Tysiące stron zostały zmanipulowane dla potrzeb wielkiego ataku scareware

Strona głównaTysiące stron zostały zmanipulowane dla potrzeb wielkiego ataku scareware
18.11.2009 15:40
Tysiące stron zostały zmanipulowane dla potrzeb wielkiego ataku scareware

Zajmująca się problematyką zabezpieczeń firma Cyveilance informuje na łamach bloga o zakrojonym na wielką skalę ataku internautów, dla potrzeb którego najprawdopodobniej zmanipulowanych zostało ponad 200 000 zwykłych stron WWW.

Zajmująca się problematyką zabezpieczeń firma Cyveilance informuje na łamach bloga* o zakrojonym na wielką skalę ataku internautów, dla potrzeb którego najprawdopodobniej zmanipulowanych zostało ponad 200 000 zwykłych stron WWW. *

Ważną rolę odegrała przy tym wyszukiwarka Google, która po wpisaniu określonych haseł wskazywała w pierwszej kolejności skompromitowane witryny. Tam użytkownik był informowany, że jego komputer jest zawirusowany; proponowano mu też zainstalowanie oprogramowania antywirusowego, które okazywało się malware'em. Tym razem jednak na liście haseł wykorzystanych przez oszustów nie chodziło jak zwykle o najbardziej rozpowszechnione terminy typu "Britney Spears", "Obama" albo "Paris Hilton". Google podawał odsyłacze do zainfekowanych stron dopiero po wpisaniu dłuższych kombinacji słów.

288769758881724563
Źródło zdjęć: © (fot. Jupiterimages)

Internetowi naciągacze wykorzystali fakt, że większość haseł wyszukiwanych w Google'u składa się z czterech–pięciu słów. W związku z tym oszuści wymyślili, że skutecznie zajmą pewną niszę. Uruchomili w tym celu własny blog, który automatycznie zamieszczał wpisy zawierające pożądane nagłówki i frazy (np. "las vegas rental no credit check", "real world melinda and danny" albo "uninvited song lyrics alanis morrissette").

Wprawdzie Google, podając wyniki wyszukiwania, ostrzega zwykle przed zmanipulowanymi stronami, ale dzieje się tak jedynie wtedy, kiedy odsyłacz prowadzi bezpośrednio do złośliwych witryn. Przy przekierowaniu na spreparowaną stronę takie ostrzeżenia w wynikach wyszukiwania się nie pojawiają. W tym przypadku rolę bufora spełniał wspomniany już blog –. akurat na nim nie było malware'u, lecz tylko odnośniki do zainfekowanych witryn.

Kiedy ofiara trafiała na jedną ze stron opanowanych przez oszustów, była niepostrzeżenie kierowana na serwer informujący o zainfekowaniu dysku twardego w komputerze. Sfałszowane komunikaty o "szkodnikach" zachęcały do pobrania mniej lub bardziej bezużytecznego oprogramowania antywirusowego. Przekierowanie działało tylko wtedy, gdy użytkownik trafił na stronę za pośrednictwem wyników wyszukiwania Google'a.

Według informacji firmy Cyveilance domeny serwerów oszustów zostały zarejestrowane u chińskiego rejestratora TodayNIC.com. Wcześniej wykorzystywano je do rozpowszechniania windowsowego robaka Koobface. Nie wiadomo natomiast, w jaki sposób kryminaliści włamali się na strony WWW przekierowujące do serwera straszącego infekcją. W niektórych przypadkach pewną rolę odgrywała luka znaleziona w starszej wersji (1.4.24) oprogramowania Coppermine.

Udostępnij:
Wybrane dla Ciebie
Komentarze (4)