Google na celowniku: Cyberprzestępcy manipulują wynikami wyszukiwań

Autorzy złośliwego oprogramowania wykorzystują wyszukiwarkę Google do rozprzestrzeniania wirusów.

Od kilku dni G Data, firma zajmująca się bezpieczeństwem komputerowym, obserwuje szeroko zakrojony atak na użytkowników wyszukiwarki Google. Wyszukiwanie konkretnych pojęć, prowadzi do wyników, wskazujących na zmodyfikowane strony internetowe. Po kliknięciu takiego odnośnika w przeglądarce, uruchamia się złośliwy program, który usiłuje podstępnie zainfekować komputer użytkownika. Może objawić się pod postacią kodeka video, lub jako fałszywy program antywirusowy. Wyniki badań G Data Security Labs sugerują, że serwer, z którego prowadzone są ataki znajduje się w Indiach. Aktualnie atak wymierzony jest w użytkowników wyszukujących w Internecie treści pornograficzne. Według G Data, profil fałszowanych wyników wyszukiwania może objąć również tematykę sportową, samochodową, a także związaną z szukaniem pracy.

Sprawcy próbują ukryć złośliwy kod stosując zapis w kodzie szesnastkowym. Przeglądarka bez problemu może przetwarzać kod szesnastkowy, ale dla ludzi i wyszukiwarek nie jest on zrozumiały. W ten sposób złośliwe programy mogą obejść filtry zabezpieczające wyszukiwarki Google. Złośliwy kod zaszyfrowany w ten sposób umieszczany jest wewnątrz strony internetowej, do której prowadzi wynik wyszukiwania. Taka technika nazywa się Cross-Site-Scripting. Jeśli użytkownik Google kliknie wynik wyszukiwania, otworzy się wyszukiwana strona, ale będzie wzbogacona o fragment skryptu pochodzący z jednej z indyjskich domen internetowych. Zmanipulowane linki rozpowszechniane są przez autorów złośliwych skryptów na blogach, forach, portalach społecznościowych i stronach z krakami. Dzięki temu strony są indeksowane przez wyszukiwarki i są pojawiają się często w wynikach wyszukiwać. Prowadzi to do absurdalnych sytuacji – przykładem może być mało popularna strona internetowa amerykańskiego uniwersytetu, która nagle zaczęła pojawiać się w wynikach wyszukiwania na pierwszych miejscach.

Skrypt pobierany z indyjskich stron internetowych jest również w dużym stopniu zaszyfrowany. Sfałszowane strony nie są tworzone statycznie, zależnie od różnych czynników mogą wyglądać inaczej i zawierać różne treści. Podczas testów, eksperci G Data Security Labs najczęściej natykali się na strony oferujące fałszywe kodeki, a także fałszywe programy antywirusowe. Wszystkie stosowane triki sprowadzają się jednak do pobrania i uruchomienia złośliwego pliku.

0
Zamknij

Choć staramy się je ograniczać, wykorzystujemy mechanizmy takie jak ciasteczka, które pozwalają naszym partnerom na śledzenie Twojego zachowania w sieci. Dowiedz się więcej.