網(wǎng)絡(luò)犯罪分子通常利用黑帽搜索引擎SEO Poisoning技術(shù)來讓服務(wù)器連向假殺毒軟件FAKEAV的惡意連結(jié)提高在搜索引擎的排名結(jié)果。這些Blackhat SEO技術(shù)利用Google來將使用者轉(zhuǎn)向到惡意文件的下載。在今天的例子中，下載的文件名稱為SecurityScanner.exe。

使用關(guān)鍵字 “iCloud mymobi”會出現(xiàn)一個(gè)可能的惡意網(wǎng)址。MyMobi 似乎是一個(gè)被入侵的提供小工具資訊的新聞網(wǎng)站。在上圖中，域名mymobi.com曾經(jīng)出現(xiàn)了擴(kuò)展名.php3的惡意文件，并且加入了“iCloud”的關(guān)鍵字。在這次事件中，黑客將標(biāo)題加入關(guān)鍵字以在google搜索中獲得較高的網(wǎng)頁排名來當(dāng)做釣魚誘餌，專門提供給流氓殺毒軟件 – Windows Antispyware for 2012。

這些URL沒有辦法透過輸入在地址列來加以訪問，相反的，它們出現(xiàn)在Google搜索中。我們認(rèn)為這是因?yàn)檫@網(wǎng)址需要透過Google重導(dǎo)才可以連上。然后它們會將使用者轉(zhuǎn)址到一個(gè)在co.cc域名的FAKEAV網(wǎng)址。下載惡意軟件的腳本跟其他典型的FAKEAV惡意軟件下載腳本非常類似 。

執(zhí)行下載的文件SecurityScanner.exe或TROJ_FAKEAV.HKZ會安裝假殺毒程序 – XP Antispyware 2012，這程序包含一個(gè)注冊按鈕。當(dāng)使用者按下這按鈕，頁面會被轉(zhuǎn)址到一個(gè)在新建域名的釣魚網(wǎng)站，包含了“選擇計(jì)劃和結(jié)帳”選項(xiàng)去購買XP Antispyware 2012。這個(gè)FAKEAV惡意軟件還會封鎖瀏覽器 – Internet Explorer (IE)和Google Chrome上網(wǎng)，除非使用者購買他們的產(chǎn)品。

因?yàn)槲覀冎朗褂谜呖赡軙ニ阉饔嘘P(guān)iCloud的資訊，我們正在監(jiān)控任何可能利用關(guān)鍵字“icloud”的FAKEAV網(wǎng)址與co.cc域名。我們看到了一些可能的搜索字眼，像是“what is apple cloud”或“what is icloud apple”但結(jié)果的排名都太后面了，影響不了多少用戶。我們還在被入侵的網(wǎng)站看到有許多網(wǎng)頁的文件名稱??包含“apple”和“icloud”，顯示可能有大規(guī)模的入侵攻擊來利用這些關(guān)鍵字。

zhenggaofeng