Specialiştii G DATA au observat atacuri la scară mare asupra utilizatorilor motorului de căutare Google. Procedura folosită de infractori este extrem de vicleană: înscrierea anumitor cereri de căutare conduc la rezultate cu link-uri manipulate. Dacă navigatorul le accesează, la următorul pas un cod maliţios este injectat din acel website, care iniţiază manevre de camuflaj foarte variate. Astfel, unii navigatori primesc un codec video, alţii primesc oferte pentru program de antivirus falsificat.
1. Autorii de malware se folosesc de Google
Conform studiilor efectuate de către G DATA Security Labs, site-ul server-ului malware este localizat în India. Prezentul val de atacuri este concentrat asupra utilizatorilor care caută site-uri cu conţinut pornografic. Cu toate acestea, G DATA estimează că în curând se va schimba direcţia atacurilor. Următorii care s-ar putea afla în „bătaia puştii" pot fi fanii sporturilor, pasionaţii de autoturisme sau chiar cei care caută slujbe.
Ralf Benzmüller, manager G Data Security Labs, susţine că în ultimele zile s-a observat o creştere semnificativă în rezultate periculoase în urma căutării Google şi că aproximativ 10% din alarmele periculoase care sosesc au legătură directă sau indirectă cu rezultate manipulate ale căutării. Prin acest val de atacuri, este suficient un click din partea unui navigator pentru a cădea în plasă. Benzmüller mai atrage atenţia că PC-ul este protejat numai dacă datele HTTP sunt verificate înainte de a fi afişate.
Atacatorii încearcă să introducă un cod maliţios înlocuind textul cu numere hexadecimale. Ca rezultat, browser-ul poate procesa codul fără nici un fel de problemă. Cu toate acestea, atât pentru motoarele de căutare cât şi pentru utilizator, acest cod este ilizibil.
Prin această procedură, atacatorii se pot strecura printre filtrele Google. Codul hexadecimal conţine cod HTML ascuns care este încorporat în rezultatul paginii web. Acesta este denumit „cross-site scripting".
2. Procedura utilizată de către infractori – continuare
Dacă utilizatorul Google accesează rezultatul din căutare, atunci site-ul web dorit se va deschide, dar suplimentat cu un script provenit de la un domeniu indian. Aparent, Google foloseşte conţinutul injectat în evaluarea termenilor căutării.
Link-urile manipulate sunt plasate de către atacatori în bloguri, forumuri sau site-uri „hacked", iar astfel se atinge un rating foarte bun pentru termenii căutaţi. Pentru exemplificare, se pare că un site puţin accesat al unei universităţi din Statele Unite a fost manipulat astfel încât anumiţi termeni să apară în topul rezultatelor căutării.
Codul script descărcat de pe site-ul indian este, de asemenea, bine „deghizat". Pagina web rezultată nu este produsă static de către această procedură, ci sunt folosite o varietate de tipuri de infecţii.
În teste, experţii de la G DATA Security Labs au încercat să intervină împotriva fişierelor flash infectate, codec-urilor video aparente şi a software-ului de antivirus falsificat. Cu toate acestea, întreaga varietate de înşelătorii a avut acelaşi rezultat - în final se descarcă acelaşi fişier malware.
Experţii în securitate din Bochum recomandă utilizatorilor câteva măsuri pentru protecţia împotriva atacurilor similare:
1. Menţineţi întotdeauna sistemul de operare şi softul antivirus actualizat la zi
2. Asiguraţi-vă că protecţia antivirus verifică şi conţinutul web, înainte de a ajunge la browser
3. Dezactivaţi Java Script din browser (exemplu: cu NoScript în Firefox)
4. Fără navigare cu drepturi de Administrator
Sursa: CHIP.ro
