martedì 10 giugno 2014

Pharmacy Hacking sempre molto attivo ai danni di siti IT (10 giugno)

Non conosce pause il 'Pharmacy Hacking' ai danni di siti .IT legittimi, hacking che si sviluppa con inclusione di codici che generano decine di pagine contenenti testo e links a vendita online di medicinali (in particolare viagra e derivati).
Quelli che analizzeremo ora sono solo una veramente minima parte di casi odierni che vedono interessati dall'inclusione di pharmacy siti di P.A., di istituti scolastici, di aziende IT ecc........
Il fenomeno del 'pharmacy hacking' e' stato trattato molto spesso in questo blog e continua ad esserlo visto che si tratta forse della maggiore tipologia di hacking che colpisce siti IT anche se in effetti si stratta di azioni nascoste ai visitatori del sito colpito, e spesso anche di chi lo dovrebbe amministrare.
Lo scopo finale di queste 'inclusioni' di codice che generano pagine e links che puntano a pharmacy e' infatti quello di creare il maggior numero di riferimenti a siti di vendita online di medicinali, quando viene effettuata una ricerca in rete.
Per fare questo occorre che solo quando un Bot di motore di ricerca visita il sito compromesso allo stesso appaiano i links a pharmacy ed il testo utile all'indicizzazione dei risultati e tutto avvenga in maniera nascosta ai normali visitatori del sito coinvolto. 
A riprova di questo si possono citare decine casi di siti compromessi rilevati da mesi se non da anni, che continuano a supportare pagine con links a pharmacy.
Altra particolarita' e' che quasi sempre andando ad analizzare i siti presenti sullo stesso IP di quello colpito ne troviamo (a volte in grande quantita') anche altri che presentano inclusione di pharmacy.

Ecco alcuni dettagli su siti IT rilevati in data odierna:

Questa come si presenta attualmente una delle pagine indicizzate dal motore di ricerca 


e che mostra testo di pharmacy quando l'user agent e' quello relativo a Google Bot
Uno dei link presenti punta a questo sito di vendita pharmacy su IP Usa


Dopo aver individuato l'IP del sito IT compromesso


possiamo eseguire una ricerca tramite semplice tool creato in Autoit 


per rilevare sul medesimo IP l'eventuale presenza di altri siti IT coinvolti in pharmacy hacking, ottenendo


Risulta evidente come ci siano altri siti che hanno subito una inclusione di codici di pharmacy hacking, cosa che vedremo ripetersi, anche con maggior numero di siti coinvolti, nei prossimi casi.

Ecco invece la pagina di login ad area riservata di sito appartenete a regione italiana


dove si evidenziano testi e links a pharmacy anche in lingua italiana.

In questo caso i link presenti non puntano direttamente a sito di vendita online dei medicinali ma piuttosto ad altri siti compromessi che a loro volta puntano a pharmacy


Anche in questo caso una analisi dei subdomini presenti  sull'IP appartenente al server regionale mostra  altri casi di inclusione di links a pharmacy 


Altra vasta 'categoria' di siti IT colpiti e' quella appartenente ad istituti scolastici.
Qui vediamo come, ad esempio, l'utilizzo di user agent Google Bot attivi questo genere di pagine su sito di Istituto Tecnico Industriale 


e come una analisi di reverse IP, sull'IP number appartenente a questa scuola mostri un report con un grande numero di siti coinvolti in Pharmacy Hacking 


Questa invece la pagina di azienda che si occupa di assicurazioni


con un dettaglio del source con testo e links a pharmacy

Per terminare ecco due casi simili come tipologia di inclusione di Pharmacy sempre visualizzando le pagine con users agent Google Bot.

Il primo e' un sito comunale 


che nella parte bassa della pagina mostra una enorme quantita' di links (piu' di 1.700)


Ecco un dettaglio dei links


e dell'elevato numero degli stessi


I links parrebbero essere tutti attivi e puntare esempio a:


Anche in questo caso un reverse IP mostra che non si tratta di solo sito comunale coinvolto ma di numerosi altri siti di vario genere, sul medesimo IP


Per terminare ecco la pagina (sempre generata con User Agent Google Bot) di un giornale online del sud Italia


dove si evidenzia la grande quantita' di link a pharmacy e che vediamo anche in dettaglio


Chiaramente i casi attivi on-line sono molti di piu' ed ad ogni giorno se ne aggiungono di nuovi portando il numero complessivo attualmente per i soli casi IT attivi sicuramente a diverse centinaia, ma forse in quantita' anche superiore al migliaio, tenendo anche conto che l'analisi attuale e' limitata ai soli casi italiani.

Per chi volesse approfondire l'argomento in questo precedente post si illustra anche come verificare semplicemente se un sito e' interessato da pharmacy hacking.

Edgar

Nessun commento: