La società Cyveillance ha notificato nel proprio blog un attacco di tipo scareware su larga scala, che a quanto pare ha coinvolto all’incirca 200,000 pagine Web.
Google, suo malgrado, ha avuto un ruolo di primo piano nell’attacco, facendo puntare gli utenti alle pagine infette qualora venissero usate particolari keyword per la ricerca.
Stando al report, i termini sfruttati per portare a buon fine l’attacco non solo quelli classici come “Britney Spears”, “Obama” o “Paris Hilton”.
I “risultati infetti” vengono restituiti da Google solo quando viene usata una combinazione di parole più lunghe nel campo di ricerca.
I criminali hanno utilizzato a proprio vantaggio il fatto che la maggior parte delle query immesse quotidianamente in Google sono composte da sequenze di quattro/cinque parole.
Per fare indicizzare al motore di ricerca la sequenza, hanno quindi installato il proprio blog nelle pagine Web compromesse e generato in maniera automatica dei post con i titoli contenenti le parole in questione.
Per esempio, sequenze del tipo “las vegas rental no credit check”, “real world melinda and danny” o “uninvited song lyrics alanis morrissette”.
Purtroppo il sistema di protezione link di Google non ha funzionato perché questo segnala come “pericoloso” un link che manda direttamente ad una pagina contenente malware. In questa situazione invece si tratta di link che fanno il redirect verso le vere pagine infette.
Gli utenti che arrivino ad una delle pagine in questione vengono fatti puntare ai server dei criminali: da qui parte l’inganno che vede una finta scansione antivirus presentare risultati fasulli al fine di “forzare” l’utente a scaricare un finto software antivirus.
Sembra che il redirect si attivi unicamente se l’utente raggiunge le pagine cliccando direttamente sui risultati di Google. Nel fake blog viene infatti controllato il referrer HTTP.
Da alcune verifiche è stato accertato che i domini che attuano la “finta scansione” sono tutti registrati col registrar cinese TodayNIC.com. Sembra inoltre che siano anche coinvolti nella diffusione del worm Koobface.
Sulle modalità con cui i cracker siano riusciti a modificare le pagine Web non c’è ancora completa chiarezza, sembra però che in alcuni casi sia stata sfruttata una vulnerabilità della vecchia versione 1.4.24 della foto gallery Coppermine.