Os ciber-criminosos estão a manipular os resultados dos motores de busca para distribuir malware, em particular com falsos produtos antivírus. As razões são simples: os criminosos precisam de atrair os utilizadores para sites maliciosos de modo a infectá-los. A novidade está na forma de levar os utilizadores até estas páginas Web. No passado, os utilizadores eram atraídos para os websites comprometidos através do envio massivo de spam. Estes utilizadores liam os e-mails, clicavam nos links incluídos e eram automaticamente direccionados para uma página Web maliciosa. No entanto, devido ao facto dos utilizadores terem uma maior percepção do perigo associado a mensagens provenientes de remetentes desconhecidos, agora os criminosos estão a utilizar formas mais eficazes de enganarem novas vítimas. Estão a utilizar uma ferramenta da Google chamada Google Trends (
Assim que tomam conhecimento dos tópicos mais relevantes do dia, criam um blog repleto das palavras mais pesquisadas (por exemplo: Obama, Penelope Cruz, etc.), e vídeos supostamente relacionados com estes tópicos. Assim, aumentam o ranking do blog para o colocarem no topo dos resultados das pesquisas realizadas por utilizadores da Internet.
“Os utilizadores que confiem nestes resultados, acabarão numa página Web em que será solicitado o download de um codec ou plug-in que permita a visualização do vídeo. Ao fazê-lo, estarão a transferir malware, geralmente um falso antivírus”, explica Luis Corrons, Director Técnico do PandaLabs.
Os falsos antivírus tentam fazer-se passar como produtos antivírus reais para convencerem os utilizadores de que estão infectados com códigos maliciosos. As vítimas são aliciadas a adquirir o falso antivírus para remover estas falsas infecções. Os ciber-criminosos estão actualmente a lucrar substancialmente com este tipo de fraude.
Técnicas SEO
Este tipo de ataque beneficia de técnicas SEO (Search Engine Optimization) avançadas. Tratam-se de técnicas de programação Web legítimas destinadas a aumentar o volume e qualidade do tráfego para um website, melhorando o seu ranking nas listas de resultados de motores de busca (essencialmente o Google).
“Os utilizadores que confiem nestes resultados, acabarão numa página Web em que será solicitado o download de um codec ou plug-in que permita a visualização do vídeo. Ao fazê-lo, estarão a transferir malware, geralmente um falso antivírus”, explica Luis Corrons, Director Técnico do PandaLabs.
Os falsos antivírus tentam fazer-se passar como produtos antivírus reais para convencerem os utilizadores de que estão infectados com códigos maliciosos. As vítimas são aliciadas a adquirir o falso antivírus para remover estas falsas infecções. Os ciber-criminosos estão actualmente a lucrar substancialmente com este tipo de fraude.
Técnicas SEO
Este tipo de ataque beneficia de técnicas SEO (Search Engine Optimization) avançadas. Tratam-se de técnicas de programação Web legítimas destinadas a aumentar o volume e qualidade do tráfego para um website, melhorando o seu ranking nas listas de resultados de motores de busca (essencialmente o Google).
É o que se passa com a página que tem o falso antivírus Malwaredoctor, desenvolvida especificamente para alcançar um elevado nível no ranking dos motores de busca.
Mais Informação :Panda [MetaTags in Malware WebSites - Parte II]
Para além das técnicas SEO comuns, os atacantes estão também a utilizar técnicas conhecidas como "Black Hat SEO", que podem ser descritas como técnicas ilegais de posicionamento em motores de busca utilizados para ultrapassar as políticas dos motores de busca, apresentando conteúdos alternativos ou afectando a experiência do utilizador. Ocasionalmente, poderá ser difícil determinar que técnicas são legítimas ou não, já que isso pode depender do próprio motor de busca.
Ocultação de ataque
Os atacantes estão sempre dispostos a dificultar a identificação do site para os fabricantes de soluções anti-malware. Para o conseguirem, estão a utilizar um modo mais avançado de lançar estes ataques. Algumas das páginas maliciosas que manipulam comportam-se de forma diferente e mostram também conteúdos diferentes, dependendo da origem do utilizador que as visita.
Para ocultar o ataque, é inserido um script que determina o origem do visitante. Se um utilizador introduzir um URL que deseje visitar na barra de endereços do browser, é mostrado o conteúdo legítimo e correcto. No entanto, se o utilizador for proveniente de uma pesquisa do Google manipulada, será reencaminhado para uma página Web maliciosa.
MSAntispyware 2009: Um exemplo diferente
O PandaLabs detectou recentemente uma página Web que estabelecia aparentemente um novo modelo. Ao passo que as páginas que vendem falsos antivírus normalmente não contêm tags específicas - e as que as contêm são desenvolvidas para melhorar a indexação nos motores de pesquisa - a página em que o MSAntispyware 2009 era distribuído representava uma mudança significativa. Todas as tags e processos foram desenvolvidos para impedir a página de ser indexada em motores de busca.
Mais Informação : Panda [MetaTags in Malware WebSites - Parte I]
A razão para tal foi dificultar a prevenção de infecções por parte dos analistas de malware e empresas de segurança, com técnicas como o bloqueio de URLs através de queries aos motores de busca com parâmetros específicos.
Ocultação de ataque
Os atacantes estão sempre dispostos a dificultar a identificação do site para os fabricantes de soluções anti-malware. Para o conseguirem, estão a utilizar um modo mais avançado de lançar estes ataques. Algumas das páginas maliciosas que manipulam comportam-se de forma diferente e mostram também conteúdos diferentes, dependendo da origem do utilizador que as visita.
Para ocultar o ataque, é inserido um script que determina o origem do visitante. Se um utilizador introduzir um URL que deseje visitar na barra de endereços do browser, é mostrado o conteúdo legítimo e correcto. No entanto, se o utilizador for proveniente de uma pesquisa do Google manipulada, será reencaminhado para uma página Web maliciosa.
MSAntispyware 2009: Um exemplo diferente
O PandaLabs detectou recentemente uma página Web que estabelecia aparentemente um novo modelo. Ao passo que as páginas que vendem falsos antivírus normalmente não contêm tags específicas - e as que as contêm são desenvolvidas para melhorar a indexação nos motores de pesquisa - a página em que o MSAntispyware 2009 era distribuído representava uma mudança significativa. Todas as tags e processos foram desenvolvidos para impedir a página de ser indexada em motores de busca.
Mais Informação : Panda [MetaTags in Malware WebSites - Parte I] A razão para tal foi dificultar a prevenção de infecções por parte dos analistas de malware e empresas de segurança, com técnicas como o bloqueio de URLs através de queries aos motores de busca com parâmetros específicos.
