網(wǎng)絡(luò)犯罪分子通常利用黑帽搜索引擎SEO Poisoning技術(shù)來(lái)讓服務(wù)器連向假殺毒軟件FAKEAV的惡意連結(jié)提高在搜索引擎的排名結(jié)果。這些Blackhat SEO技術(shù)利用Google來(lái)將使用者轉(zhuǎn)向到惡意文件的下載。在今天的例子中，下載的文件名稱為SecurityScanner.exe。

使用關(guān)鍵字 “iCloud mymobi”會(huì)出現(xiàn)一個(gè)可能的惡意網(wǎng)址。MyMobi 似乎是一個(gè)被入侵的提供小工具資訊的新聞網(wǎng)站。在上圖中，域名mymobi.com曾經(jīng)出現(xiàn)了擴(kuò)展名.php3的惡意文件，并且加入了“iCloud”的關(guān)鍵字。在這次事件中，黑客將標(biāo)題加入關(guān)鍵字以在google搜索中獲得較高的網(wǎng)頁(yè)排名來(lái)當(dāng)做釣魚(yú)誘餌，專門(mén)提供給流氓殺毒軟件 – Windows Antispyware for 2012。

這些URL沒(méi)有辦法透過(guò)輸入在地址列來(lái)加以訪問(wèn)，相反的，它們出現(xiàn)在Google搜索中。我們認(rèn)為這是因?yàn)檫@網(wǎng)址需要透過(guò)Google重導(dǎo)才可以連上。然后它們會(huì)將使用者轉(zhuǎn)址到一個(gè)在co.cc域名的FAKEAV網(wǎng)址。下載惡意軟件的腳本跟其他典型的FAKEAV惡意軟件下載腳本非常類似 。

執(zhí)行下載的文件SecurityScanner.exe或TROJ_FAKEAV.HKZ會(huì)安裝假殺毒程序 – XP Antispyware 2012，這程序包含一個(gè)注冊(cè)按鈕。當(dāng)使用者按下這按鈕，頁(yè)面會(huì)被轉(zhuǎn)址到一個(gè)在新建域名的釣魚(yú)網(wǎng)站，包含了“選擇計(jì)劃和結(jié)帳”選項(xiàng)去購(gòu)買XP Antispyware 2012。這個(gè)FAKEAV惡意軟件還會(huì)封鎖瀏覽器 – Internet Explorer (IE)和Google Chrome上網(wǎng)，除非使用者購(gòu)買他們的產(chǎn)品。

因?yàn)槲覀冎朗褂谜呖赡軙?huì)去搜索有關(guān)iCloud的資訊，我們正在監(jiān)控任何可能利用關(guān)鍵字“icloud”的FAKEAV網(wǎng)址與co.cc域名。我們看到了一些可能的搜索字眼，像是“what is apple cloud”或“what is icloud apple”但結(jié)果的排名都太后面了，影響不了多少用戶。我們還在被入侵的網(wǎng)站看到有許多網(wǎng)頁(yè)的文件名稱??包含“apple”和“icloud”，顯示可能有大規(guī)模的入侵攻擊來(lái)利用這些關(guān)鍵字。

zhenggaofeng