[NEWS] Dai links doppiamente nascosti all'inclusione di frames

Edgar Bangkok · 11-10-2008, 12:41

sabato 11 ottobre 2008

Esaminiamo qualche caso interessante sia per la tipologia di attacco che per la natura stessa dei siti che appartengono ad Amministrazione Pubblica o comunque ad Enti noti.

Il primo caso riguarda un problema gia' da tempo presente in rete e cioe' l'utilizzo di una pratica anche definita “links spam injection” ai danni, tra l'altro, ai blogs Wordpress

Questa volta , pero', il sto colpito e di altro genere; si tratta infatti di :

anche se ad una prima analisi non sembrerebbe presentare problemi di sorta.

Se infatti andiamo a visionare il contenuto sia della homepage che delle altre pagine che compongono il sito non rileviamo nulla di anormale.
Anche una analisi del codice sorgente, non evidenzia links inseriti

Proviamo adesso a modificare l'User Agent inviato dal browser al momento di consultare una pagina sostituendolo con questo

In pratica simuliamo una visita al sito da parte di Google. o meglio dello spider del noto motore di ricerca, che verifica periodicamente i contenuti della rete per creare ed aggiornare gli indici da utilizzare nelle ricerche.

Ancora una volta apparentemente la pagina e' sempre la stessa ma proviamo a riesaminare il codice sorgente confrontandolo con quello precedente:

Da questo confronto si evidenzia subito la comparsa nel codice di una lunghissima serie di links a pagine che a loro volta redirigono sui 'soliti' siti con malware, con falsi Av , pharmacy ecc...
La quantita la possiamo valutare bene guardando le barre di scorrimento delle due finestre che contengono il source prima e dopo l'attivazione dell'user agent Googlebot.
Inoltre possiamo anche vedere che in testa alla lista dei collegamenti e' aggiunta l'istruzione che permettera' di rendere nascosti i links sulla pagina anche dopo la loro attivazione e relativa presenza nel codice sorgente.

Al momento il numero dei links supera abbondantemente il migliaio e di questi un certo numero e' attivo e linka ad esempio a:
(img sul blog)
con il solito falso player e codec in realta' malware.
(img sul blog)

Il secondo caso riguarda una pagina di sito ufficiale di Regione del Nord Italia (questo un whois)
(iwhois sul blog)
Questo e' quello che succede seguendo il links presente in una ricerca in rete:

Ci troviamo questa volta di fronte ad una inclusione che sfrutta l'inserimento nella url della pagina di un riferimento ad altro sito, che verra' caricato e visualizzato dal browser all'interno di un nuovo frame.

Dato poi che il link incluso e' a sito porno di falso Youtube che varia in continuo la pagina caricata avremo anche ad ogni click sul link differenti immagini visualizzate
(img sul blog)
Chiaramente basta alterare l 'url per poter visualizza qualunque pagina; ecco un esempio

Il sito in questione utilizza ampiamente questo procedimento per visualizzare le sue pagine, come vediamo in questo screenshot che evidenzia l'url.

C'e' da dire che il problema visto ora si presta bene non tanto per proporre pagine porno ma piuttosto per creare un sito di phishing che potrebbe ingannare chi lo visita facendogli credere di essere sul sito della Regione invece che su un sito di phishing creato appositamente allo scopo.

Ricordo che un sistema simile era gia' stato utilizzato, ad esempio, per il phishing ai danni della Banca Pop.del Lazio (questo il post) con inclusione di frame contenente la pagina di phishing visualizzata contemporaneamente a parte del sito reale

Edgar

fonte: http://edetools.blogspot.com/

Edgar Bangkok · 12-10-2008, 04:35

Un aggiornamento al riguardo della presenza di links che sfruttano l'inclusione di frame nell'url del sito regionale italiano
Questa e' una parziale videata di un ricerca in rete che al momento conta circa 200 links simili a quelli che vedete

Si tratta di links diretti presenti in Google che puntano al sito regionale con l'aggiunta del frame a pagina di falso Youtube con contenuti porno e malware sotto forma di falso codec video.

Ma la cosa piu' rilevante e' che ormai sono centinaia in rete i siti, forum, blogs di varie nazionalita' ( russi, coreani, cinesi ecc..ecc) che riportano il link della Regione con relativa inclusione di url a sito porno oppure anche a pagina di falso motore di ricerca

Ecco un estratto della ricerca

ed ecco alcuni siti presenti:
Corea

Argentina
(img sul blog)
ma anche
(img sul blog)
con links a
(img sul blog)

Questo il risultato seguendo un link presente su sito russo e che e' leggermente diverso dai precedenti in quanto punta al sito regioanle con incluso un frame a motore di ricerca

Evidentemente chi gestisce questo genere di attivita' e' molto rapido nell'approfittare delle occasioni che gli vengono fornite per diffondere malware o links a siti di dubbia affidabilita'

Edgar

fonte: http://edetools.blogspot.com/

11-10-2008, 12:41	#1
Edgar Bangkok Senior Member Iscritto dal: Sep 2007 Messaggi: 467	[NEWS] Dai links doppiamente nascosti all'inclusione di frames sabato 11 ottobre 2008 Esaminiamo qualche caso interessante sia per la tipologia di attacco che per la natura stessa dei siti che appartengono ad Amministrazione Pubblica o comunque ad Enti noti. Il primo caso riguarda un problema gia' da tempo presente in rete e cioe' l'utilizzo di una pratica anche definita “links spam injection” ai danni, tra l'altro, ai blogs Wordpress Questa volta , pero', il sto colpito e di altro genere; si tratta infatti di : anche se ad una prima analisi non sembrerebbe presentare problemi di sorta. Se infatti andiamo a visionare il contenuto sia della homepage che delle altre pagine che compongono il sito non rileviamo nulla di anormale. Anche una analisi del codice sorgente, non evidenzia links inseriti Proviamo adesso a modificare l'User Agent inviato dal browser al momento di consultare una pagina sostituendolo con questo In pratica simuliamo una visita al sito da parte di Google. o meglio dello spider del noto motore di ricerca, che verifica periodicamente i contenuti della rete per creare ed aggiornare gli indici da utilizzare nelle ricerche. Ancora una volta apparentemente la pagina e' sempre la stessa ma proviamo a riesaminare il codice sorgente confrontandolo con quello precedente: Da questo confronto si evidenzia subito la comparsa nel codice di una lunghissima serie di links a pagine che a loro volta redirigono sui 'soliti' siti con malware, con falsi Av , pharmacy ecc... La quantita la possiamo valutare bene guardando le barre di scorrimento delle due finestre che contengono il source prima e dopo l'attivazione dell'user agent Googlebot. Inoltre possiamo anche vedere che in testa alla lista dei collegamenti e' aggiunta l'istruzione che permettera' di rendere nascosti i links sulla pagina anche dopo la loro attivazione e relativa presenza nel codice sorgente. Al momento il numero dei links supera abbondantemente il migliaio e di questi un certo numero e' attivo e linka ad esempio a: (img sul blog) con il solito falso player e codec in realta' malware. (img sul blog) Il secondo caso riguarda una pagina di sito ufficiale di Regione del Nord Italia (questo un whois) (iwhois sul blog) Questo e' quello che succede seguendo il links presente in una ricerca in rete: Ci troviamo questa volta di fronte ad una inclusione che sfrutta l'inserimento nella url della pagina di un riferimento ad altro sito, che verra' caricato e visualizzato dal browser all'interno di un nuovo frame. Dato poi che il link incluso e' a sito porno di falso Youtube che varia in continuo la pagina caricata avremo anche ad ogni click sul link differenti immagini visualizzate (img sul blog) Chiaramente basta alterare l 'url per poter visualizza qualunque pagina; ecco un esempio Il sito in questione utilizza ampiamente questo procedimento per visualizzare le sue pagine, come vediamo in questo screenshot che evidenzia l'url. C'e' da dire che il problema visto ora si presta bene non tanto per proporre pagine porno ma piuttosto per creare un sito di phishing che potrebbe ingannare chi lo visita facendogli credere di essere sul sito della Regione invece che su un sito di phishing creato appositamente allo scopo. Ricordo che un sistema simile era gia' stato utilizzato, ad esempio, per il phishing ai danni della Banca Pop.del Lazio (questo il post) con inclusione di frame contenente la pagina di phishing visualizzata contemporaneamente a parte del sito reale *Edgar* fonte: http://edetools.blogspot.com/ __________________ http://edetools.blogspot.com/ Ultima modifica di Edgar Bangkok : 11-10-2008 alle 14:56.

12-10-2008, 04:35	#2
Edgar Bangkok Senior Member Iscritto dal: Sep 2007 Messaggi: 467	Aggiornamento inclusione di frames su sito regionale .IT Un aggiornamento al riguardo della presenza di links che sfruttano l'inclusione di frame nell'url del sito regionale italiano Questa e' una parziale videata di un ricerca in rete che al momento conta circa 200 links simili a quelli che vedete Si tratta di links diretti presenti in Google che puntano al sito regionale con l'aggiunta del frame a pagina di falso Youtube con contenuti porno e malware sotto forma di falso codec video. Ma la cosa piu' rilevante e' che ormai sono centinaia in rete i siti, forum, blogs di varie nazionalita' ( russi, coreani, cinesi ecc..ecc) che riportano il link della Regione con relativa inclusione di url a sito porno oppure anche a pagina di falso motore di ricerca Ecco un estratto della ricerca ed ecco alcuni siti presenti: Corea Argentina (img sul blog) ma anche (img sul blog) con links a (img sul blog) Questo il risultato seguendo un link presente su sito russo e che e' leggermente diverso dai precedenti in quanto punta al sito regioanle con incluso un frame a motore di ricerca Evidentemente chi gestisce questo genere di attivita' e' molto rapido nell'approfittare delle occasioni che gli vengono fornite per diffondere malware o links a siti di dubbia affidabilita' Edgar fonte: http://edetools.blogspot.com/ __________________ http://edetools.blogspot.com/

Strumenti
Mostra una versione stampabile Invia questa pagina per email