Google URL Shortener nel mirino di un worm Twitter

Il servizio di URL shortening di Google, goo.gl, sarebbe stato utilizzato negli ultimi tempi per la diffusione di un worm Twitter.
I link incriminati finora individuati che portano alla diffusione del malware sono i seguenti: “goo.gl/R7f68” e “goo.gl/od0az”.

I responsabili di Twitter hanno fatto sapere che non appena la diffusione del worm è stata scoperta, hanno provveduto a notificare la procedura di password reset per tutti coloro che sono stati interessati dal problema.
E’ stato anche consigliato un controllo sulle connessioni oAuth “autorizzate” per verificare la possibilità che ne siano state aggiunte alcune in maniera illecita ed eventualmente rimuoverle.

Per tutti coloro che hanno cliccato sui link sopra riportati, l’effetto è stato quello di un primo redirect verso un sito compromesso di una compagnia francese di mobili, e successivamente ad altri domini.
La cosa interessante è come il worm sembra si sia diffuso principalmente attraverso le piattaforme Twitter per dispositivi mobile.
Gerry Egan, direttore di Symantec Security Response, ha fatto sapere come gli URL malevoli in questione punti in effetti ad una copia del “Neosploit attack toolkit“.

I servizi di URL shortening non sono nuovi al fatto di essere sfruttati per questo tipo di attacchi.
Da un lato la loro utilità nel “comprimere” un URL di molti caratteri, specie quando si usano piattaforme come Twitter che impongono un limite di 140 caratteri per messaggio. Dall’altra il fatto che si prestano bene a nascondere i domini reali, rendendo cosi’ all’utente finale più difficile individuare un sito trappola.

Hon Lau, ricercatore presso Symantec, ha comunque evidenziato come alcuni servizi siano migliori di altri. Tiny.cc per esempio offre una pagina di statistiche dove chiunque può verificare il numero di click effettuati verso un particolare link e la destinazione reale dell’URL compresso. Altri invece come bit.ly, integrano dei meccanismi di blacklisting per filtrare in maniera (semi)automatizzata i tentativi di creare short link per far puntare a siti contenenti malware.