VoIP and Hacking | Consulenza Documentazione

Sono stato costretto a disattivare temporaneamente i commenti ai posts più vecchi di un giorno, a causa della notevole quantità di spam regolarmente ricevuto. Questo problema, che va nella fattispecie sotto il nome di “comment spam”, e che assilla tipicamente i blog, è abbastanza facilmente risolvibile adottando una strategia tra diverse possibili e ben conosciute.
Considerata la natura degli argomenti che il presente sito/blog pretende di affrontare, la circostanza mi offre l’opportunità di trattare questo specifico argomento, con alcuni esempi di prima mano.
Lo spam che assilla i blogs (conosciuto anche semplicemente come “comment spam”) è una particolare forma di spam per il cui genere è stato coniato il termine spamdexing (contrazione di spam e indexing). Viene attuato inserendo automaticamente commenti composti di frasi scollegate dal contesto ed anche fra di loro, oppure promuovendo servizi commerciali tipo voli last-minute, in blogs, wikis, guestbooks, o qualsiasi altra piattaforma di discussione online pubblicamente accessibile.
Qualsiasi applicazione web che preveda di accettare e pubblicare hyperlinks inseriti dai visitatori costituisce un potenziale bersaglio per questo genere di insidia.

La pubblicazione di links che puntino ai siti web “convenzionati” con lo spammer incrementa artificialmente il ranking di tali siti nei motori di ricerca. Un ranking accresciuto ottiene spesso il risultato di posizionare i siti in questione in cima ai risultati per certe ricerche, determinando un forte aumento nel numero di potenziali visitatori ed utenti paganti.

I messaggi “comment spam”, che ovviamente non vengono lasciati da utenti umani, ma da SpamBots variano, ma permettono di rilevare alcuni trends interessanti.  I links contenuti fittamente in lunghi messaggi senza senso puntano (per ogni singolo messaggio) ad un unico nome di dominio col nome costituito da una stringa di testo composto casualmente. Di seguito c’è un esempio di commento ricevuto da questo blog:

...Niobe cautioned and three not vampires answer and <a href="http://irnfjr.com/producer-terbinafine/" rel="nofollow">lamisil terbinafine</a> love anyway ome had then became dancing around <a href="http://irnfjr.com/dur-e-du-pr-avis-maxi/" rel="nofollow">disque dur pc</a> right amount ent remained use them ore magic...

eppure, tutti questi domini dai nomi strani sono regolarmente registrati:
roptik.com, iwejri.com, irnfjr.com, urjrti.com, sdafgfd.com ecc. riinviano allo stesso Registrant, Technical Contact ed Administrative Contact, cioè Moniker Privacy Services, Pompano Beach, Florida, semplicemente un mediatore che garantisce l’anonimato dei propri clienti.
Moniker.com opera tecnicamente fuori della Florida ed è stata spesso sospettata di avere stretti rapporti col cybercrimine.
Personalmente non riesco a capire come la garanzia dell’anonimato, che è una legittima attività, possa essere confusa con la copertura di attività palesemente criminali, e dunque come Icann possa permettere a questi signori di continuare a registrare domini.

I link lasciati nei commenti rimandano a pagine che ospitano certo codice JavaScript opportunamente offuscato, ed usato per redirigere l’ utente verso qualche altro website. Il codice viene usato per assicurarsi che i visitatori non provengano da qualche risultato nell’interrogazione di un motore di ricerca. Di seguto ho messo una porzione di tale codice, sia in forma offuscata che decodificata:

Forma offuscata:

</a><SCRIPT LANGUAGE="JavaScript"><!--
function Jiqefowi(){var temp="",i,c=0,out="";var str="60*115*99*114*105*112*116*62*102*117*110*99*116*105*
[...]
125*60*47*115*99*114*105*112*116*62*”;l=str.length;str.charAt(0);while(c<=str.length-1){while(str.charAt(c)!=’*')temp=temp+str.charAt(c++);
c++;out=out+String.fromCharCode(temp);temp=”";}document.write(out);}
//–></SCRIPT><SCRIPT LANGUAGE=”JavaScript”><!–
Jiqefowi();
//–></SCRIPT>

Parte dela funzione Jiqefowi() in chiaro:

[...]
var r = document.referrer, t =”, q, gogo;
gogo = false;
if (r.indexOf(”google.”) != -1) {
t = “q”;
}
if (r.indexOf(”msn.”) != -1) {
t = “q”;
}
if (r.indexOf(”yahoo.”) !=- 1) {
t = “p”;
}
if (r.indexOf(”altavista.”) !=- 1) {
t = “q”;
}
if (r.indexOf(”aol.”) != -1) {
t = “query”;
}
if (r.indexOf(”ask.”) != -1) {
t = “q”;
}
if (t.length && ((q = r.indexOf(”?”+t+”=”)) != -1 || (q = r.indexOf(”&”+t+”=”)) != -1)) {
gogo = true; }
if(gogo){
window.location=’http://abapharm.net/search.php?q=kdur’+key();
}else {
window.location=’http://google.com?q=kdur’+key();
}
</script>

In sostanza questo codice JavaScript controlla se per caso qualcuno dei principali motori di ricerca si trovi nella stringa relativa al referrer e se il visitatore abbia impostato un qualche valore come referrer.  Se entrambe queste condizioni non vengono verificate, il valore di “gogo” equivarrà a false ed al visitatore, rediretto su Google con una query sporcata dallo strano prefisso, verrà presentato qualche “Your search … did not match any documents”.  Se le condizioni sono entrambe vere il visitatore viene invece rediretto verso abapharm.net stranamente con la stessa variabile “sporca” passata nell’ URL, evidentemente prevista, come un biglietto da visita.

Abapharm.net è uno pseudo motore di ricerca, e contemporaneamente uno straordinario distributore di malware.
Chi opera dietro ad uno SpamBot è sostanzialmente interessato al business, così cerca di trarre il maggior profitto possibile sotto ogni forma. Fa quindi un certo effetto verificare la commistione fra attività criminale e “regolare” advertising che viene offerta al visitatore.
Se quest’ ultimo resiste ai richiami delle sirene e clicca su uno dei risultati viene immediatamente punito in modo esemplare. Un nuovo subdolo codice javascript imita perfettamente una schermata di Windows XP che vorrebbe rappresentare una provvidenziale scansione antivirus, forse predisposta dal ministro Brunetta al pari della posta certificata. Ed inizia in tal modo un balletto di finestre di avvertimento dal quale è difficile uscire per l’utente medio, indotto per disperazione ad accettare di scaricare la versione trial del miracoloso antivirus totalvirusprotections.exe e vivere felice il resto dei propri giorni.
Catturata la bestiola, questo è il rapporto che Clamav fa di essa dopo averla esaminata:

# clamscan totalvirusprotections.exe
totalvirusprotections.exe: Trojan.Fakealert-1425 FOUND

Tale Trojan è un antivirus fasullo che provoca l’emissione ripetuta di allarmanti messaggi sullo stato di salute del computer, per talune persone anche molto convincenti, con lo scopo di indurre la vittima ad acquisire, a pagamento si intende, nuovi aggiornamenti al taumaturgico software.
In un momento in cui si cominciano a vedere persone che acquistano un pc purché “sia capace di connettersi a FeisBuc” c’è da sospettare che gli affari vadano a gonfie vele per certi angeli custodi.

Send post as PDF to