I più attenti si saranno forse accorti di una variazione significativa nel comportamento di parecchio spam; in particolare di quello legato a Canadian Pharmacy, emesso sostanzialmente tutto da botnet.
Se fino ad alcuni mesi fa, infatti, questo spam linkava il sito dove lo spammer vendeva poi le pilloline, oggi come oggi questo non è più vero nella gran parte dei casi.
Ad essere linkata è invece una qualche pagina “plain-HTML” dal nome composito (tipo ${word}${number}.html), depositata su un sito non inerente le attività di vendita di pillole e anzi sovente del tutto innocuo. La pagina in questione è stata preventivamente uploadata sul sito attraverso una sessione FTP abusiva, disponibile allo spammer grazie al fatto che il client del webmaster è stato infettato da un qualche trojan che solertemente ha prelevato/sniffato/keyloggato le credenziali di accesso allo spazio FTP e le ha comunicate allo spammer.
In tal modo, lo spam inviato non contiene un link diretto ad una risorsa dello spammer che -se già nota- fornirebbe un appiglio ai software di filtraggio.
Di tutto questo ho già parlato in passato.
Attorno al mese di Marzo, piuttosto, ho iniziato a mettere in piedi una infrastruttura pensata per monitorare questi siti crackati, in modo da individuarli e listarli (nella mia infrastruttura di filtraggio) non appena vengono utilizzati dallo spammer per raggiungere uno degli indirizzi monitorati.
Ovviamente, con l’obiettivo di ridurre la finestra tra il momento in cui lo spammer usa una nuova risorsa e il momento in cui i miei sistemi sono in grado di individuare questa risorsa come tale. Il risultato è entrato in funzione attorno al 10 Aprile, e -con qualche aggiustamento in corsa- sta girando in autopilot da allora, risparmiandomi un sacco di lavoro manuale.
Non scenderò in dettaglio riguardo a come questa infrastruttura funzioni, ma ritengo interessante condividere qualche dato prettamente numerico sul fenomeno, che appare avere un trend decisamente crescente.
Qui riporto un grafico che rappresenta il numero di host compromessi individuati giornalmente. Appare piuttosto evidente come il fenomeno sia in effettiva crescita, ma si nota anche come l’uso di queste nuove risorse avvenga sostanzialmente “ad ondate” della durata di qualche giorno.
Vale la pena di confrontare questo andamento con l’uso di link puntanti a crack (siano essi “nuovi” o no) nel corso di un analogo periodo. Purtroppo, per via delle variazioni subite dal mio script prima di raggiungere la completa maturità, posso fornire solamente una analisi relativa agli ultimi 2 mesi circa, prima dei quali i dati sono inconsistenti a causa di una diversa logica interna. Li propongo comunque sulla stessa scala temporale.
E’ possibile notare una certa correlazione, ma è anche evidente come i picchi relativi a nuovi crack non corrispondano ai picchi di emissione di spam linkante pagine crackate.
Qualsiasi cosa ciò significhi 
Quel che in realtà sarebbe più interessante sapere è quanto è “ampio” il bacino di siti già crackati ma non ancora spamvertized. O, meglio ancora, di credenziali compromesse ma non ancora sfruttate.
Forse intercettando e archiviando le date relative all’header Last-Modified potrei ricavare la data in cui la pagina (quand’anche linkata in spam solamente al momento in cui il sistema la rileva) è stata effettivamente creata sul server, ma non ho fatto alcun tentativo in tal senso.
Sarà in caso oggetto di un aggiornamento su queste pagine ma, volendo fare una ipotesi a braccio, non mi aspetto di trovare pagine spamvertized per la prima volta ma depositate sul server da più di un paio di giorni.
Vediamo se mi riesce di smentirmi da solo (di nuovo)… 
Bravo!
Peccato che della cosa più interessante, l’effettivo funzionamento, non ne sia stata fatta parola!
Sarebbe poco opportuno, su risorse di pubblico accesso: questo genere di attività è una perenne rincorsa a tracciare il modus operandi di chi abusa.
Pubblicare le metriche sulla base delle quali avviene il tracciamento è un ottimo modo di fargli sapere cosa variare per rendere inutile il lavoro fatto e dover ricominciare da capo… :-\
Ecco perchè delle metriche e dei meccanismi usati non fa parola nessuno, se non in ambienti estremamente ristretti e controllati…
Penso che il problema sia a monte… se si è tanto “stupidi” da permettere il keylogging di dati di accesso ftp forse l’essere in questione si merita di avere il sito/dominio/IP blacklistato.
Questo aumento di problemi all’ftp è in parte dovuto alla facilità con cui un normale utente può accedere a risorse prima appannaggio di chi era un “addetto ai lavori”… e dalla noncuranza con cui determinati dati vengono trattati.
Non sentivo parlare di crack FTP da un bel po… mi sembra di essere tornato indietro di 10 anni quando ancora il P2P non esisteva come fenomeno di massa e allora si uploadava e scaricava da FTP aperti all’uopo… che tempi!!!
[...] decidere di popolarlo anche con URL relative a pagine note per essere crackate ma che non sono direttamente coinvolte (ma potrebbero esserlo in qualsiasi momento) in tentativi di [...]