Negli ultimi giorni G Data ha rilevato un attacco su larga scala rivolto contro gli utenti del motore di ricerca Google. La procedura seguita dai cybercriminali è particolarmente astuta: una volta inseriti i dati per la ricerca si viene indirizzati su link manipolati cliccando sui quali l’ignaro utente scarica sul proprio Pc dei codici maligni camuffati in vario modo. Ad esempio alcuni scaricano malware sotto forma di video codec, mentre ad altri vengono offerti falsi programmi di protezione antivirus. Secondo le ricerche condotte da G Data Security Labs il server da cui è partito questo attacco si trova in India L’attuale ondata di attacchi è rivolta innanzitutto agli utenti che sono alla ricerca di siti dal contenuto pornografico. G Data comunque ipotizza che questo trend potrebbe cambiare a breve spostando il focus su utenti appassionati di sport, automobili piuttosto che interessati ad offerte di lavoro Ralf Benzmüller, Manager di G Data Security Labs: „Durante gli ultimi giorni abbiamo notato un deciso aumento di risultati pericolosi derivanti dalle ricerche effettuate con Google. Circa il 10% dei messaggi di allarme erano correlati in maniera diretta o indiretta a risultati di ricerca manipolati. Con l’attuale ondata di attacchi, basta soltanto un click sul sito sbagliato per cadere nella trappola. Solo se i dati Http vengono vagliati prima che il sito venga visualizzato il proprio Pc può dirsi protetto.”
Trucchi usati dai cybercriminali I cybercriminaly tentano di contrabbandare codici maligni sostituendo il testo con numeri esadecimali. In questo modo il browser può ancora processare il codice liberamente e senza nessun problema. Per gli utenti e per i motori di ricerca si tratta comunque di qualcosa di illeggibile. In questo modo i criminali riescono a bypassare I filtri di Google. Il codice esadecimale contiene un codice HTML nascosto che viene inserito nella pagina web risultato della ricerca. Se un utente clicca sul risultato della ricerca si apre il sito desiderato, ma con l’aggiunta di uno script che proviene da un dominio Indiano. I link così manipolati vengono inseriti dai criminali su blog, forum o siti hackerati e questo consente loro di avere un elevato rating tra i termini più ricercati nei vari motori di ricerca. Per fare un esempio sembra che un sito poco utilizzato di un’università Americana sia stato manipolato in modo che alcuni termini di ricerca appaiano nelle prime posizioni dei risultati dei vari motori Il codice di script downloadato dal sito internet indiano è allo stesso modo molto mascherato. Ci troviamo, infatti, di fronte a un variegato ventaglio di modalità . Dai test effettuati dai G Data Security Labs è stato evidenziato come l’infezione si propaghi attraverso file in flash, finti codec video e falsi software antivirus. Tutte queste diverse tipologie, comunque, portano a un medesimo risultato con il download dello stesso malware.
|