Un’immagine dello scareware-finto antivirus in azione
In queste ore si è verificato un hack in grande stile ai danni di un numero imprecisato di vittime: si è trattato di nuovo di un attacco scareware, che negli ultimi mesi apparentemente va assai di moda.
L’attacco si è sviluppato utilizzando i principi del Search Engine Optimization, avvantaggiandosi delle migliaia di siti che utilizzano l’URL redirect, un meccanismo che permette al proprietario di un sito di reindirizzarvi ad un’altra pagina web. Generalmente, se siete in un redirect leggerete un messaggio tipo “State abbandonando il nostro sito per una pagina esterna, non ci prendiamo nessuna responsabilità per i suoi contenuti”.
Il problema è che è sufficiente conoscere l’URL di alcuni redirect “open” per poterli sfruttare a piacimento, e l’hacker ha “convinto” Google ad indicizzare questi URL piazzandoli su siti che gli appartengono. Come detto la tattica impiega delle consuete tattiche di SEO: per mettere nelle prime posizioni del famoso motore di ricerca i suoi link redirecti dirottati il nostro “amico” ha utilizzato innumerevoli commenti spam sparsi per Internet, finte storie sui blog, e ovviamente è partito da chiavi di ricerca popolari: warez, freeware famosi.
Gli sforzi di questo hacker sono stati certamente ricompensati da un enorme successo: al suo apice, il “sistema” aveva piazzato su Google oltre un milione di risultati infetti.
Detti risultati di ricerca apparivano completamente innocenti, perchè sembravano portare a pagine Microsoft, a giornali, riviste, a siti statali e governativi, mentre invece una volta cliccati reindirizzavano ad uno dei domini dell’hacker. A questo punto succedeva il patatrac: la vittima veniva subito bombardata di avvertimenti in stile “il tuo computer sembra infetto: Winweb security farà uno scan rapido e gratuito per virus e altri malware”. Al suo OK, aveva inizio un’animazione completamente finta di uno scan che cercava di convincere l’utente di essere vittima dei malware.
Scaricando il “programma antivirus” offerto dal sito si piazzava ovviamente un trojan bello e buono sul proprio computer, completo di keylogger, e veniva richiesto il pagamento di 50 dollari per scaricare un fantomatico antivirus,. Tanto per fare un vero e proprio “sevizio completo” l’acquisto avrebbe infine rubato i dettagli della carta di credito dell’utente.
Il trojan in questione, fino a poche ore fa era rilevato come malware solo da 5 motori su 37 su VirusTotal, ma speriamo che ormai i database siano stati aggiornati. A quanto pare molti di coloro che offrivano open redirect sono già corsi ai ripari rompendo le uova nel paniere dell’hacker in questione, in ogni caso continuiamo a consigliare ai nostri lettori di non cliccare mai OK ai pop up di non meglio identificati “scanner antivirus” su Internet.
I commenti sono chiusi.