Il fenomeno del 'pharmacy hacking' e' stato trattato molto spesso in questo blog e continua ad esserlo visto che si tratta forse della maggiore tipologia di hacking che colpisce siti IT anche se, in effetti, si stratta di azioni nascoste ai visitatori del sito colpito, e spesso anche di chi lo dovrebbe amministrare.
Lo scopo finale di queste 'inclusioni' di codice che generano pagine e links che puntano a pharmacy e' quello di creare il maggior numero di riferimenti a siti di vendita online di medicinali, per proporli al top dei risultati quando viene effettuata una ricerca in rete.
Per fare questo le inclusioni su siti compromessi generano quasi sempre pagine con links nascosti ai visitatori del sito legittimo, links che invece vengono 'visti' ed indicizzati dal motore di ricerca
A riprova di questo si possono citare decine casi di siti compromessi rilevati da mesi se non da anni, che continuano a supportare pagine con links a pharmacy.
Altra particolarita' e' che quasi sempre andando ad analizzare i siti presenti sullo stesso IP di quello colpito ne troviamo (a volte in grande quantita') anche altri che presentano inclusione di pharmacy.
Relativamente al caso odierno vediamo adesso alcuni dettagli su una attuale ricerca in rete che evidenzia un sito relativo ad Azienda Sanitaria Locale italiana che ospita links a Pharmacy e che propone un doppio sistema di links che si discosta in parte da quanto visto diffusamente in rete.
Iniziamo con una ricerca in rete che trova riferimenti a termini di Pharmacy collegati a legittime pagine proposte dal sito ASL
Come si nota seguendo i links abbiamo pagine del tutto legittime nel layout proposto ( notare il testo dei risultati) e che vengono pero trovate quando inseriamo nelle keywords di ricerca termini di Pharmacy quali cialis, viagra ecc.....
Questa una delle pagine che apparentemente non mostra niente di particolare
ma che rivela analizzandone il source
l'evidente presenza dei links contenenti termini di pharmacy
In particolare i links non puntano, e questa e' la cosa non comune ad altri casi, a pagine esterne al sito ASL ma ad altre pagine interne al sito che propongono
Si tratta di layout che comprende una immagine ed un link cliccabile a sito di vendita di medicinali online.
Da evidenziare come detta pagina faccia riferimento a diverso folder sul sito ASL, e l'immagine proposta sia ancora su altro folder
Chiaramente il motore di ricerca visitando il sito compromesso indicizzera' le pagine con inclusi i links ed i testi relativi a termini di Pharmacy viste prima
generando i collegamenti alle pagine con banner e link esterni come vediamo nel seguente screenshot
Cliccando sui risultati otterremo quindi
da cui poi si verra' rediretti sui siti di vendita medicinali.
Da notare come attualmente cliccando sul pulsante 'more info' in realta' venga caricata questa pagina che parrebbe evidenziare che il dominio creato ad hoc per proporre Pharmacy sia 'expired' ossia scaduto come registrazione
ma comunque si puo' pensare che in passato il link fosse attivo ed utilizzabile.
La riprova e' che se utilizziamo la cache di Google la pagina sul sito ASL risulta essere attiva da quasi un mese ma probabilmente anche da data precedente.
Come detto in premessa, di solito queste azioni di Pharma Hacking non si limitano a colpire un singolo sito ma possono interessare diversi domini sul medesimo host (IP).
A conferma di questo se effettuiamo una scansione dell'IP in questione
tramite script Autoit, otteniamo un report che ben evidenzia diversi altri siti coinvolti in azioni di Pharmacy Hacking.
Questo,ad esempio, un source attuale
mentre, caso particolare, sembrano pure essere stati modificati dei documenti che il browser carica come PDF e che includono links e termini di Pharmacy.
Anche se dal punto di vista della sicurezza per chi visita i siti coinvolti, non parrebbero esserci evidenti problemi, in quanto links volutamente ben nascosti, e' chiaro che l'inclusione di codici di Pharmacy Hacking, mostra che direttamente od indirettamente sono presenti vulnerabilta' che potrebbero essere utilizzate per scopi anche malevoli con links a malware o hosting di phishing.
Altro effetto collaterale forse meno evidente ma da non sottovalutare e' trovare la presenza del sito compromesso nei risultati delle ricerche in rete e quindi associabile a questo genere di spam.
Da rilevare poi che alcuni motori di ricerca potrebbero bannare il dominio in questione proponendo messaggi di allerta nei risultati delle ricerche.
L'hacking con contenuti di pharmacy infatti, anche se raramente coinvolge codici considerati malevoli, per cui Google non contrassegnera' il sito con l'avviso “questo sito potrebbe danneggiare il tuo computer”, potra' portare il motore di ricerca ad proporre nei risultati il testo “questo sito potrebbe essere stato compromesso” ed eventualmente generare anche una email di notifica che informa che il sito sta violando le linee guida di Google.
A questo punto ci potrebbero essere delle conseguenze sull'efficacia dei risultati di una ricerca in rete con possibile decrescita dei visitatori delle pagine colpite e/o del sito in generale.
Riprendersi dagli effetti nocivi di un pharmacy hacking porterebbe quindi a tempi lunghi per ripristinare correttamente i risultati di una ricerca Google
Altri post sul blog riguardo al Pharmacy Hacking:
http://edetools.blogspot.com/2013/04/the-pharmacy-hack-alcuni-dettagli-e.html
http://edetools.blogspot.com/2013/05/massive-action-of-pharmacy-hack-ai.html
Edgar