT ostati su range ip inglese.

Una ricerca in rete vede il time dell'aggiornamento dei risultati del motore di ricerca fermarsi a pochi minuti,

cosa che indica sicuramente una attivita' recente se non attuale, nell'inclusione delle pagine.

Come sempre ogni pagina inclusa presenta uno script

che redirige su siti dubbi ma anche su falsi scanner Av ecc.....

Questo invece un screenshot di parte dei risultati del report eseguito con un tool Autoit che evidenzia la recente compromissione di sito web IT


Anche siti IT hostati su server IT sono sottoposti a questo genere di attacchi.

Qui vediamo la struttura di un sito italiano

che presenta la particolarita' di avere subito una inclusione di pagine una prima volta nel mese di ottobre 2009 ma di essere stato nuovamente compromesso da qualche giorno

Le pagine incluse presentano questo layout

che propone, se gli script java sono abilitati sul browser, una scelta per accedere a sito di filmati porno

che tentano di far scaricare l'ennesimo eseguibile malware.

Passando ad esaminare un altro metodo di diffusione di links malevoli abbiamo attualmente online alcuni forum che , NON o male amministrati, ospitano centinaia di post aggiornati in tempo reale.

Particolare e' il caso di questo forum di Ufficio Scolastico Provinciale che propone centinaia di post con un layout simile a questo

A parte l'evidente contrasto tra la tipologia del sito e quanto appare nei post , e' interessante notare come i messaggi siano pubblicati con intervalli di tempo veramente ridotti uno dall'altro

Si tratta di un vero e proprio 'bombardamento' di post che , tra l'altro, contengono alcuni link interessanti al riguardo della diffusione dell'uso di siti legittimi per diffondere ulteriori links pericolosi o comunque di dubbia affidabilita'

Capita cosi' che esaminando alcuni dei post proposti si scoprano links al noto sito di vendita online di libri Amazon, che , permettendo la creazione di accounts personali, e' stato sfruttato per diffonder collegamenti a siti porno come vediamo in questo screenshot.

Altri links presenti nei post , puntano invece a pagine Blogspot che a loro volta linkano a siti poco affidabili.

Edgar

Nessun commento: