Doodle di Google utilizzati per scaricare scareware sui computer

Dopo le ricerche di Google immagini usate per distribuire malware, anche gli anniversari di Google vengono utilizzati per infettare gli utenti con programmi scareware. I cybercriminali riescono a spingere link malevoli nei risultati delle parole chiave di ricerca più popolari, sfruttando il posizionamento di ricerca di siti Web legittimi che sono stati compromessi. Google ha preso da tempo l'abitudine di onorare diversi individui o, celebrare varie festività, cambiando il proprio logo con la grafica disegnata appositamente per queste occasioni e che sono soprannominati "doodle" (letteralmente "scarabocchi"). Se la celebrazione ha un significato internazionale (ma anche locale, come in occasione dei 150 anni dell'Unità d'Italia), Google cambia il logo su tutti i suoi siti web locali. Quando si fa clic, questi doodle portano gli utenti a una pagina di ricerca di Google che contiene un insieme di parole chiave correlate alla manifestazione. Ad esempio, mercoledi scorso la società ha sostituito il suo logo con un doodle in onore di Martha Graham,  la leggendaria danzatrice moderna americana, il cui talento è riconosciuto a livello internazionale. Come al solito, cliccando sul doodle tutti gli utenti sono stati rimandati ai risultati della ricerca su Google per "Martha Graham", con la terza voce sulla pagina che è una diapositiva dei risultati delle immagini da Google Immagini.

Secondo i ricercatori di sicurezza del vendor tedesco Avira antivirus, molte delle immagini visualizzate in quei risultati della ricerca sono stati ricollegati a pagine scareware dannose. Facendo clic su una delle miniature "infette" viene aperto il sito web che ospita il file "maligno". Mentre il sito è in fase di caricamento, l'utente viene reindirizzato ad un URL generato in modo casuale.

Subito dopo il redirect, Internet Explorer si presenta con un popup scareware usato spesso per ingannare l'utente a cliccare sul pulsante "OK". Confermando il popup con "OK" si apre una nuova finestra di Internet Explorer, che sembra molto simile a "Risorse del computer" in Windows Explorer. Mostrando alcuni falsi hard-drive, floppy-drive e un lettore CD, comportamenti standard dei FakeAV.

I siti sono ospitati sul dominio Co.cc, che è spesso collegato ad attività e contenuti dannosi. Questi prodotti falsi antivirus sono noti generalmente come scareware o rogueware e cercano di indurre gli utenti a pagare per una licenza inutile, prendendo in ostaggio il PC. La distribuzione di scareware è una delle attività più redditizie per i cybercriminali e il denaro guadagnato viene utilizzato per finanziare altre operazioni.

Durante il processo di scansione, alcune infezioni false vengono visualizzati al centro dello schermo. Dopo viene visualizzato un nuovo popup, offrendo un pulsante "Rimuovi tutto" e il pulsante "Annulla". Ma come al solito i due pulsanti fanno esattamente la stessa cosa. Il popup cerca di imitare il look di Windows Defender. Come previsto, i due pulsanti offrono un nuovo file per il download.

Il file scaricato è seguito da un altro falso programma AntiVirus chiamato SecurityScanner.exe. L'esecuzione di questa applicazione installa la XP Home Security 2011 sul computer, l'attuale spam che viene distribuito in giro sul web. Il programma è davvero spietato contro i veri programmi AV. Durante il processo di installazione, lo strumento disabilita i popup di notifica di un programma antivirus installato in locale, così come Windows Firewall. Inoltre, disabilita anche il servizio di aggiornamento di Windows e sostituisce la finestra di Windows Security Center con una nuova, proponendo XP Home Security 2011 come soluzione. Il sito, come generalmente accade in questi casi, offre il pagamento di una "Licenza a vita per soli 79,95 dollari". La strategia di business alle spalle una società di falsi antivirus al giorno d'oggi sembra davvero professionale. È possibile acquistare licenze e pagarli con carta di credito. Alcuni di essi offrono anche una hotline di assistenza per il loro prodotto, dove l'utente ottiene suggerimenti su come rimuovere reali prodotti antivirus. Avira protegge i clienti sin dalla versione di rilevazione malware VDF 7.11.07.254 con cui Avira individua la minaccia come TR / FakeAV.gra.  Si sconsiglia vivamente agli utenti di scaricare e installare automaticamente le applicazioni offerte da siti web che indicano nei vostri computer problemi di stabilità o di sicurezza. I prodotti di sicurezza dovrebbero essere ottenuti solo da fornitori affidabili o da siti di download attendibili.

Osama Bin Laden ucciso, attacchi SEO blackhat sul Web e Facebook

Osama Bin Laden è stato trovato e ucciso dalle forze speciali Usa che avevano l'ordine non di catturarlo, ma di ucciderlo. Bin Laden dunque non è più una minaccia, ma la sua immagine sì, almeno su internet. Secondo gli esperti di Kaspersky Lab, sono già presenti sul web delle immagini che una volta cliccate rimandono a domini maligni e link su Facebook fraudolenti per rubare dati personali e ottenere l'accesso al PC. Dopo la tragedia in Giappone, gli eventi eclatanti, nonchè le tragedie umane, sono fonte di reddito per i cybercriminali. I cyber criminali non dormono mai. Sono passate poche ore dall'annuncio della morte di Bin Laden e già in rete sono presenti programmi malevoli che utilizzando l'interesse per la notizia cercando di otternere accessi ai PC e ai dati personali di milioni di utenti della rete. Secondo Fabio Assolini, esperto di sicurezza IT Kaspersky Lab Brasile, alcuni degli attuali risultati di ricerca adesso portano gli utenti a pagine malintenzionate:

Quando si clicca l'immagine nella pagina dei risultati, l'utente sarà reindirizzato a uno dei domini maligni:

***-antivirus.cz.cc /fast-scan/

*** pe-antivirus.cz.cc/fast-scan /

Entrambi i domini offrono una copia del rogueware noto come "Miglior Antivirus 2011":

Questo rogueware è stato già rilevato da Kaspersky come Trojan.Win32.FakeAV.cvoo. Contemporaneamente David Jacoby, esperto di sicurezza IT Kaspersky Lab Svezia, lancia l'allarme Bin Laden su Facebook, dove sono presenti pagine

che attraverso link rimandano a un presunto video della cattura. "Sweet! FREE Subway To Celebrate Osamas Death - 56 Left HURRY!" oppure "2 Southwest Plane Tickets for Free - 56 Left Hurry", sono i titoli dei post rilevati.

Cliccando sui link brevi (http://tiny.cc/) ci si ritrova però su una pagina in cui si è invitati a lasciare un messaggio per avere maggiori informazioni. Per far apparire la pagina sicura viene anche visualizzato il logo della nota casa antivirus McAfee, che da qualche anno ha stretto rapporti con Facebook, proprio per aumentare la sicurezza sul social network.

Da lì in poi, i dati di accesso dell'utente sono in pericolo. Se l'utente scrive il messaggio, sarà inviato un nuovo messaggio sulla bacheca dell'utente, per diffondere ulteriormente il messaggio, e poi reindirizzare semplicemente ad un'altra pagina dove si può vincere qualcosa.

Lo schema di questa truffa è di mantenere il reindirizzamento a pagine in cui dovrete inserire informazioni quali posta elettronica, ed eventualmente ottenere il denaro per tutti i nuovi utenti o clic. E Protezione Account ha rilevato le applicazioni su Facebook collegate alle due pagine truffa. Dato che si tratta di false app spam, invitiamo gli utenti a bloccarle cliccando direttamente su questo link e su quest'altro link. Assicurarsi che il computer sia aggiornato con tutte le patch di sicurezza, che il vostro antivirus abbia tutte le firme aggiornate e prestate attenzione alle pagine su cui cliccate, dove vengono richiesti nomi utente e password. Dal momento che i cybercriminali sembrano approfittare di questa opportunità piuttosto pesantemente, gli esperti di Kaspersky Lab si aspettano una notevole diffusione del codice maligno, innescato dalla morte di Osama Bin Laden.