A partire dalla seconda metà di ottobre, un numero crescente di utenti italiani di importanti siti quali Yahoo!, Hotmail, repubblica.it, ha riscontrato problemi di navigazione a causa di improvvise e inspiegabili redirezioni verso il sito toolsicuro.com. In quella pagina si comunica al navigatore la presenza sul suo sistema di non meglio identificati errori e gli si suggerisce il download di un programma al fine di risolvere il problema. Inutile dire che tali errori sono del tutto inesistenti e che l’operazione è solo una abile mossa commerciale per vendere un prodotto che, nella più rosea delle ipotesi, non fa assolutamente nulla.
Incuriosito dal fenomeno, di cui io stesso sono stato “vittima” durante la navigazione sulla webmail di Yahoo!, mi sono riproposto di scoprirne le origini. Questa piccola ricerca non vuole indagare su cosa faccia realmente il programma ToolSicuro. Lo scopo è stato quello di cercare di capire come e perché avvenga una redirezione da domini del tutto rispettabili verso un sito al confine della legalità.


L’alert che preannuncia il dirottamento su ToolSicuro

Appurato che il fenomeno si presentava con tutti i browser e su tutti i sistemi operativi, l’unica ipotesi plausibile era la presenza di un banner pubblicitario particolarmente invasivo all’interno della pagina. Individuarlo non è stato immediato ma, alla fine, la ricerca ha dato buoni frutti. La cosa paradossale è che la redirezione parte da un banner Flash che, ancora una volta, pubblicizza un sito assolutamente attendibile e rispettabile: yourmusic.com, di proprietà del gruppo BMG. L’immagine a destra riporta due frame di tale animazione.

Purtroppo, o per fortuna, il banner è stato recentemente rimosso dai server di Yahoo! Non è quindi più possibile verificare sul campo tutti i passi della catena di eventi che andrò ad illustrare. Su richiesta posso comunque fornire il materiale raccolto a scopo di studio (animazioni flash, codice Actionscript decompilato, traffico di rete etc…).

A questo punto siamo pronti per partire. Cominciamo ovviamente dal banner flash di yourmusic.com che era presente sui server di Yahoo! al seguente indirizzo:

http://eur.a1.yimg.com/java.europe.yimg.com/eu/any/ityourmusicsky.swf

La strada che da questo banner porta al sito toolsicuro.com è abbastanza tortuosa e articolata:

  1. Il codice Actionscript dell’animazione ityourmusicsky.swf contiene alcune istruzioni sapientemente camuffate allo scopo di risultare poco comprensibili. Una volta decodificate si scopre che queste caricano dalla rete una nuova animazione a patto che il fuso orario del visitatore non sia compreso tra -9 e -3 rispetto al tempo UTC. In pratica si evita il caricamento, e quindi la redirezione, su tutto il continente americano. Questa nuova animazione viene caricata invocando l’indirizzo:
    http://newbieadguide.com/statsa.php?campaign=detaildo&u=1194822168875
    dove il codice numerico associato alla variabile u è una codifica per l’ora e la data attuali.
  2. Tramite Actionscript, l’animazione caricata crea, se già non è presente sul pc, un Local Shared Object (LSO) di nome detaildo.sol usato come promemoria per la campagna pubblicitaria. Per chi non lo sapesse, gli LSO sono per Flash quello che i cookie sono per il protocollo HTTP. In questo LSO viene tra l’altro memorizzata la scadenza della campagna (impostata alla data attuale e quindi già scaduta dopo la prima visita) e l’url per la successiva redirezione (vedi punto 3).
  3. Se la campagna pubblicitaria non è scaduta, in pratica solo se è la prima volta che visualizziamo il banner, l’oggetto flash inviato da statsa.php apre l’url:
    http://newbieadguide.com/statsg.php?campaign=detaildo&u=1194822168875Una seconda visualizzazione del banner di yourmusic.com non produce alcuna redirezione. Se si desidera rendere riproducibile il fenomeno è necessario cancellare ogni volta l’LSO dal filesystem. Per far questo è sufficiente eliminare il file
    C:\Documents and Settings\NOMEUTENTE\Dati applicazioni\Macromedia\FlashPlayer\#SharedObjects\CODICEALFANUMERICO\newbieadguide.com\detaildo.sol

    In alternativa al metodo manuale si può eliminare l’LSO di newbieadguide.com tramite l’applet presente sul sito Adobe-Macromedia:
    http://www.macromedia.com/support/documentation/it/flashplayer/help/settings_manager07.html
  4. La richiesta di statsg.php genera come risposta una pagina html con le istruzioni per scaricare un nuovo applet flash dall’url:
    http://newbieadguide.com/swf/gnida.swf?campaign=detaildo&u=1194822168875Il codice Actionscript di tale oggetto carica via http alcuni dati nella forma nome=valore dal seguente indirizzo:
    http://newbieadguide.com/statss.php?campaign=detaildo&u=1194822168875Tra questi dati troviamo un url afferente al sito blessedads.com (da oggi la pubblicità è anche benedetta!) e altri 8 parametri che istruiscono il programma su come gestire la campagna pubblicitaria. Per il nostro obiettivo non è particolarmente interessante approfondire tali aspetti.
    Nel nostro caso, in base ai parametri inviati per la specifica campagna, viene semplicemente lanciato l’url:
    http://blessedads.com/?cmpid=detaildo&adid=intl
  5. Ma questo non è tutto! Dal codice della precedente animazione Flash (gnida.swf) emergono alcune cose interessanti.
    Vi è un oggetto grafico di testo, mai visualizzato, contenente la parola “chameleon”. Ma questa è solo una curiosità!
    Decisamente più interessante è la presenza di una variabile che permette di attivare una modalità di debug nella quale si imposta il seguente url:
    http://xxx-people-base.com/gnida_chameleon/ Essendo il debug disabilitato nel codice, tale indirizzo non viene mai richiamato durante l’esecuzione normale.
    L’url precedente non è purtroppo più raggiungibile ma lo è la radice del sito
    http://xxx-people-base.comche permette un interessante listing del contenuto della directory. Ai curiosi lascio scoprire le ulteriori sorprese che riserva tale sito (a buon intenditor…).
    L’intestatario di xxx-people-base.com risulta essere ucraino e l’ip del server appartiene al provider americano SAGO networks. Probabilmente tale spazio web è stato utilizzato dallo sviluppatore per testare l’applicazione.
  6. Eravamo rimasti all’url di blessedads.com. Questo è un semplice redirect http (codice 302) che porta su:
    http://harddriveguard.com/?tmn=es5dtld&eai=detaildo&eli=intl&3
  7. Il link di harddriveguard.com è anch’esso un redirect http 302 che porta finalmente a:
    http://toolsicuro.com/libero/?tmn=es5dtld&eai=detaildo&eli=intl_ao_4692_2806_1684_ao_&3&tmn= null&475c5-3&mt_info=4692_2806_1684 Questa è la pagina che visualizza il famoso alertbox presente all’inizio di questa pagina. Una funzione javascript si occupa di nascondere la finestra del browser tramite un ridimensionamento.
    Nella pagina è anche presente un tag <IMG> il cui url punta al sottodominio:
    http://bosom.toolsicuro.com/lsid_toolsicuro/lai_detaildo_it_it/lli_intl_ao_4692_2806_1684_ao_/lrf_/lp_true/stats.php Al browser viene spedita una semplice immagine GIF di 1x1pixel. La richiesta serve probabilmente a memorizzare delle statistiche interne.
  8. Una volta risposto all’alertbox si arriva alla pagina di prevendita:
    http://toolsicuro.com/libero/index.php?5b000-f0954-52445-30d55-515f3-e5b46-6c0c4-56f09-56501- 05558-5e5b5-c0a46-09395-60e39-00060-e026d-56010-5063e-03040-b516e-510a6-d445a-5c090- 64059-140f5-04044-0b5b0-51654-5d0f5-5 Questa è la vera e propria pagina che reclamizza il prodotto. Il contenuto è interamente realizzato tramite immagini, tutte prelevate dal sito bsa.safetydownload.com.
    Il codice html contiene in forma criptata informazioni di vendita e dati sull’attuale visitatore del sito. Tra questi ultimi troviamo il suo IP, la nazione di appartenenza e persino la città dalla quale è collegato. Altre variabili criptate memorizzano i seguenti percorsi di download: http://bsa.safetydownload.com/toolsicuro.com/ToolSicuro/setup_it.exe

    http://bsa.safetydownload.com/toolsicuro.com/ToolSicuro/setup_it.cab

    http://bsa.safetydownload.com/SystemErrorRepairFreeSetup_it.exe


    Il file javascript crypt.js, incluso nella pagina, contiene la funzione di decrypting che consente al resto del codice di accedere a tali dati. Per completezza allego la versione decriptata.

Questo è in breve quello che succede tra l’instante in cui avviene la visualizzazione del rispettabile banner di yourmusic.com sul rispettabile sito di Yahoo! e l’approdo su toolsicuro.com.
E dopo? Cosa succede se decidiamo di scaricare ed installare il programma? Per prima cosa ci viene fatto salvare un file eseguibile di circa 200kB prelevato dall’url:

(A) http://bsa.safetydownload.com/toolsicuro.com/ToolSicuro/setup_it.exe

Questo altro non è che un dropper, cioè un programma che, una volta lanciato, scarica da internet l’applicazione vera e propria. Quest’ultima è presente all’indirizzo:

(B) http://bsa.safetydownload.com/SystemErrorRepairFreeSetup_it.exe

Le dimensioni di questo file sono dell’ordine dei 5MB.

Come anticipato inizialmente, l’analisi non si propone di capire cosa faccia effettivamente tale programma. Le ricerche si sono quindi indirizzate in un’altra direzione e i risultati ottenuti sono stati a dir poco inquietanti.

E’ apparso subito evidente come bsa.safetydownload.com sia la vera centrale di smistamento del software truffa. Attraverso qualche ricerca si possono individuare decine e decine di siti che pubblicizzano, in varie lingue, prodotti simili a ToolSicuro. Ognuno di essi redirige il download sempre su safetydownload. Il programma è presente sul server in ben 11 lingue. Per verificarlo è sufficiente modificare nell’url (B) le due lettere finali che costituiscono il riferimento linguistico. E’ possibile usare en, it, fr, de, es, nl, no, dk, se, jp, br.
Una cosa analoga, anche se un po’ più complicata, avviene per i dropper. In questo caso la struttura dell’indirizzo è quella dell’url (A). Nel percorso è presente esplicitamente il nome di dominio del sito che ha pubblicizzato il prodotto, seguito dallo stesso nome senza il suffisso del top level domain (attenzione alle lettere maiuscole!) e infine l’eseguibile con l’indicazione della solita localizzazione linguistica.

Ma ancora non è finita. Tutti i siti che a vario nome attingono per il download da bsa.safetydownload.com, pubblicizzano un software per risolvere generici problemi di sistema. Sullo stesso indirizzo IP di tale dominio ne sono presenti altri tre con una funzione analoga. Ognuno di questi ospita un diverso prodotto:

bsa.safetydownload.com Software per risolvere generici errori/problemi di sistema
sec.storageguardsoft.com Software per ripulire il pc da tracce che possano minare la privacy dell’utente
content.onerateld.com Software antivirus, antispyware, firewall e popup blocker
software.protectdownloads.com Software antivirus, antispyware, firewall e popup blocker

Per ogni sito afferente ad una di queste centrali le cose funzionano in modo simile a quanto avviene per ToolSicuro. Per chi fosse interessato allego un file con l’elenco degli oltre 120 siti individuati. Di ognuno è indicata la lingua, l’IP e gli url per il download del dropper e del programma.

Lista siti: [xls] [txt]

Siamo finalmente arrivati alla fine del viaggio ed è giunto il momento per qualche riflessione e per porci qualche interrogativo.

ToolSicuro è solo la punta (italiana) di un iceberg (internazionale) di dimensioni incredibili. Sulla rete sono presenti, in almeno 11 lingue diverse, centinaia di domini simili a ToolSicuro. Incrociando i dati su url presenti nel codice dei dropper con i dati ottenuti facendo ricerche su google, con ricerche di name lookup sui DNS, con elenchi di domini presenti sulla medesima macchina o su IP adiacenti, sono riuscito ad individuare più di cento siti tutti progettati per lo stesso scopo: far scaricare spazzatura sul pc e invogliare l’utente a comprare un software inutile se non dannoso. Purtroppo la sensazione è che tutto questo sia ancora una volta solo una goccia in un mare progettato da quella che deve necessariamente essere una organizzazione con grandi mezzi a disposizione. Decine, forse centinaia, sono i siti affiliati a questa centrale di download che aspettano ancora di essere individuati.

Ma la questione che sopra tutte meriterebbe una risposta è la seguente: perché siti tanto blasonati ospitano banner dannosi per l’utente e per la loro stessa reputazione. Non voglio credere che non ne siano venuti subito a conoscenza. Ma soprattutto, perché il banner di un rispettabile sito, facente capo ad uno dei più grossi gruppi dell’industria musicale a livello mondiale, contiene al suo interno del codice offuscato che redirige su siti di dubbia provenienza? Se qualcuno ha una risposta sarò ben lieto di ascoltarlo.

Yan Raber [28/11/2007]
yanraber (a t) yahoo.it

Comments

Leave a Reply