Еще одно землетрясение, еще один фальшивый антивирус, когда преступники быстро воспользовались новостями о землетрясении в Японии для включения в результаты поиска в Интернете ссылок на распространяющие вредоносный код веб-сайты, используя приемы враждебного внедрения.
В считанные часы после разрушительного землетрясения и цунами в Японии киберпреступники насытили результаты поиска в Интернете информации о катастрофе ссылками на веб-сайты, распространяющие вредоносный код.
Пользователи, искавшие “последнее по времени землетрясение в Японии”, могут обнаружить несколько ссылок на ложное антивирусное ПО, сообщили 11 марта исследователи из компании Trend Micro. Создатели вредоносного кода использовали приемы враждебного манипулирования поисковыми машинами, чтобы поместить эти ссылки в начале списка результатов, говорится в корпоративном блоге Malware Blog.
“Мы немедленно приступили к мониторингу любых активных атак, как только появились сообщения о землетрясении. И действительно, мы нашли веб-страницы с ключевыми словами, связанными с этим событием”, — писал Норман Ингал, инженер из Trend Micro, занимающийся реагированием на угрозы.
Японское метеорологическое агентство сообщило, что землетрясение силой 8,9 балла, самое сильное в истории страны, произошло в Тихом океане 11 марта в 2:46 по местному времени. Землетрясение вызвало обширные разрушения в Сендае, городе на северовосточном побережье, который оказался ближе всего к эпицентру, и привело к появлению цунами высотой более 6 метров и многочисленных пожаров на восточном побережье Японии. Другие порожденные землетрясением цунами достигли Гавайев и западного побережья США.
Люди обращаются к Интернету в поисках свежей информации и фотографий землетрясения и цунами. Киберпреступники используют этот острый интерес в собственных целях.
“Один из обнаруженных нами активных сайтов использовал ключевые слова “последнее по времени землетрясение в Японии” и загружал на компьютеры пользователей различные варианты файла FAKEAV, которые мы недавно идентифицировали как Mal_FakeAV-25”, — пишет Ингал.
Как видно из приводимого в блоге Malware Blog скриншота, ссылки на вредоносный код имеют поисковое слово в заголовке и URL-адресе страницы, но описание состоит из одних ключевых слов и лишено иного содержания. Ссылка на вредоносный код, выданная по поисковому запросу, имела следующее описание: “последнее по времени землетрясение в Японии тема — последнее по времени землетрясение в Японии статьи”. Тогда как действительные новости содержали более информативный текст.
Одно описание ссылки звучало даже так: “14 февраля 2011 г. множество землетрясений достигло вулкана Сент-Хеленс”.
Trend Micro рекомендовала читателям получать свежие новости из надежных источников и не полагаться на прямой поиск, “чтобы не стать жертвой оптимизации под поисковые машины (search engine optimization, SEO) с враждебными целями”. Если необходимо провести поиск, для отсеивания некоторых наиболее явно вредоносных ссылок может оказаться полезным обратить пристальное внимание на описания страниц.
Проведенный eWeek быстрый поиск с помощью Google выдал две подозрительные ссылки на первой странице и еще несколько на последующих. Поисковая машина Bing показала на первой странице еще больше подозрительно выглядевших ссылок. Trend Micro ожидает, что со временем обнаружатся новые попытки заражения SEO с целью сохранить ссылки на наиболее важной первой странице с результатами поиска.
Попытки заражения SEO с враждебными целями, чтобы воспользоваться актуальными событиями и вызывающими интерес темами, встречаются нередко. Киберпреступники занимались этим на следующий день после 6-балльного землетрясения в Маниле на Филиппинах в марте прошлого года для распространения ссылок на ложное антивирусное ПО через результаты поиска по словам “землетрясение манила филиппины”. Аналогичные попытки предпринимались также вскоре после землетрясений на Гаити и в Чили.
“Одно можно сказать с уверенностью. Киберпреступники, безусловно, будут использовать новости о каждом землетрясении или природной катастрофе, которые еще произойдут”, — пишет Кэролин Геварра в блоге Malware Blog.