Hace un tiempo, mirando las fuentes
de tráfico de mi blog, me di cuenta que muchos de los enlaces procedían como es
lógico desde Google, curioso de mí, hice clic sobre estos para ver a donde me
llevaban. En algunos casos, terminaba viendo imágenes indexadas de mi propio
blog, sin embargo en otros automáticamente se redireccionaba a un tema en
cuestión que anteriormente había publicado.
Con lo que me di cuenta que
Google a diferencia de otros buscadores, utilizaba un enlace de
redireccionamiento a todas las páginas que se encontraban indexadas en este. Si
recuerdan mi anterior entrada sobre la distribución
de malware mediante “redirects”, el principio de esta es sencillamente
idéntica, pero utilizando nada más ni nada menos que el dominio principal de
Google para este fin.
Se me ocurrió que sería una buena
idea indexar ejecutables en el gigante de Google, utilizando páginas conocidas
por el mismo, las toolbars o simplemente llevando a cabo un buen trabajo SEO,
para dar salida a nuevos enlaces que corriesen bajo la redirección de Google.
Para ver si Google protegía a sus
usuarios contra descargas de ejecutables de terceros desde su propia URL, se me
ocurrió hacer búsquedas de extensiones ejecutables conocidas como “SCR” o
instaladores “MSI”. La siguiente imagen no solo demuestra que Google indexa
este tipo de archivos, sino que también permite leer su interior ya que este lo
toma como texto.
No contento con esto, gracias a
las fabulosas descargas automáticas de Google Chrome, se descarga el ejecutable
en nuestro equipo al hacer clic sobre el enlace, pudiéndose tratar perfectamente
de un malware disfrazado de salvapantallas.
Para ver de manera detallada el
enlace, se observa como el campo de URL transporta la dirección de la página a
resolver, junto al fichero y extensión en texto claro.
Para agitar más la entrada, ya
que hablamos de SEO, o más bien Black Hat SEO, el cual nos ayudará a indexar
estos ejecutables en Google, podemos saltar del malware al defacement. La
verdad no vi nada al respecto por internet sobre el tema, pero podría ser lo
más parecido a lo que un IFRAME INJECTION o quizás un HTML INJECTION, podría
llegar a explotar.
Ciertas aplicaciones Flash
dedicadas a la visualización de contenido multimedia, utilizan rutas relativas
para hacer llamadas a videos, imágenes o archivos, en caso de videos normalmente FLV, para proceder a su
visualización. En otros casos, se requieren llamadas por HTTP/S al mismo
servidor o externos, que por ende son modificables desde la propia barra de
direcciones, permitiendo llamar a videos de terceros.
El problema de utilizar estas
aplicaciones, ocurre cuando una página conocida… me refiero a páginas
gubernamentales, militares, estatales… las utilizan con el fin de publicar sus
propios contenidos multimedia.
Valiéndonos de lo comentado anteriormente,
podríamos utilizar diferentes métodos para indexar contenidos maliciosos o
fraudulentos, con el objetivo de engañar a los usuarios que encontrasen la
página mediante los buscadores. Realizando la siguiente búsqueda avanzada,
encontraremos multitud de ejemplos:
inurl:"player.swf?video=http://"
Entre los afectados… la página
oficial de Radio Televisión Española,
hoy parece que le toca mostrar contenido erótico escondido detrás de un acortador de URL.
Los Tumbnails externos, también pueden jugar malas pasadas a páginas
como Telefónica, además de la
suplantación de los videos.
Y considerándome fan del Club de
la Comedia, páginas militares, hoy dejaron las armas para teñirse del humor de Nacho García.
“La gente valora mucho tener estudios, pero tan importante como tener
estudios es tener veranos, y… ¿la gente que tiene estudios y le falta un verano?
¿A dónde van?”
Saludos 4n4les! ;)
Fuente:
http://www.enelpc.com/2012/11/google-indexacion-malware-defacement.html
Con lo que me di cuenta que
Google a diferencia de otros buscadores, utilizaba un enlace de
redireccionamiento a todas las páginas que se encontraban indexadas en este. Si
recuerdan mi anterior entrada sobre la distribución
de malware mediante “redirects”, el principio de esta es sencillamente
idéntica, pero utilizando nada más ni nada menos que el dominio principal de
Google para este fin.
Se me ocurrió que sería una buena
idea indexar ejecutables en el gigante de Google, utilizando páginas conocidas
por el mismo, las toolbars o simplemente llevando a cabo un buen trabajo SEO,
para dar salida a nuevos enlaces que corriesen bajo la redirección de Google.
Para ver si Google protegía a sus
usuarios contra descargas de ejecutables de terceros desde su propia URL, se me
ocurrió hacer búsquedas de extensiones ejecutables conocidas como “SCR” o
instaladores “MSI”. La siguiente imagen no solo demuestra que Google indexa
este tipo de archivos, sino que también permite leer su interior ya que este lo
toma como texto.
No contento con esto, gracias a
las fabulosas descargas automáticas de Google Chrome, se descarga el ejecutable
en nuestro equipo al hacer clic sobre el enlace, pudiéndose tratar perfectamente
de un malware disfrazado de salvapantallas.
Para ver de manera detallada el
enlace, se observa como el campo de URL transporta la dirección de la página a
resolver, junto al fichero y extensión en texto claro.
Para agitar más la entrada, ya
que hablamos de SEO, o más bien Black Hat SEO, el cual nos ayudará a indexar
estos ejecutables en Google, podemos saltar del malware al defacement. La
verdad no vi nada al respecto por internet sobre el tema, pero podría ser lo
más parecido a lo que un IFRAME INJECTION o quizás un HTML INJECTION, podría
llegar a explotar.
Ciertas aplicaciones Flash
dedicadas a la visualización de contenido multimedia, utilizan rutas relativas
para hacer llamadas a videos, imágenes o archivos, en caso de videos normalmente FLV, para proceder a su
visualización. En otros casos, se requieren llamadas por HTTP/S al mismo
servidor o externos, que por ende son modificables desde la propia barra de
direcciones, permitiendo llamar a videos de terceros.
El problema de utilizar estas
aplicaciones, ocurre cuando una página conocida… me refiero a páginas
gubernamentales, militares, estatales… las utilizan con el fin de publicar sus
propios contenidos multimedia.
Valiéndonos de lo comentado anteriormente,
podríamos utilizar diferentes métodos para indexar contenidos maliciosos o
fraudulentos, con el objetivo de engañar a los usuarios que encontrasen la
página mediante los buscadores. Realizando la siguiente búsqueda avanzada,
encontraremos multitud de ejemplos:
inurl:"player.swf?video=http://"
Entre los afectados… la página
oficial de Radio Televisión Española,
hoy parece que le toca mostrar contenido erótico escondido detrás de un acortador de URL.
Los Tumbnails externos, también pueden jugar malas pasadas a páginas
como Telefónica, además de la
suplantación de los videos.
Y considerándome fan del Club de
la Comedia, páginas militares, hoy dejaron las armas para teñirse del humor de Nacho García.
“La gente valora mucho tener estudios, pero tan importante como tener
estudios es tener veranos, y… ¿la gente que tiene estudios y le falta un verano?
¿A dónde van?”
Saludos 4n4les! ;)
No hay comentarios:
Publicar un comentario