G Data:
Google sotto attacco. I cybercriminali
infettano i risultati delle ricerche
Gli autori di
malware usano Google per contrabbandare
programmi dannosi
Varese,
22/06/2009 - Negli ultimi giorni G Data ha
rilevato un attacco su larga scala rivolto
contro gli utenti del motore di ricerca
Google. La procedura seguita dai
cybercriminali è particolarmente astuta: una
volta inseriti i dati per la ricerca si
viene indirizzati su link manipolati
cliccando sui quali l’ignaro utente scarica
sul proprio Pc dei codici maligni camuffati
in vario modo. Ad esempio alcuni scaricano
malware sotto forma di video codec, mentre
ad altri vengono offerti falsi programmi di
protezione antivirus. Secondo le ricerche
condotte da G Data Security Labs il server
da cui è partito questo attacco si trova in
India L’attuale ondata di attacchi è rivolta
innanzitutto agli utenti che sono alla
ricerca di siti dal contenuto pornografico.
G Data comunque ipotizza che questo trend
potrebbe cambiare a breve spostando il focus
su utenti appassionati di sport, automobili
piuttosto che interessati ad offerte di
lavoro.
Ralf Benzmüller, Manager di G Data Security
Labs: „Durante gli ultimi giorni abbiamo
notato un deciso aumento di risultati
pericolosi derivanti dalle ricerche
effettuate con Google. Circa il 10% dei
messaggi di allarme erano correlati in
maniera diretta o indiretta a risultati di
ricerca manipolati. Con l’attuale ondata di
attacchi, basta soltanto un click sul sito
sbagliato per cadere nella trappola. Solo se
i dati Http vengono vagliati prima che il
sito venga visualizzato il proprio Pc può
dirsi protetto.”
Trucchi usati
dai cybercriminali
I cybercriminaly
tentano di contrabbandare codici maligni
sostituendo il testo con numeri esadecimali.
In questo modo il browser può ancora
processare il codice liberamente e senza
nessun problema. Per gli utenti e per i
motori di ricerca si tratta comunque di
qualcosa di illeggibile. In questo modo i
criminali riescono a bypassare I filtri di
Google. Il codice esadecimale contiene un
codice HTML nascosto che viene inserito
nella pagina web risultato della ricerca. Se
un utente clicca sul risultato della ricerca
si apre il sito desiderato, ma con
l’aggiunta di uno script che proviene da un
dominio Indiano. I link così manipolati
vengono inseriti dai criminali su blog,
forum o siti hackerati e questo consente
loro di avere un elevato rating tra i
termini più ricercati nei vari motori di
ricerca. Per fare un esempio sembra che un
sito poco utilizzato di un’università
Americana sia stato manipolato in modo che
alcuni termini di ricerca appaiano nelle
prime posizioni dei risultati dei vari
motori.
Il codice di script downloadato dal sito
internet indiano è allo stesso modo molto
mascherato. Ci troviamo, infatti, di fronte
a un variegato ventaglio di modalità . Dai
test effettuati dai G Data Security Labs è
stato evidenziato come l’infezione si
propaghi attraverso file in flash, finti
codec video e falsi software antivirus.
Tutte queste diverse tipologie, comunque,
portano a un medesimo risultato con il
download dello stesso malware.
Misure di
protezione:
Gli utenti G
Data sono protetti fin dallinizio conctro
queste minacce. Si raccomanda comunque di
adottare alcune semplici contromisure:
1. Mantenere aggiornato il proprio antivirus
e il sistema operative
2. Assicurarsi che il contenuto web sia
verificato dal software antivirus prima che
esso venga visualizzato nel browser
3. Disattivare JavaScript nel browser
4. Non navigare con i diritti di
amministratore
