[NEWS] “Il vostro Blog in pochi click” ovvero facile sistema per diffondere malware

Edgar Bangkok · 12-09-2008, 06:54

venerdì 12 settembre 2008

N.B. si tratta di pagine con possibili collegamenti a malware attivo o a falsi softwares AV Usate quindi le dovute precauzioni se visitate questi siti.

Esistono in rete, anche per utenti italiani, servizi free che offrono risorse per crearsi un proprio blog, come ad esempio questo che vediamo
(img sul blog)
cosa che se da un lato permette l'interessante diffusione in rete di blogs personali, attrae purtroppo anche l'interesse di organizzazioni criminali per sfruttare gli spazi offerti a proprio vantaggio (diffusione di malware, falsi Antivirus , links a siti dubbi ecc.....)

Quella che vedremo ora e' una analisi, non approfondita, che parte dalla presenza in rete di questa pagina

che utilizza appunto l'offerta free del noto gruppo editoriale italiano per la creazione di un blog personale e che rende bene l'idea di come malintenzionati possano utilizzare questi spazi free disponibili in rete

Da quello che appare sembrerebbe un 'tentativo' di creare un nuovo blog poi abbandonato ma in realta' non e proprio cosi'
Se andiamo infatti ad esaminare l'URL di questo blog scopriamo che dietro questa registrazione 'fasulla' di nuovo account si nasconde un sistema ormai ben collaudato di distribuzione di pagine che puntano sia a malware che a siti porno, a falsi motori di ricerca, falsi Av ecc....
In pratica chi vuole creare links indicizzabili da motori di ricerca ha bisogno di hosting free per le sue pagine e quello che vedremo e' un modo molto pratico per disporre di spazio in quantita praticamente illimitate ed in piu' in maniera difficilmente visibile.
Questa l'url che punta ad una pagina inserita all'interno del blog visto sopra, chiaramente in maniera volutamente non visibile,

che contiene lo script necessario a richiamare altra pagina,

che con un layout ben noto, propone una ennesima variante di malware ZLOB camuffato da falso setup di player video, e come sempre poco riconosciuto dagli AV

Il tutto avviene senza lasciare l'url originaria ma all'interno di un iframe come vediamo qui

e qui
(img sul blog)
Il blog in questione sembra non presente negli elenchi che appaiono sulla homepage del servizio di blog personale free ma in ogni caso viene comunque riconosciuto come blog autorizzato dal sito in quanto il tentativo di crearne un nuovo con il medesimo nome viene rifiutato

Ecco un altro esempio di pagina che
(img sul blog)
una volta caricata redirige su sito di webcam porno a pagamento
(img sul blog)
Una differente tecnica utilizzata, che colpisce sempre su questo servizio di blogs free, NON crea invece pagine con codice malevolo ma pagine , nascoste, con migliaia di links (piu' di 6.000 (seimila !!!) in questa ),

che puntano a siti costruiti usando anche servizi di free hosting presenti in rete
(img sul blog)
per reindirizzare su vari tipi di siti comunque tutti dai contenuti dubbi.
(img sul blog)
Un uso pratico di questo genere di attivita' illecita ai danni di servizi free di blogs lo vediamo effettuando una ricerca in rete dove si scopre, come i riferimenti a pagine hostate servendosi del servizio free di blog personale visto ora ,sono migliaia

ed in tutte le lingue thai compresa
(img sul blog)
Un whois dei blogs per cosi' dire fasulli punta al medesimo IP di blogs 'del tutto 'normali' e tuttora attivi e comunque ileva che sono tutti hostati su server USA mentre la home page del sito che propone la creazione del blog punta a IP italiano.
Pare evidente che , visti i numeri relativi ai links presenti in rete, questo servizio di blogs free sia stato preso di mira in maniera veramente massiccia e al momento stia hostando migliaia di links e pagine dubbie ed a volte direttamente coinvolte in distribuzione di malware e che forse, a questo punto, occorra, da parte di chi lo gestisce, un deciso intervento per la verifica dei contenuti e la eventuale relativa bonifica dei blogs 'fasulli'

Edgar

fonte: http://edetools.blogspot.com/

leolas · 12-09-2008, 12:36

sempre interessanti i tuoi articoli

A quando qualche banner sul tuo blog, così ti finanziamo un pò?

12-09-2008, 06:54	#1
Edgar Bangkok Senior Member Iscritto dal: Sep 2007 Messaggi: 467	[NEWS] “Il vostro Blog in pochi click” ovvero facile sistema per diffondere malware venerdì 12 settembre 2008 N.B. si tratta di pagine con possibili collegamenti a malware attivo o a falsi softwares AV Usate quindi le dovute precauzioni se visitate questi siti. Esistono in rete, anche per utenti italiani, servizi free che offrono risorse per crearsi un proprio blog, come ad esempio questo che vediamo (img sul blog) cosa che se da un lato permette l'interessante diffusione in rete di blogs personali, attrae purtroppo anche l'interesse di organizzazioni criminali per sfruttare gli spazi offerti a proprio vantaggio (diffusione di malware, falsi Antivirus , links a siti dubbi ecc.....) Quella che vedremo ora e' una analisi, non approfondita, che parte dalla presenza in rete di questa pagina che utilizza appunto l'offerta free del noto gruppo editoriale italiano per la creazione di un blog personale e che rende bene l'idea di come malintenzionati possano utilizzare questi spazi free disponibili in rete Da quello che appare sembrerebbe un 'tentativo' di creare un nuovo blog poi abbandonato ma in realta' non e proprio cosi' Se andiamo infatti ad esaminare l'URL di questo blog scopriamo che dietro questa registrazione 'fasulla' di nuovo account si nasconde un sistema ormai ben collaudato di distribuzione di pagine che puntano sia a malware che a siti porno, a falsi motori di ricerca, falsi Av ecc.... In pratica chi vuole creare links indicizzabili da motori di ricerca ha bisogno di hosting free per le sue pagine e quello che vedremo e' un modo molto pratico per disporre di spazio in quantita praticamente illimitate ed in piu' in maniera difficilmente visibile. Questa l'url che punta ad una pagina inserita all'interno del blog visto sopra, chiaramente in maniera volutamente non visibile, che contiene lo script necessario a richiamare altra pagina, che con un layout ben noto, propone una ennesima variante di malware ZLOB camuffato da falso setup di player video, e come sempre poco riconosciuto dagli AV Il tutto avviene senza lasciare l'url originaria ma all'interno di un iframe come vediamo qui e qui (img sul blog) Il blog in questione sembra non presente negli elenchi che appaiono sulla homepage del servizio di blog personale free ma in ogni caso viene comunque riconosciuto come blog autorizzato dal sito in quanto il tentativo di crearne un nuovo con il medesimo nome viene rifiutato Ecco un altro esempio di pagina che (img sul blog) una volta caricata redirige su sito di webcam porno a pagamento (img sul blog) Una differente tecnica utilizzata, che colpisce sempre su questo servizio di blogs free, NON crea invece pagine con codice malevolo ma pagine , nascoste, con migliaia di links (piu' di 6.000 (seimila !!!) in questa ), che puntano a siti costruiti usando anche servizi di free hosting presenti in rete (img sul blog) per reindirizzare su vari tipi di siti comunque tutti dai contenuti dubbi. (img sul blog) Un uso pratico di questo genere di attivita' illecita ai danni di servizi free di blogs lo vediamo effettuando una ricerca in rete dove si scopre, come i riferimenti a pagine hostate servendosi del servizio free di blog personale visto ora ,sono migliaia ed in tutte le lingue thai compresa (img sul blog) Un whois dei blogs per cosi' dire fasulli punta al medesimo IP di blogs 'del tutto 'normali' e tuttora attivi e comunque ileva che sono tutti hostati su server USA mentre la home page del sito che propone la creazione del blog punta a IP italiano. Pare evidente che , visti i numeri relativi ai links presenti in rete, questo servizio di blogs free sia stato preso di mira in maniera veramente massiccia e al momento stia hostando migliaia di links e pagine dubbie ed a volte direttamente coinvolte in distribuzione di malware e che forse, a questo punto, occorra, da parte di chi lo gestisce, un deciso intervento per la verifica dei contenuti e la eventuale relativa bonifica dei blogs 'fasulli' Edgar fonte: http://edetools.blogspot.com/ __________________ http://edetools.blogspot.com/

12-09-2008, 12:36	#2
leolas Senior Member Iscritto dal: Feb 2007 Città: Modena Messaggi: 4904	sempre interessanti i tuoi articoli A quando qualche banner sul tuo blog, così ti finanziamo un pò?

Strumenti
Mostra una versione stampabile Invia questa pagina per email