mercoledì 10 luglio 2013

Pharmacy hacking. Un particolare sito compromesso (10 luglio)

Poche righe  per descrivere una delle tante azioni di pharmacy hacking che ogni giorno coinvolgono anche siti IT.
La particolarita e' che si tratta di sito di Banca Locale IT
Ecco i risultati di una ricerca in rete filtrata con il nome del sito della banca locale


dove, ad esempio, analizzando il primo link della ricerca


abbiamo diverse 'alternative': (notare come Google segnali la probabile compromissione del sito)
Se infatti clicchiamo sul risultato della ricerca (che comprende termini di pharmacy es... viagra cialis ecc...) abbiamo un redirect automatico ad un sito di pharmacy attraverso una serie di links in sequenza


 che gestiscono la destinazione finale (sito di pharmacy) che varia nel tempo.


ma anche


Se lo stesso link trovato viene visitato simulando il motore di ricerca tramite User Agent appropriato otteniamo 


che costituisce quanto verra' indicizzato dal bot di Google.
Se infine digitiamo il link proposto dalla ricerca direttamente nel browser  (quindi user agent nullo) otteniamo, nel caso esaminato,  un redirect  alla homepage di questo Comune IT. 


Si tratta del legittimo link di redirect che normalmente dovrebbe essere attivo per chi visita il sito della banca.

Inoltre, a differenza di quanto accade normalmente in molti casi di pharmacy hacking, dove il redirect a sito di pharmacy avviene solo se la chiave di  ricerca Google comprende anche termini di pharmacy (cialis,  viagra ecc...) questa volta basta che si provenga da Google per venire rediretti a pharmacy 
Esiste pero' un'altra particolarita' interessante, probabilmente posta in atto per evitare che chi utilizza una ricerca legittima (senza comunque riferimenti a pharmacy) venga rediretto a pharmacy rivelando cosi  la compromissione del sito.
Infatti se chi esegue  la ricerca Google e' su IP in range IT (quindi provenienza dall'Italia) viene visualizzata la pagina legittima del sito.
In altre parole, se si tratta di utenti IT, parrebbe esserci sempre un corretto funzionamento delle ricerche, senza che vengano attuati redirects a siti di pharmacy.
Con questo sistema si vengono cosi' a 'nascondere' i codici inclusi sul sito compromesso permettendo agli stessi di rimanere attivi per un tempo piu' lungo, e senza che chi amministra il sito (si presume da IP italiano) noti la presenza dei redirects a Pharmacy.

Edgar

Nessun commento: