Еще одно землетрясение, еще один фальшивый антивирус, когда преступники быстро воспользовались новостями о землетрясении в Японии для включения в результаты поиска в Интернете ссылок на распространяющие вредоносный код веб-сайты, используя приемы враждебного внедрения.
В считанные часы после разрушительного землетрясения и цунами в Японии киберпреступники насытили результаты поиска информации о катастрофе в Интернете ссылками на веб-сайты, распространяющие вредоносный код.
Пользователи, искавшие «последнее по времени землетрясение в Японии», могут обнаружить несколько ссылок на ложное антивирусное ПО, сообщили 11 марта исследователи из компании Trend Micro. Создатели вредоносного кода использовали приемы враждебного манипулирования поисковыми машинами, чтобы поместить эти ссылки в начале списка результатов, говорится в корпоративном блоге Malware Blog.
«Мы немедленно приступили к мониторингу любых активных атак, как только появились сообщения о землетрясении. И действительно, мы нашли веб-страницы с ключевыми словами, связанными с этим событием», — писал Норман Ингал, инженер из Trend Micro, занимающийся реагированием на угрозы.
Японское метеорологическое агентство сообщило, что землетрясение силой 8,9 балла, самое сильное в истории страны, произошло в Тихом океане 11 марта в 2:46 по местному времени. Землетрясение вызвало обширные разрушения в Сендае, городе на северовосточном побережье, который оказался ближе всего к эпицентру, и привело к появлению цунами высотой более 6 метров и многочисленных пожаров на восточном побережье Японии. Другие порожденные землетрясением цунами достигли Гавайев и западного побережья США.
Люди обращаются к Интернету в поисках свежей информации и фотографий землетрясения и цунами. Киберпреступники используют этот острый интерес в собственных целях.
«Один из обнаруженных нами активных сайтов использовал ключевые слова «последнее по времени землетрясение в Японии» и загружал на компьютеры пользователей различные варианты файла FAKEAV, которые мы недавно идентифицировали как Mal_FakeAV-25», — пишет Ингал.
Как видно из приводимого в блоге Malware Blog скриншота, ссылки на вредоносный код имеют поисковое слово в заголовке и URL-адресе страницы, но описание состоит из одних ключевых слов и лишено иного содержания. Ссылка на вредоносный код, выданная по поисковому запросу, имела следующее описание: «последнее по времени землетрясение в Японии тема — последнее по времени землетрясение в Японии статьи». Тогда как действительные новости содержали более информативный текст.
Одно описание ссылки звучало даже так: «14 февраля 2011 г. множество землетрясений достигло вулкана Сент-Хеленс».
Trend Micro рекомендовала читателям получать свежие новости из надежных источников и не полагаться на прямой поиск, «чтобы не стать жертвой оптимизации под поисковые машины (search engine optimization, SEO) с враждебными целями». Если необходимо провести поиск, для отсеивания некоторых наиболее явно вредоносных ссылок может оказаться полезным обратить пристальное внимание на описания страниц.
Проведенный eWeek быстрый поиск с помощью Google выдал две подозрительные ссылки на первой странице и еще несколько на последующих. Поисковая машина Bing показала на первой странице еще больше подозрительно выглядевших ссылок. Trend Micro ожидает, что со временем обнаружатся новые попытки заражения SEO с целью сохранить ссылки на наиболее важной первой странице с результатами поиска.
Попытки заражения SEO с враждебными целями, чтобы воспользоваться актуальными событиями и вызывающими интерес темами, встречаются нередко. Киберпреступники занимались этим на следующий день после 6-балльного землетрясения в Маниле на Филиппинах в марте прошлого года для распространения ссылок на ложное антивирусное ПО через результаты поиска по словам «землетрясение манила филиппины». Аналогичные попытки предпринимались также вскоре после землетрясений на Гаити и в Чили.
«Одно можно сказать с уверенностью. Киберпреступники, безусловно, будут использовать новости о каждом землетрясении или природной катастрофе, которые еще произойдут», — пишет Кэролин Геварра в блоге Malware Blog.