Dopo le ricerche di
Google immagini usate per distribuire malware, anche gli anniversari di Google vengono utilizzati per infettare gli utenti con programmi scareware. I cybercriminali riescono a spingere link malevoli nei risultati delle parole chiave di ricerca più popolari, sfruttando il posizionamento di ricerca di siti Web legittimi che sono stati compromessi. Google ha preso da tempo l'abitudine di onorare diversi individui o, celebrare varie festività, cambiando il proprio logo con la grafica disegnata appositamente per queste occasioni e che sono soprannominati "
doodle" (letteralmente "scarabocchi"). Se la celebrazione ha un significato internazionale (ma anche locale,
come in occasione dei 150 anni dell'Unità d'Italia), Google cambia il logo su tutti i suoi siti web locali. Quando si fa clic, questi doodle portano gli utenti a una pagina di ricerca di Google che contiene un insieme di parole chiave correlate alla manifestazione. Ad esempio, mercoledi scorso la società ha
sostituito il suo logo con un doodle in onore di Martha Graham, la leggendaria danzatrice moderna americana, il cui talento è riconosciuto a livello internazionale. Come al solito, cliccando sul doodle tutti gli utenti sono stati rimandati ai risultati della ricerca su Google per "Martha Graham", con la terza voce sulla pagina che è una diapositiva dei risultati delle immagini da
Google Immagini.
Secondo i ricercatori di sicurezza del vendor tedesco Avira antivirus, molte delle immagini visualizzate in quei risultati della ricerca sono stati ricollegati a pagine scareware dannose. Facendo clic su una delle miniature "infette" viene aperto il sito web che ospita il file "maligno". Mentre il sito è in fase di caricamento, l'utente viene reindirizzato ad un URL generato in modo casuale.
Subito dopo il redirect, Internet Explorer si presenta con un popup scareware usato spesso per ingannare l'utente a cliccare sul pulsante "OK". Confermando il popup con "OK" si apre una nuova finestra di Internet Explorer, che sembra molto simile a "Risorse del computer" in Windows Explorer. Mostrando alcuni falsi hard-drive, floppy-drive e un lettore CD, comportamenti standard dei FakeAV.
I siti sono ospitati sul dominio
Co.cc, che è spesso collegato ad attività e contenuti dannosi. Questi prodotti falsi antivirus sono noti generalmente come scareware o rogueware e
cercano di indurre gli utenti a pagare per una licenza inutile, prendendo in ostaggio il PC. La distribuzione di scareware è una delle attività più redditizie per i cybercriminali e il denaro guadagnato viene utilizzato per finanziare altre operazioni.
Durante il processo di scansione, alcune infezioni false vengono visualizzati al centro dello schermo. Dopo viene visualizzato un nuovo popup, offrendo un pulsante "Rimuovi tutto" e il pulsante "Annulla". Ma come al solito i due pulsanti fanno esattamente la stessa cosa. Il popup cerca di imitare il look di
Windows Defender. Come previsto, i due pulsanti offrono un nuovo file per il download.
Il file scaricato è seguito da un altro falso programma AntiVirus chiamato
SecurityScanner.exe. L'esecuzione di questa applicazione installa la
XP Home Security 2011 sul computer, l'attuale spam che viene distribuito in giro sul web. Il programma è davvero spietato contro i veri programmi AV. Durante il processo di installazione, lo strumento disabilita i popup di notifica di un programma antivirus installato in locale, così come
Windows Firewall. Inoltre, disabilita anche il servizio di aggiornamento di Windows e sostituisce la finestra di
Windows Security Center con una nuova, proponendo XP Home Security 2011 come soluzione. Il sito, come generalmente accade in questi casi, offre il pagamento di una "Licenza a vita per soli 79,95 dollari". La strategia di business alle spalle una società di falsi antivirus al giorno d'oggi sembra davvero professionale. È possibile acquistare licenze e pagarli con carta di credito. Alcuni di essi offrono anche una hotline di assistenza per il loro prodotto, dove l'utente ottiene suggerimenti su come rimuovere reali prodotti antivirus. Avira protegge i clienti sin dalla versione di rilevazione malware
VDF 7.11.07.254 con cui Avira individua la minaccia come
TR / FakeAV.gra. Si sconsiglia vivamente agli utenti di scaricare e installare automaticamente le applicazioni offerte da siti web che indicano nei vostri computer problemi di stabilità o di sicurezza. I prodotti di sicurezza dovrebbero essere ottenuti solo da fornitori affidabili o da siti di download attendibili.
