Wielki atak w internecie - zmanipulowane tysiące stron
Zajmująca się problematyką zabezpieczeń firma Cyveilance informuje na łamach swojego bloga o zakrojonym na wielką skalę ataku na internautów. Dla jego potrzeb zmanipulowanych zostało najprawdopodobniej ponad 200 000 stron WWW.
Ważną rolę odegrała przy tym wyszukiwarka Google, która po wpisaniu określonych haseł wskazywała w pierwszej kolejności skompromitowane witryny. Tam użytkownik był informowany, że jego komputer jest zawirusowany; proponowano mu też zainstalowanie oprogramowania antywirusowego, które okazywało się malware'em.
Tym razem jednak na liście haseł wykorzystanych przez oszustów nie chodziło jak zwykle o najbardziej rozpowszechnione terminy typu "Britney Spears", "Obama" albo "Paris Hilton". Google podawał odsyłacze do zainfekowanych stron dopiero po wpisaniu dłuższych kombinacji słów.
Internetowi naciągacze wykorzystali fakt, że większość haseł wyszukiwanych w Google składa się z czterech?pięciu słów. W związku z tym oszuści wymyślili, że skutecznie zajmą pewną niszę. Uruchomili w tym celu własny blog, który automatycznie zamieszczał wpisy zawierające pożądane nagłówki i frazy (np. "las vegas rental no credit check", "real world melinda and danny" albo "uninvited song lyrics alanis morrissette").
Wprawdzie Google, podając wyniki wyszukiwania, ostrzega zwykle przed zmanipulowanymi stronami, ale dzieje się tak jedynie wtedy, kiedy odsyłacz prowadzi bezpośrednio do złośliwych witryn. Przy przekierowaniu na spreparowaną stronę takie ostrzeżenia w wynikach wyszukiwania się nie pojawiają. W tym przypadku rolę bufora spełniał wspomniany już blog ? akurat na nim nie było malware'u, lecz tylko odnośniki do zainfekowanych witryn.
Kiedy ofiara trafiała na jedną ze stron opanowanych przez oszustów, była niepostrzeżenie kierowana na serwer informujący o zainfekowaniu dysku twardego w komputerze. Sfałszowane komunikaty o "szkodnikach" zachęcały do pobrania mniej lub bardziej bezużytecznego oprogramowania antywirusowego. Przekierowanie działało tylko wtedy, gdy użytkownik trafił na stronę za pośrednictwem wyników wyszukiwania Google.
Według informacji firmy Cyveilance, domeny serwerów oszustów zostały zarejestrowane u chińskiego rejestratora TodayNIC.com. Wcześniej wykorzystywano je do rozpowszechniania windowsowego robaka Koobface. Nie wiadomo natomiast, w jaki sposób kryminaliści włamali się na strony WWW przekierowujące do serwera straszącego infekcją. W niektórych przypadkach pewną rolę odgrywała luka znaleziona w starszej wersji (1.4.24) oprogramowania Coppermine.