browserdownup.com, javaupgradesup.com e flashplayerupgradesup .com, quando è Google a tradirti
Possibile che Google Adsense sia stato usato oggi come veicolo di installazione di malware? Ci sono 3 siti che da un paio di giorni infestano la rete .. e nessuno fa nulla. Che si lavori il lunedì anche in Google?
👤 Matteo Baccan ⌚ 1 Novembre 2014 - 18:38 Commentaa-
+
Oggi mi è capitata una cosa strana.
Mentre stavo controllando un sito in locale, all'improvviso, il browser è stato rediretto all'indirizzo javaupgradesup.com, dove mi veniva chiesto di aggiornare Java, tornando alla pagina dove stavo lavorando, un nuovo redirect al sito browserdownup.com dove veniva richiesto l'aggiornamento del browser.
La cosa era strana, perché avevo una versione ben più recente di Java e il browser era stato aggiornato da poche ore.
Oltre a questo non avevo chiesto nessun check di sistema.
Ho provato allora a fare il whois del sito e ho scoperto che era stato registrato oggi
Domain Name: BROWSERDOWNUP.COM
Registry Domain ID: NA
Registrar WHOIS Server: whois.enom.com
Registrar URL: www.enom.com
Updated Date: 2014-11-01 07:14:09Z
Creation Date: 2014-11-01 14:14:00Z
Molto strano.
Ho provato poi a monitorare la chiamata al sito, e noto che il suo Referer è Google Adsense:
googleads.g.doubleclick.netGET /?cch=cd&dc=12 HTTP/1.1
Host: www.browserdownup.com
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:33.0) Gecko/20100101 Firefox/33.0
Accept: text/html,application/xhtml+xml, application/xml;q=0.9, */*;q=0.8
Accept-Language: it-IT,it;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: http://googleads.g.doubleclick.net/pagead/ads?client=ca-pub-3164279473024886 &format=780x90 &output=html &h=90 &slotname=6646876254 &adk=193303815 &w=780 &lmt=1414861563 &flash=15.0.0 &url=http%3A%2F%2Flocalhost%2Fn1-cannobio- migliaia-di-persone-per-i-lumineri.htm &resp_fmts=3 &dt=1414861564466 &bpp=11 &bdt=1094 &shv=r20141029 &cbv=r20140417 &saldr=aa &correlator=306986773700 &frm=20 &ga_vid=414115806.1391610327 &ga_sid=1414861565 &ga_hid=912158964 &ga_fc=1 &u_tz=60 &u_his=4 &u_java=0 &u_h=768 &u_w=1366 &u_ah=740 &u_aw=1366 &u_cd=24 &u_nplug=20 &u_nmime=59 &dff=raleway &dfs=16 &adx=85 &ady=431 &biw=1350 &bih=595 &eid=317150304 &oid=3 &ref=http%3A%2F%2Flocalhost%2F &rx=0 &eae=0 &fc=8 &brdim=%2C%2C-4%2C-4%2C1366 %2C0%2C1374%2C748%2C1366%2C595 &vis=1 &abl=NS &ppjl=t &fu=128 &ifi=1 &xpc=466s0x9T6v &p=http%3A//localhost &dtd=487
Cosa pensare? Qualcuno ha fatto uno scherzo alla rete pubblicitaria di Google, configurando un Flash in grado di veicolare verso siti dai quali installare malware?
AggiornamentoLa cosa strana è che sono 2 giorni che queste "apparizioni" continuano, e nessuno ha ancora messo una pezza.
Inizio a pensare che in Google non lavorino il fine settimana, e questa è una buona notizia, almeno per chi vuole usare Adsense come veicolo di installazione Malware per almeno 2 giorni.
Giusto per aggiungere dettagli, ecco un altro bel log con referer in chiaro, questa volta con Chrome e non Firefox. Ho solo rimosso i nomi dei siti per non creare falsi allarmismi a chi ha messo Adsense:
GET /?cch=cd&dc=12 HTTP/1.1
Host: www.flashplayerupgradesup.com
Connection: keep-alive
Pragma: no-cache
Cache-Control: no-cache
Accept: text/html,application/xhtml+xml, application/xml;q=0.9, image/webp,*/*;q=0.8
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/38.0.2125.111 Safari/537.36
Referer: http://googleads.g.doubleclick.net/pagead/ads?client=ca-pub-4982115310640949 &format=300x250_as &output=html &h=250 &slotname=6448001716 &adk=2986405371 &w=300 &lmt=1414944463 &flash=15.0.0 &url=http%3A%2F%2F--removed-- &dt=1414944462506 &bpp=121 &bdt=466 &shv=r20141029 &cbv=r20140417 &saldr=aa &prev_fmts=728x90%2C728x90 &correlator=707123343361 &frm=20 &ga_vid=1641942665.1414944463 &ga_sid=1414944463 &ga_hid=866715329 &ga_fc=0 &u_tz=60 &u_his=1 &u_java=1 &u_h=768 &u_w=1366 &u_ah=740 &u_aw=1366 &u_cd=24 &u_nplug=26 &u_nmime=62 &dff=arial &dfs=16 &adx=899 &ady=2918 &biw=1358 &bih=679 &eid=317150304 &oid=3 &ref=--removed-- &rx=0 &eae=0 &fc=8 &brdim=0%2C0%2C0%2C0%2C1366%2C0%2C1366 %2C740%2C1366%2C679 &vis=1 &abl=CS &ppjl=f &fu=0 &ifi=3 &xpc=X5I5RJXbxI &p=--removed-- &dtd=1022
Accept-Encoding: gzip,deflate,sdch
Accept-Language: it-IT,it;q=0.8,en-US;q=0.6,en;q=0.4
Visto il numero di segnalazioni che ci sono in rete .. credo il problema sia parecchio diffuso.
Scopriremo nelle prossime ore come correggerlo, o più verosimilmente smetteremo di avere segnalazioni, grazie a qualcuno che sarà entrato in un pannello di controllo per cliccare "disabilita" su un banner :)
Leggi QUI il post completo