Roma, 23 gen. (askanews) – Una campagna su larga scala di malvertising – un tipo di pubblicità online usata per diffondere contenuti dannosi o fraudolenti -, basata su una rete composta da 18mila siti web compromessi, è stata individuata dai ricercatori ddel laboratorio di analisi malware Zlab dell’azienda italiana CSE Cybsec.
La nuova minaccia, denominata ‘Operation EvilTraffic’, ha raggiunto il picco a cavallo tra il 2017 e il nuovo anno. Secondo gli esperti la campagna di diffusione del software dannoso sfrutta la vulnerabilità dei siti basati su WordPress per ridirigere gli utenti verso siti con contenuti pubblicitari e fraudolenti all’insaputa degli utenti stessi. La logica di funzionamento è piuttosto semplice: l’utente che si collega al sito compromesso, tramite il suo web browser, clicca sulla pagina “infettata” e viene inevitabilmente dirottato su siti pubblicitari o fraudolenti: alcuni di essi invitano ad installare software e strane estensioni per il browser, altri tentano tramite tecniche di phishing di rubare dati personali, quali quelli bancari.
Tutti i siti coinvolti in questa campagna di malvertising, spiega la società di cyber security in una nota, sono basati su versioni di WordPress vulnerabili, utilizzati per dirottare i visitatori verso altri domini che ospitano pagine con contenuti pubblicitari. Più visitatori accedono a queste pagine, maggiori sono gli introiti dei malfattori, che in questo modo dispongono di decine di migliaia di siti che riescono a veicolare traffico verso domini con contenuti pubblicitari.
Uno solo dei siti che funge da rendez-vous dell’operazione, hitcpm.com, registra 1183500 visitatori unici al giorno con un guadagno giornaliero di circa 4284 dollari, ma i siti compromessi sono stimati essere almeno 18mila, anche italiani, che I ricercatori stanno monitorando. Gli esperti hanno poi individuato alcuni ‘percorsi’ ricorrenti in molti Url di siti web indicizzati, apparentemente non correlati gli uni agli altri ma tutti quelli compromessi dirottano gli utenti verso gli stessi siti di atterraggio utilizzati da criminali. Infatti, spiegano, su ciascun sito sono state scoperte una serie di cartelle e file php che presentano sempre la stessa struttura. Il meccanismo entra in azione quando l’utente incorre in queste pagine compromesse; è per questo motivo che ogni sito appartenente alla rete prevede un meccanismo per essere indicizzato dai più famosi motori di ricerca.
Periodicamente, su ogni sito compromesso vengono caricati, in modo del tutto automatico, una serie di file contenenti le parole più cercate sui motori di ricerca e i relativi risultati, in modo da far indicizzare questo sito dai motori di ricerca nel momento in cui un nuovo utente effettua la ricerca di uno dei termini presenti della lista. Questo trucco consente di influenzare il sistema di indicizzazione dei motori di ricerca.
(Fonte: Cyber Affairs)