Las webs de algunos resultados de Google Images descargan falsos antivirus (FAKE ALERTS – ROGUES)
Según ha informado el SANS desde hace varias semanas se están recibiendo
informes relacionados con el buscador de imágenes de Google. Ofrece
resultados que terminan redirigiendo a páginas de falsos antivirus. Nada
nuevo, pero que está siendo especialmente insidioso y elaborado en estos
días.
La infraestructura necesaria para llevar acabo esta campaña está
haciendo uso de páginas webs comprometidas para alojar el contenido que
se encargará del envenenamiento de los resultados. Las páginas atacadas
son principalmente las que utilizan WordPress vulnerables. En ellos
suben scripts que se encargan de generar de manera automática un
contenido artificial (simulado, inútil) que hará que los usuarios del
buscador sean llevados a las páginas fraudulentas. Estas páginas constan
de dos partes principales: la que es indexada por Google Imáages y la
que se encarga de redirigir finalmente a la víctima a otra página web
con el contenido fraudulento.
El contenido que será indexado por el buscador de imágenes es creado en
base a los términos más buscados en Google Images, para así asegurarse
que pueda llegar a la mayor cantidad de personas posible. Para ello hace
uso de una herramienta de la misma compañía del buscador, Google Trends.
Por ejemplo, se crea contenido artificial sobre Bin Laden, si se detecta
que es de los términos más buscados en el momento. Además, también se
encargan de buscar imágenes relacionadas con los términos adecuados
(fotografías del personaje, por ejemplo), apareciendo así en la lista
de resultados del buscador de imágenes.
Los atacantes comprueban en esas páginas (a través de la IP o el
UserAgent) si lo que les visita es un bot de Google (los encargados
de indexar páginas web para incluirlas en el buscador) y se encargan
de ofrecer el contenido preciso que les llevará a aparecer arriba en
las búsquedas.
El resto del contenido de la página es el que se encarga de
redireccionar a los usuarios del buscador hacia páginas fraudulentas
cuando son visitadas. Google Images ofrece resultados afines a la
consulta realizada mostrando una lista de miniaturas de los resultados.
Tras pulsar sobre una miniatura perteneciente a uno de estos sitios
comprometidos, Google lleva al usuario a la página que aprovecha el
fallo. Se trata de la conocida página con la miniatura de la imagen
seleccionada en el centro, los enlaces a la imagen y, de fondo, la
página final que contiene la fotografía. Ahora es cuando el navegador,
al realizar la petición de la página que formará parte del fondo y que
está comprometida, ejecuta el script que ha sido incrustado en la página
atacada (aunque no esté siendo visitada “del todo”). Es el propio script
el que ha comprobado previamente, mediante el campo ‘Referer’ de la
petición, que ésta proviene de la página de búsqueda de imágenes de
Google. En ese momento redirige a la víctima a otras páginas
fraudulentas, que, en esta última oleada contienen falsos antivirus
(rogue). Por tanto, el usuario no debe ni siquiera visitar completamente
la página comprometida, solo ver alguna fotografía en Google Imágenes a
la que ha sido vinculada.
Google está tomando medidas con respecto a esta técnica, eliminándolo
los enlaces o informando del peligro de acceder a los mismos. Sin
embargo, la cantidad de este tipo de resultados en el buscador es
demasiado grande como para poder decir que el asunto se encuentra bajo
control (medio millón de visitas cada día según estimaciones del
investigador Denis Sinegubko, un reputado investigador de rogueware).
Desde el SANS indican que una de las mejores opciones para protegerse
es evitar la ejecución de código JavaScript de páginas en las que no
se confíe, a través de, por ejemplo, complementos como ‘NoScript’
disponible para Mozilla Firefox o las zonas de Internet Explorer.
Fuente
Nota: Efectivamente muchos Fake Alerts intrusionan simplemente por navegar en segun qué webs, y si en Google reconocen que tienen medio millon de accesos diarios a dichas webs, con razón hay tantas incidencias de Rogues-Fake Alerts continuamente!
saludos
ms, 13-5-2011
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.