Cyberprzestępcy atakują Google
Specjaliści z firmy G Data ostrzegają, że od kilku dni trwa zmasowany atak na użytkowników wyszukiwarki Google. Autorzy złośliwego oprogramowania wykorzystują Google do rozprzestrzeniania groźnych wirusów.
Wyszukiwanie konkretnych pojęć prowadzi do wyników wskazujących na zmodyfikowane strony internetowe. Po kliknięciu takiego odnośnika w przeglądarce uruchamia się złośliwy program, który usiłuje podstępnie zainfekować komputer użytkownika. Może się on objawić pod postacią kodeka wideo lub fałszywego programu antywirusowego.
Wyniki badań G Data Security Labs sugerują, że serwer, z którego prowadzone są ataki, znajduje się w Indiach, a atak wymierzony jest w użytkowników wyszukujących w internecie treści pornograficzne. Według G Data, profil fałszowanych wyników wyszukiwania może objąć również tematykę sportową, samochodową, a także związaną z poszukiwaniem pracy.
Sprawcy próbują ukryć złośliwy kod, stosując zapis w kodzie szesnastkowym. Przeglądarka bez problemu może przetwarzać kod szesnastkowy, ale dla ludzi i wyszukiwarek nie jest on zrozumiały. W ten sposób złośliwe programy mogą obejść filtry zabezpieczające wyszukiwarki Google. Zaszyfrowany w ten sposób złośliwy kod umieszczany jest wewnątrz strony internetowej, do której prowadzi wynik wyszukiwania.
Taka technika nazywa się Cross-Site-Scripting. Jeśli użytkownik Google kliknie w wynik wyszukiwania, otworzy się wyszukiwana strona, ale wzbogacona o fragment skryptu pochodzący z jednej z indyjskich domen internetowych.
Zmanipulowane linki rozpowszechniane są przez autorów złośliwych skryptów na blogach, na forach, w portalach społecznościowych i na stronach z krakami.
Dzięki temu strony są indeksowane przez wyszukiwarki i pojawiają się często w wynikach wyszukiwań. Prowadzi to do absurdalnych sytuacji - przykładem może być mało popularna strona internetowa amerykańskiego uniwersytetu, która nagle zaczęła pojawiać się w wynikach wyszukiwania na pierwszych miejscach.
Skrypt pobierany z indyjskich stron internetowych jest również w dużym stopniu zaszyfrowany, a sfałszowane strony nie są tworzone statycznie - zależnie od różnych czynników mogą wyglądać inaczej i zawierać różne treści.
Podczas testów eksperci G Data Security Labs najczęściej natykali się na strony oferujące fałszywe kodeki, a także fałszywe programy antywirusowe. Wszystkie stosowane triki sprowadzają się jednak do pobrania i uruchomienia złośliwego pliku.
Aby uchronić się przed atakiem, eksperci zalecają:
1. regularne aktualizowanie systemu operacyjnego i oprogramowania antywirusowego;
2. włączenie skanowania stron internetowych;
3. blokowanie skryptów JavaScript w przeglądarce (np. przy pomocy dodatku NoScript w przeglądarce Firefox);
4. surfowanie przy użyciu konta użytkownika o ograniczonych uprawnieniach.
