martedì 10 aprile 2012

Distribuzione Adware tramite siti IT compromessi. Aggiornamento. (10 aprile)

AVVISO ! Ricordo, come sempre, che anche se alcuni links sono in chiaro, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc...)

Un breve aggiornamento al riguardo di quanto segnalato ieri, circa siti IT compromessi con codici inclusi che puntano a fake sito di download filesm presentati come software, video ...ecc ma in realta' file eseguibile, con doppia estensione, probabilmente Adware.

Una ricerca piu' estesa attraverso Google e Bing (quest'ultimo usato con l'opzione di filtro IP number) ha rivelato decine di siti IT tuttora attivi nell'hostare codici di redirect al fake sito di file sharing gia' analizzato nella giornata di ieri.

Ecco alcune ricerche Google:

Questo ad esempio un attuale sito di P.A. (comune) che mostra pagine con questo layout

e redir a

Da notare come in altri casi ci sia la segnalazione Google che informa di indirizzo web pericoloso.

Naturalmente facendo un copia e incolla della url proposta ed utilizzando un referrer come 'google.com' otteniamo sempre la pagina di redirect.

Attraverso ricerca Bing su specifico IP appartenente ad hoster del nord Italia abbiamo invece molti risultati, tutti simili come struttura della URL

e che redirigono a differenti 'varianti' sempre del medesimo sito fake.

e


e

e

Una ricerca su differente dominio, es. .FR porta a trovare, allo stesso modo, pagine incluse con le medesime caratteristiche di quelle viste su siti IT.

E' quindi molto probabile che si tratti di azione di spamdexing su vasta scala che continua a coinvolgere anche siti IT hostati su differenti IP.

Come succede in questi casi, considerato che si tratta di codici inclusi che sfruttano l'uso del referrer per attivarsi solo attraverso una ricerca Google ( ma come abbiamo visto anche con Bing), puo' essere possibile una lunga permanenza online di detti redirect e con basse probabilita' che i siti compromessi siano bonificati tempestivamente.

Edgar

Nessun commento: