venerdì 27 giugno 2014

Ancora pharmacy su siti italiani di P.A. Un esempio di esteso uso di referer per redirigere su siti di pharmacy

Si tratta del sito di un Comune italiano capoluogo di Provincia, che presenta un elevato grado di compromissione relativamente a contenuti di pharmacy hacking.
Questa la homepage del sito comunale  (le date presenti mostrano che si tratta di sito attualmente attivo)


 che viene proposto da Google nei risultati di ricerca con termini di pharmacy.


Le date di indicizzazione da parte di Google non asciano dubbi sull'attuale azione di pharmacy hacking
La particolarita' e' che cliccando su uno dei tanti risultati proposti dal motore di ricerca si viene rediretti (senza che praticamente venga visualizzato il sito comunale) su diversi noti siti di vendita di medicinali online.

I codici di pharmacy hacking inclusi nel sito gestiscono non solo la notifica a Google dei termini di pharmacy quando, come in questo caso, l'user agent e' quello del bot del motore di ricerca (notate il testo di pharmacy quasi esclusivamente in lingua italiana)


ma permettono di sfruttare il referer in modo molto efficiente, come vedremo dai seguenti esempi.

Richiamando direttamente dal browser la home page del sito comunale, come ovvio, otteniamo la pagina legittima


ma se attiviamo anche solo un semplice referer costituito da due semplici parole ' viagra google'


ma anche "viagra bing” , “viagra yahoo” ecc......


invece che il sito comunale otteniamo in sequenza un redirect ad uno dei siti di pharmacy che possiamo vedere nei seguenti screenshots


e


ed ancora


ecc...

Per almeno uno dei siti proposti e' possibile selezionare la versione in lingua italiana


In pratica il sito comunale funge da primo redirect ai siti di pharmacy.
Come si vede infatti da una analisi Fiddler il redirect ai vari siti di pharmacy passa per un ulteriore sito intermedio


ed anche


 su server con IP in range olandese


che seleziona ogni volta un differente indirizzo al sito di  vendita di medicinali online (parrebbe trattarsi di 4 indirizzi web selezionati ciclicamente)

Anche se i contenuti di pharmacy sono, come visto nella maggior parte dei casi in passato, nascosti a chi visita normalmente il sito gli effetti 'collaterali' a questo genere di hacking sono sempre possibili.

A parte un probabile aumento di 'traffico' non voluto sull'indirizzo web del sito compromesso si possono evidenziare altri problemi.

Intanto il fatto che l'url legittima del sito colpito appaia nei risultati di una ricerca in rete associata a vendita  di pharmacy, non e' certo una buona pubblicita', ma anche forse piu' grave, e' la possibilita' che Google evidenzi nei risultati di ricerca il sito come vittima di possibile hacking, 


facendolo quindi apparire poco sicuro e magari, agli occhi di un possibile visitatore, contenente malware.

Qui, in un precedente post, altri dettagli sul pharmacy hacking.

Edgar

martedì 17 giugno 2014

Ritorna il phishing Carrefour IT. (17 giugno)

Ricevuta da parte di un lettore del blog, che ringrazio, una segnalazione di phishing Carrefour.
Si tratta di un clone che ricalca i precedenti layout gia' visti nell'intensa campagna di spam attuata tramite SMS a fine 2013 ed inizio 2014.

Anche se non specificato nella segnalazione presumo che questa volta si tratti di mail di phishing e non SMS come nei molti casi visti in passato.

Ecco la segnalazione 


che mostra questo testo di phishing


Il link punta alla homepage del sito clone Carrefour


simile a quelle gia' viste in passato.
La differenza rispetto ad alcune precedenti pagine fake e' un banner cliccabile che permette di passare alle pagine successive


Da notare, come accaduto in precedenza, l'utilizzo di connessione HTTPS (sicura) attraverso l'utilizzo di servizio offerto da hoster IT. (vedi QUI e QUI)


Una analisi del 'response header' vede data recente per la pagina fake


Per il resto il phishing e' molto simile ai precedenti gia' visti e si sviluppa attraverso queste pagine abbastanza dettagliate, di richiesta dati personali e credenziali carta di credito






Dopo la conferma finale si viene rediretti sul legittimo sito Carrefour.


Vedremo ora se questa e' la prima di una nuova serie di cloni di phishing Carrefour o se si trattera' solo di un singolo ed isolato caso .

Edgar 


Ricordo che per chi volesse segnalare casi di phishing, distribuzione malware, siti dai contenuti dubbi ed hacking e' sempre disponibile il form cliccando QUI.
Nel limite del tempo a disposizione  i casi piu' interessanti saranno oggetto di un post di analisi pubblicato sul blog.

martedì 10 giugno 2014

Pharmacy Hacking sempre molto attivo ai danni di siti IT (10 giugno)

Non conosce pause il 'Pharmacy Hacking' ai danni di siti .IT legittimi, hacking che si sviluppa con inclusione di codici che generano decine di pagine contenenti testo e links a vendita online di medicinali (in particolare viagra e derivati).
Quelli che analizzeremo ora sono solo una veramente minima parte di casi odierni che vedono interessati dall'inclusione di pharmacy siti di P.A., di istituti scolastici, di aziende IT ecc........
Il fenomeno del 'pharmacy hacking' e' stato trattato molto spesso in questo blog e continua ad esserlo visto che si tratta forse della maggiore tipologia di hacking che colpisce siti IT anche se in effetti si stratta di azioni nascoste ai visitatori del sito colpito, e spesso anche di chi lo dovrebbe amministrare.
Lo scopo finale di queste 'inclusioni' di codice che generano pagine e links che puntano a pharmacy e' infatti quello di creare il maggior numero di riferimenti a siti di vendita online di medicinali, quando viene effettuata una ricerca in rete.
Per fare questo occorre che solo quando un Bot di motore di ricerca visita il sito compromesso allo stesso appaiano i links a pharmacy ed il testo utile all'indicizzazione dei risultati e tutto avvenga in maniera nascosta ai normali visitatori del sito coinvolto. 
A riprova di questo si possono citare decine casi di siti compromessi rilevati da mesi se non da anni, che continuano a supportare pagine con links a pharmacy.
Altra particolarita' e' che quasi sempre andando ad analizzare i siti presenti sullo stesso IP di quello colpito ne troviamo (a volte in grande quantita') anche altri che presentano inclusione di pharmacy.

Ecco alcuni dettagli su siti IT rilevati in data odierna:

Questa come si presenta attualmente una delle pagine indicizzate dal motore di ricerca 


e che mostra testo di pharmacy quando l'user agent e' quello relativo a Google Bot
Uno dei link presenti punta a questo sito di vendita pharmacy su IP Usa


Dopo aver individuato l'IP del sito IT compromesso


possiamo eseguire una ricerca tramite semplice tool creato in Autoit 


per rilevare sul medesimo IP l'eventuale presenza di altri siti IT coinvolti in pharmacy hacking, ottenendo


Risulta evidente come ci siano altri siti che hanno subito una inclusione di codici di pharmacy hacking, cosa che vedremo ripetersi, anche con maggior numero di siti coinvolti, nei prossimi casi.

Ecco invece la pagina di login ad area riservata di sito appartenete a regione italiana


dove si evidenziano testi e links a pharmacy anche in lingua italiana.

In questo caso i link presenti non puntano direttamente a sito di vendita online dei medicinali ma piuttosto ad altri siti compromessi che a loro volta puntano a pharmacy


Anche in questo caso una analisi dei subdomini presenti  sull'IP appartenente al server regionale mostra  altri casi di inclusione di links a pharmacy 


Altra vasta 'categoria' di siti IT colpiti e' quella appartenente ad istituti scolastici.
Qui vediamo come, ad esempio, l'utilizzo di user agent Google Bot attivi questo genere di pagine su sito di Istituto Tecnico Industriale 


e come una analisi di reverse IP, sull'IP number appartenente a questa scuola mostri un report con un grande numero di siti coinvolti in Pharmacy Hacking 


Questa invece la pagina di azienda che si occupa di assicurazioni


con un dettaglio del source con testo e links a pharmacy

Per terminare ecco due casi simili come tipologia di inclusione di Pharmacy sempre visualizzando le pagine con users agent Google Bot.

Il primo e' un sito comunale 


che nella parte bassa della pagina mostra una enorme quantita' di links (piu' di 1.700)


Ecco un dettaglio dei links


e dell'elevato numero degli stessi


I links parrebbero essere tutti attivi e puntare esempio a:


Anche in questo caso un reverse IP mostra che non si tratta di solo sito comunale coinvolto ma di numerosi altri siti di vario genere, sul medesimo IP


Per terminare ecco la pagina (sempre generata con User Agent Google Bot) di un giornale online del sud Italia


dove si evidenzia la grande quantita' di link a pharmacy e che vediamo anche in dettaglio


Chiaramente i casi attivi on-line sono molti di piu' ed ad ogni giorno se ne aggiungono di nuovi portando il numero complessivo attualmente per i soli casi IT attivi sicuramente a diverse centinaia, ma forse in quantita' anche superiore al migliaio, tenendo anche conto che l'analisi attuale e' limitata ai soli casi italiani.

Per chi volesse approfondire l'argomento in questo precedente post si illustra anche come verificare semplicemente se un sito e' interessato da pharmacy hacking.

Edgar

martedì 3 giugno 2014

Porn Hacking ai danni di ASL .it ma non solo (03 giugno)

Come visto in precedenti post (es. QUI) la pratica di includere in maniera nascosta e su siti legittimi links a pagine e/o siti di Pharmacy, vendita merce contraffatta, filmati e contenuti per adulti ecc... e' sempre molto attiva in rete.
Si tratta di solito di links che risultano nascosti ad un normale visitatore del sito compromesso e che invece il crawler del motore di ricerca indicizza, aumentando quindi la possibilita' che nei risultati di una ricerca in rete compaiano i collegamenti a siti es. porno come nel caso attuale che vedremo.
Altra particolarita' e' che una successiva ricerca trova dei links, su sito di animazioni in stile giapponese, che puntano a pagine incluse nel sito della ASL,  dai contenuti di spam e che una analisi dei response headers parrebbe far risalire al mese di febbraio 2014.
Dette pagine  non sembrano collegate all'attuale azione di 'porn hacking' ma piuttosto ad una inclusione di altro genere e che ha lasciato presenti i files htm anche se probabilmente non piu' collegati a spam attivo al momento di scrivere il post.
Da notare come tutte le informazioni presenti in questo post siano state ottenute esclusivamente  sfruttando Google e Bing.
Il tool Autoit ha permesso poi di meglio organizzare i risultati delle ricerche evidenziandone alcuni dettagli.

Vediamo alcuni dettagli:

Questo un parziale report Autoit che evidenzia come una ricerca in rete trovi attualmente diversi riferimenti a link porno sul sito della ASL:


Questa una delle tante pagine indicizzate appartenenti al sito ASL


con whois


Qui invece un frammento del codice della pagina dove si evidenzia come in maniera nascosta al visitatore del sito, vengano inclusi diversi links a siti porno:


Si tratta di link gia' visti in passato che puntano es. a questo sito con contenuti porno  


e con whois


Come detto in premessa estendendo la ricerca in rete troviamo su questo sito 


alcuni post che contengono links sempre al sito della ASL


Queste alcune delle pagine linkate con i rispettivi response headers che parrebbero datare le stesse pagine al mese di febbraio 2014


con 'response header'


ed anche


con


Si tratta di layout che non parrebbero aver niente a che fare con i contenuti del sito legittimo dell'ASL e comunque non legati all'attuale azione di 'porn hacking' ma piuttosto ad un probabile precedente utilizzo sempre collegato a distribuzione di links nascosti.

Edgar