Panda Security: cyberprzestępcy manipulują wynikami wyszukiwarek internetowych

24 marca 2009 0 przez Grzegorz Pietrzak

Według doniesień firmy Panda Security, dostawcy rozwiązań zabezpieczających z sektora IT, cyberprzestępcy manipulują wynikami wyszukiwarek internetowych w celu rozprzestrzeniania złośliwych kodów, a w szczególności fałszywych programów antywirusowych. Przyczyny takiego działania są proste: aby móc dokonać infekcji komputerów, przestępcy muszą zachęcić użytkowników do odwiedzenia szkodliwych witryn. Interesująca jest jednak nowa technika przyciągania użytkowników na te właśnie witryny.

Dawniej ofiary wabiono na niebezpieczne strony za pomocą masowo
rozsyłanego spamu. Użytkownik czytał treść wiadomości, klikał na
zawarte w niej linki, a następnie – nie będąc tego świadomym – był
przekierowywany na szkodliwą stronę www. Jednak z uwagi na rosnącą
nieufność użytkowników wobec wiadomości otrzymywanych od nieznanych
nadawców, cyberprzestępcy zaczęli stosować skuteczniejsze sposoby
wabienia nowych ofiar. Jeden z nich polega na wykorzystaniu narzędzia
Google Trends, które między innymi
prezentuje najbardziej popularne frazy wyszukiwane w danym dniu
(przykładowo: „przemówienie inauguracyjne prezydenta Obamy”, czy
„nominacje do Oscarów”).

Po uzyskaniu danych o najpopularniejszych frazach i tematach danego
dnia, cyberprzestępcy tworzą blog, który zawiera te słowa (np. Obama,
Penelope Cruz itp.) oraz materiały wideo, rzekomo powiązane z tymi
informacjami. Te nieetyczne działania pozwalają uplasować fałszywą
stronę na wyższej pozycji w wyszukiwarce. – Użytkownicy, którzy uwierzą
w prawdziwość tych wyników odwiedzają witrynę, na której są zachęcani
do pobrania kodeka lub innej aplikacji, umożliwiających obejrzenie
pliku wideo. Kliknięcie odsyłacza powoduje jednak pobranie złośliwego
oprogramowania, najczęściej fałszywego programu antywirusowego

wyjaśnia Maciej Sobianek, specjalista ds. bezpieczeństwa w Panda
Security Polska.

Fałszywe programy antywirusowe symulują działanie prawdziwych systemów
zabezpieczeń, próbując przekonać użytkowników, że ich komputery zostały
zainfekowane złośliwymi kodami. Ofiary zachęca się do zakupu
oprogramowania, które pozwoliłoby usunąć fikcyjne infekcje.
Cyberprzestępcy coraz częściej stosują tego rodzaju oszustwa i uzyskują
znaczne korzyści finansowe.

 

Techniki SEO – ten typ ataku wykorzystuje zaawansowane techniki SEO (Search Engine
Optimization). Są to legalne sposoby tworzenia serwisów internetowych,
których celem jest zwiększenie ilości i jakości ruchu na witrynie, a
także poprawienie jej pozycji na liście wyników wyszukiwania (głównie w
wyszukiwarce Google). Przykładem jest witryna www sprzedająca fałszywy
program antywirusowy Malwaredoctor, stworzony  specjalnie w celu
osiągnięcia wysokiej pozycji w wyszukiwarce.

Oprócz wyżej opisanych standardowych technik pozycjonowania, atakujący
uciekają się także do sposobów znanych jako Black Hat SEO. Są to
nielegalne techniki pozycjonowania, niezgodne z zasadami ustanowionymi
przez twórców wyszukiwarek i polegają na stosowaniu alternatywnej
treści lub wpływaniu na odczucia użytkowników. Czasami trudno określić,
czy dana technika jest prawidłowa czy też nie, z uwagi na zasady
stosowane przez daną wyszukiwarkę.

Cyberprzestępcy starają się utrudnić producentom oprogramowania
zabezpieczającego identyfikację własnych stron. W tym celu stosują
coraz bardziej zaawansowane sposoby przeprowadzania ataków. Na przykład
niektóre ze złośliwych witryn jakimi posługują się cyberprzestępcy,
zachowują się inaczej i prezentują różne treści w zależności od
pochodzenia odwiedzającego je użytkownika.

W celu ukrycia ataku cyberprzestępcy stosują skrypt, który określa
pochodzenie odwiedzającego. Jeżeli użytkownik wprowadzi adres URL
witryny którą chce odwiedzić, na pasku adresu przeglądarki prezentowana
jest prawidłowa treść. Jeżeli jednak użytkownik korzysta ze
zmanipulowanych wyników wyszukiwarki Google, zostanie przeniesiony na
szkodliwą witrynę www.

 

Laboratorium PandaLabs wykryło witrynę www, która reprezentuje nowy
przykład zastosowania techniki Black Hat SEO. Zazwyczaj strony
sprzedające fałszywe programy antywirusowe (zarówno te, które zawierają
określone znaczniki, jak i pozostałe) są tworzone w taki sposób, aby
ich pozycja w wyszukiwarkach była jak najwyższa. Jednak w przypadku
witryny wykorzystywanej do dystrybucji MSAntispyware 2009 sytuacja
wyglądała zupełnie inaczej. Wszystkie znaczniki i procesy
zaprojektowane zostały w taki sposób, aby strona nie została
zaindeksowana w wyszukiwarkach.
Celem takiego postępowania było znaczne utrudnienie analitykom
złośliwego oprogramowania oraz producentom zabezpieczeń działań
mających udaremnić infekcje z wykorzystaniem blokowania adresów URL.