È un sistema ingegnoso quello ideato dai malintenzionati che tentano di sfruttare il successo di siti come ZDNet Asia e TorrenReactor per veicolare spam e altri contenuti potenzialmente più dannosi. La pratica consolidata di effettuare il caching delle ricerche sui rispettivi domini e sottoporle all’indicizzazione di Google ha infatti dato origine ad una minaccia per i navigatori che giungono sulle pagine dei due siti, minaccia che sussiste anche se i loro server non sono stati crackati.
La scoperta è stata effettuata dal noto esperto di sicurezza Dancho Danchev, che ha identificato non meno di 11mila pagine “contraffatte” di ZDNet Asia reperibili attraverso il search di Mountain View, e quasi 30mila appartenenti a TorrentReactor . Molte di queste sono state talmente ben mascherate da finire tra i primi 20 risultati quando si effettua una interrogazione che riguardi i due domini.
La vicenda nasce dalla pratica, adottata sia da ZDNet Asia che da TorrenReactor, di tenere traccia (caching) delle ricerche che gli utenti effettuano sul sito: una comune prassi SEO ( Search Engine Optimization ), soprattutto sui domini di grosse dimensioni, che consente di indicizzare queste informazioni sui principali motori di ricerca e metterle a disposizione di chi fosse interessato a determinati argomenti. È proprio sfruttando questa pratica che un gruppo di pirati russi avrebbe cominciato a dare in pasto a Google indirizzi aggiuntivi riferiti ai due domini, contenenti stringhe di codice in grado di lanciare un iFrame sovrapposto alla visualizzazione della pagina legittima.
Nascosti all’interno dell’iFrame ci sono script potenzialmente pericolosi, che vengono fatti girare sul computer del navigatore a sua insaputa e che lo espongono ai consueti pericoli: malware e spam. Il tutto, dice Danchev, senza che i vari programmi antispyware e antivirus si accorgano di quanto sta succedendo : dal punto di vista di chi naviga e del software il codice risiede tutto su un dominio legittimo.
Ma la faccenda, secondo Danchev, è ancora più raffinata di quanto non sembri a prima vista: se il server russo su cui risiede il codice maligno rileva che l’IP del computer che fa richiesta delle informazioni appartiene ad un nota organizzazione che si occupa di sicurezza, tenta di restituire una pagina vuota per evitare di essere individuato (errore 404). Una chicca in più per tentare di massimizzare l’effetto delle proprie trovate e minimizzare il rischio che venga elaborata in breve una contromisura.
Ricapitolando, un gruppo di malintenzionati ha deciso di sfruttare una comune tecnica SEO per rivoltarla contro i suoi stessi ideatori. La vicenda pone un problema piuttosto serio: nonostante l’ impegno di Google per minimizzare i rischi per chi cerca informazioni attraverso il suo motore, sempre nuovi stratagemmi vengono studiati per scavalcare le protezioni poste a guardia dei netizen. E, come in questo caso, sfruttando la credibilità e l’autorevolezza altrui per veicolare materiale pericoloso residente altrove.
Luca Annunziata