giovedì 30 maggio 2013

Nuove inclusioni su siti di PA italiana e .GOV stranieri di links che puntano a siti porno. Probabile identica origine (30 maggio)

Sono parecchi i siti sia di PA italiana (Comuni) ma anche siti non italiani su dominio .GOV (siti governativi) che attualmente includono numerosi ed aggiornati links a siti con contenuti porno.
Si tratta di azioni create allo scopo di diffondere  i links attraverso la loro indicizzazione da parte dei motori di ricerca, cosa evidenziata anche dalla presenza nei sources di links in cui viene forzato l'attributo 'DOfollow' che indica al crawler del motore di ricerca di visitare ed indicizzare il sito a cui si riferisce il link.
Altra cosa interessante e' che tutti i siti analizzati, sia .IT che .GOV utilizzano Joomla come ambiente di sviluppo in un versione abbastanza datata mentre la struttura del codice,  uguale per tutti i casi esaminati, farebbe pensare ad una origine comune..

Vediamo alcuni dettagli:

Questo un attuale sito di Comune italiano


con whois


di cui e' evidenziato il source della pagina


 con i numerosi links (nascosti al visitatore)


che puntano a siti porno attualmente attivi


ed anche


ecc.
Chiaramente si tratta, in questo caso come negli altri che vedremo, di links assolutamente nascosti al visitatore, ma rilevabili nel codice solo dal crawler del motore di ricerca.
Deriva da cio' che e' molto probabile che detti link rimangano attivi per diverso tempo in quanto nascosti ai visitatori, ma spesso anche a chi amministra il relativo sito.

Da notare come le date delle info presenti sul sito indichino che si tratta di pagine aggiornate ed amministrate attualmente. 


Come scritto in premessa il CMS usato parrebbe essere una versione non recente di Joomla


Questa una tabella riassuntiva delle versioni Joomla esistenti tratta da Wikipedia


Come succede quasi sempre in questi casi (links inclusi in maniera nascosta a pharmacy, links a siti porno, siti di vendita merce contraffatta ecc...) non ci si e' limitati a colpire le homepages ma le pagine interessate sono parecchie.
Attraverso uno script Autoit che sfrutta una ricerca in rete, possiamo vedere come i links siano inclusi  in una notevole quantita' di pagine del sito comunale presso in esame:


con in dettaglio


Abbiamo nella prima colonna l'URL interessata, mentre nella seconda il risultato di ricerca e nella terza i dettagli del testo trovato in relazione alla chiave di ricerca.

Come si nota sono numerose le pagine legittime coinvolte tenendo anche conto che lo screenshot riguarda solo una piccola parte de risultati ottenuti.

Affinando la ricerca per i medesimi contenuti (links con attributi 'DOfollow' ) vediamo che esistono altri siti comunali coinvolti come ad esempio questo sito 


con whois


ed identica struttura del source. 
Anche in questo caso il CMS risulta essere


Altro sito simile, sempre comunale, e' questo 


dove i links puntano a siti simili ai precedenti ed e' presente l'attributo 'DOfollow'
Anche in questo caso il sito con whois 


 e' sviluppato in Joomla


Chiaramente l'inclusione di links non si limita ai soli siti italiani ma e' diffusa in rete ed in particolare pare colpire anche diversi siti governativi non italiani.

Ad esempio ecco un sito governativo del Bangladesh 


con whois 


e con inclusione di links a siti porno praticamente identica ai siti comunali IT
visti prima.
Anche in questo caso e' usato 


Vediamo ora un sito GOV delle Filippine 


con struttura di codice di pagina identica alle precedenti e whois 


ed ancora CMS


(Continua)

Edgar

martedì 28 maggio 2013

“Vedere gentilmente la ricevuta allegata per conferma di pagamento”. Nuovamente spam pericoloso con allegato malware.(28 maggio)

AVVISO ! Ricordo, come sempre, che anche se alcuni links sono in chiaro, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc...)
Ritorna lo spam di distribuzione malware ma questa volta con allegato file ZIP attraverso questa mail:


dove notiamo un testo leggermente piu' complesso delle mails ricevute in questi  ultimi mesi (vedi es. questo post) e che proponevano un link a file ZIP e non un allegato al messaggio mail.
Il fatto di allegare il file ZIP contente malware potrebbe avere maggiore efficacia nel tentativo di far aprire ed eseguire il file malevolo (questa volta e' un semplice file SCR) visto che non c'e' niente da 'scaricare' ma basta cliccare sul file ZIP.

Ricordo che l'estensione .SCR (come quella del file presente nello ZIP) e' stata associata da Microsoft a contenuti di Screen Saver ma poiche' il file .SCR e' a tutti gli effetti un eseguibile questo tipo di file e stato usato, specialmente in passato, come mezzo di diffusione di virus informatici.

Da non sottovalutare anche il fatto che il file SCR proponga una icona tipica dei files in formato PDF.


Anche se a prima vista si potrebbe obiettare che il file e' ben distinguibile da un reale PDF vista al sua estensione SCR, c'e' da ricordare che su molti PC con Windows installato l'opzione che nasconde le estensioni di file per files noti, e' attiva (di solito e' impostata cosi' di default al momento dell'installazione di Windows).


Ecco quindi come potrebbe presentarsi il file estratto dallo ZIP quando salvato su disco.


In effetti al momento dell'apertura dello ZIP l'estensione SCR e' comunque ben visibile ma potrebbe anche passare inosservata.


Come sempre al momento della comparsa online delle mails il contenuto del file malware era poco visto'


mentre attualmente siamo a circa la meta' dei softwares in VT che rilevano la minaccia, 


con


anche se alcuni noti antivirus, vedi es . Microsoft, parrebbero non rilevare il codice come pericoloso. (tenendo sempre conto dei limiti di una scansione ON-line ON-demand come quella di VT).

Una analisi Anubis mostra che il trojan tenta di connettersi a 


cosa confermata anche da Sophos


E' cosa normale che un codice malware contatti un server remoto per scaricare  ulteriori codice malevoli oppure inviare quanto lo stesso trojan puo' aver acquisito come dati sensibili sul PC colpito, ecc.....

Edgar

lunedì 27 maggio 2013

Particolari pagine WEB di 'Referer spamming'. Cambia il codice incluso nelle pagine 'topblogstories.com', che adesso punta a Google Analytics (27 maggio)

Ieri, 26 maggio, nel pomeriggio (ora thai) si notava la scomparsa dei codici che puntavano a blogs Blogspot, come avevamo visto nei precedenti post (QUI e  QUI ).

Questa mattina abbiamo dei nuovi codici come 


Si tratta nel dettaglio di codice che riproduce quello generato quando Google Analytics viene usato per monitorare una pagina.
Come spiega bene il sito in lingua italiana www.goanalytics.info/  

…....... Ogni volta che una pagina monitorata (con Google Analytics) viene caricata, il codice Javascript che avete inserito effettua una richiesta GET verso la URL http://www.google-analytics.com/__utm.gif inserendo al suo interno una serie di parametri......"

Come si vede dai parametri che appaiono nell'attuale codice presente in pagine  'topblogstories.com' abbiamo sia differenti User ID di accounts di Google Analytics 


che diversi referer


che puntano adesso a subdomains di  'topblogstories.com'.


Si rileva anche che i vari links present su chat, register ecc... puntano ora a


ma anche


con whois


Notate come la favicon di questo sito sia praticamente uguale a quella di 'topblogstories.com'


Parrebbe quindi, che almeno per quanto si riferisce a codici inclusi di Referer spamming' su 'topblogstories.com', le statistiche dei blogs Blogger non siano piu' prese di mira ma l'attenzione degli spammer sia ora per Google Analytics.

Edgar

sabato 25 maggio 2013

Particolari pagine WEB di 'Referer spamming'. Scaricato il codice di spamming ai danni di questo blog (25 maggio)

AVVISO ! Ricordo, come sempre, che anche se alcuni links sono in chiaro, evitate di visitare il sito elencato se non avete preso tutte le precauzioni del caso ed in special modo disabilitata l'esecuzione degli scripts..
In caso contrario, con gli scripts abilitati, e' probabile che il vostro PC inizi a generare una sequenza di 'referer spamming' ai danni di blogs blogger. 

C'erano pochi dubbi sul fatto che il codice nascosto nelle pagine del 'fake' sito porno 'topblogstories.com', servisse a generare uno spamming di referer ai danni delle statistiche anche di questo blog.
Nel post precedente avevamo visto sommariamente come funzionava il codice presente in pagine 'topblogstories.com'.

Oggi abbiamo invece la conferma del target (edetools) attraverso l'acquisizione effettuata in maniera automatizzata tramite script Autoit, del relativo codice di pagina di topblogstories.com.
Per di piu' abbiamo anche la coincidenza che in contemporanea con la presenza  del codice online le stats di questo blog hanno registrato la consueta comparsa dei riferimenti al sito 'topblogstories.com'.

Vediamo alcuni interessanti dettagli:
Per iniziare ecco due successive acquisizioni del source di una pagina a carattere porno del sito 'topblogstories.com'.

Al time


abbiamo


mentre dopo circa 2 secondi, al time


notiamo che l'URL Blogspot presa in esame, risulta 'shiftata' al top della lista


Questo vuole dire che in pratica ogni circa due secondi l'elenco viene rinnovato inserendo nuove URLS.

Si tratta come si capisce di migliaia di indirizzi Blogspot in quanto per proporre incluso nelle pagine porno tutto l'elenco alfabetico dalla A alla Z occorrono parecchie ore. (dalle 12 alle 15 ore)

A questo punto tramite sempre lo script Autoit si e' provveduto ad acquisire ad intervalli di circa 2 secondi il source del sito 'topblogstories.com', partendo dal momento 


in cui la lista ordinata di URL proponeva nomi di siti blogger inizianti per lettera D


Dopo circa 30 minuti, al time


veniva acquisito il seguente source 


dove troviamo anche l'URL di questo blog.
Qui un  dettaglio del codice nascosto sulla pagina


Contemporaneamente una analisi delle statistiche del blog mostrava 


un nuovo spamming proveniente da topblogstories.com/17794&c=6

Come si vede al dominio e' associato un numero che non e' altro che il nome della foto porno linkata da sito ucraino che le hosta, ma in realta' la parte di codice contenente le url dei blogs blogger e' aggiornata al momento in cui al pagina viene caricata nel browser.
In altre parole la stessa pagina con identica foto propone nel tempo differenti liste di URL seguendo la cronologia vista prima (la lista dei blogs si completa dalla A alla Z in 12...15 ore)


C'e' anche da evidenziare che tutto il layout di pagina sembra essere fatto esclusivamente a supporto dello spamming di referer in quanto nessuna delle opzioni presenti ( register, login, enter chat) sono implementate nel codice.

Edgar