Pages Menu
Categories Menu

Опубликовано | Нет комментариев

Первый результат поиска в Google — вирус

Первый результат поиска в Google — вирус. Первый результат поиска в Google слишком часто представляет собой ссылку на веб-сайт, который был взломан для заражения устройств посетителей вирусом.

Результат поиска в Google ссылка на вирус

Виновник этих заражений - Gootloader, потомок устаревшего вредоносного ПО, которое уcугубляется в Google - единственной поисковой системе, на которую нацеливается.

Хакеры нашли способы контролировать системы управления контентом (CMSE) лигитимных веб-сайтов, которые имеют высокий рейтинг в Google по определенным поисковым запросам. Взломанные сайты созданы для отображения поддельных веб-страниц, которые могут заразить переходящих по ссылке пользователей. Владельцы веб-сайтов обычно не подозревают, что происходит что-то плохое.

Авторы вирусов, чтобы повысить шансы взломанного веб-сайта на то, что он будет отображаться как результат № 1 в определённых поисковых запросах Google, используют приёмы поисковой оптимизации (SEO). “Улучшенные” веб-сайты часто поднимаются на первое место в поиске, потому что алгоритм ранжирования Google повышает сайты, которые соответствуют точной формулировке поиска пользователя.

Предупреждение: Не выполняйте поиск в Google и не пытайтесь посещать какие-либо веб-сайты, упомянутые на снимках экрана ниже, если вы не являетесь профессиональным исследователем безопасности со специальным защитным программным обеспечением.

Обычные поисковые запросы соответствуют легитимным веб-сайтам

В качестве примера того, как работают хакеры, представьте, что вы, чтобы получить лучшее качество звука, чем мобильный телефон используете в небольшом офисе стационарный телефон. Чтобы исключить неприятные звонки, на вашу телефонную линию сначала отвечает популярный автоответчик - цифровая система обмена сообщениями GE. Допустим, вам однажды нужно изменить конфигурацию устройства или приветствие. Таким образом, вы выполняете поиск в Google в поисках PDF-файла, содержащего вышедшее из печати руководство пользователя продукта. Самый популярный поиск Google показан на рисунке ниже.

первый_результат_поиска
Первый результат поиска Google для популярного устройства General Electric выглядит легитимным, но гиперссылка ведёт к вредоносной загрузке.

Выдача Google № 1 - это веб-сайт, в названии которого есть “UserManual”, что звучит легитимно. Вы нажимаете на ссылку, чтобы загрузить PDF-файл и открыть его. Затем вы видите первый сигнал о том, что что-то не так.

Слова соответствуют запросу, но ссылка вредоносная

Загруженный PDF-файл - это не руководство пользователя, а всего лишь короткий документ, содержащий чуть больше кнопки “загрузить руководство".

На этом этапе, если вы достаточно "подкованы", вы наведёте курсор мыши на кнопку, чтобы увидеть, куда она ведёт. В этом случае всплывающая подсказка Adobe Reader показывает, что веб-сайт, на который вы перейдёте, называется:

Hijack You Oh No (dot) xyz

На самом деле, хакер не может написать “hijack”, поэтому буквальное доменное имя, как показано на рисунке ниже, является:

hijaukuohno (dot) xyz

назначение_ссылки
Назначение ссылки в результатах поиска Google указывает на то, что, по-видимому, является хакерским веб-сайтом.

Какой хакер настолько глуп, чтобы выбрать доменное имя, которое звучит как “Hijack You Oh No”? Этот дурацкий пример показан только для того, чтобы доказать, что даже отстойные второсортные хакеры могут заставить Google выполнять их требования.

Настоящая проблема не в неопытных “детских скриптах”. Это изощрённые хакерские банды, которые используют те же методы, чтобы заманить миллионы веб-серферов, используя результаты поиска Google в качестве приманки.

Известный набор вредоносного ПО превратился в "Gootloader"

Исследователи безопасности в течение многих лет предупреждали об использующем слабые места в операционной системе Windows, семействе вредоносных программ Gootkit. В этом году исследователи из SophosLabs выявили развитие Gootkit под названием Gootloader. Он, для попадания в результаты поиска Google и доставки вирусных пакетов, использует сложные методы.

На рисунке ниже приведён пример более длинной строки поиска — в данном случае поиск по типу контракта на недвижимость, известному как соглашение о разделении сторон.

Gootloader
Первый результат поиска по определённому типу контрактов на недвижимость указывает на веб-сайт, который, как указано в поле “О компании” Google, является легитимным и индексируется с 2014 года, но на самом деле сайт заражает посетителей вредоносным ПО Gootloader.

Рекомендация № 1 Google — из 114 миллионов веб—сайтов - это канадский сайт медицинских услуг. Любопытные пользователи, которые проверяют боковую панель “Об этом результате”, видят, что Google считает сайт лигитимным, а не рекламой, и что сайт индексируется с 2014 года. Все звучит на высшем уровне.

Однако, Google не предупреждает пользователя о том, что веб-сайт был взломан Gootloader. Инструмент управляет CMS сайта и предоставляет поддельную веб-страницу, которая выглядит как настоящий дискуссионный форум. Чтобы заманить посетителя на переход по ссылке, страница и еЁ ссылки используют те же слова, которые были в поиске пользователя в Google.

заражённый_файл_JavaScript
Лучшим результатом Google для этого поиска является легальный веб-сайт, который был взломан для отображения поддельной веб-страницы. Страница утверждает, что предоставляет точную информацию, которую искал посетитель, но гиперссылка содержит заражённый файл JavaScript.

Хотелось бы, чтобы немедленная реакция обычного пользователя была такой: “Очень маловероятно, что на веб-сайте будет заголовок страницы, гиперссылка и название документа с использованием точных слов, которые я искал, поэтому я не собираюсь нажимать на эту ссылку”.

К сожалению, наша человеческая природа думать: “Этот веб-сайт идеально соответствует тому, что я ищу, и Google ручается за это, поэтому я собираюсь загрузить и открыть файл, который он мне предлагает”.

Если вы воспользуетесь ссылкой, вы получите ZIP-файл, содержащий файл JavaScript с расширением .js. Оба файла имеют те же имена, что и исходные условия поиска, которые вы ввели в Google.

В Windows, файл .js выглядит как изображение ниже, согласно Sophos Labs. Запуск этой программы может заразить ваше устройство совершенно незаметными способами. Что ваш компьютер ведёт себя странно, или ваши файлы были зашифрованы, и вы стали жертвой атаки вымогателей, вы можете узнать только через несколько дней или недель.

файл_js

Иногда везёт. Gootloader, прежде чем нанесёт какой-либо ущерб, проверяет главный сервер, известный как mothership. Известно, что вредоносная программа работает только в богатых странах. Информация на веб-сайте предоставляется на языке пользователя, например, корейском в случае Южной Кореи. Нет никакого смысла в том, чтобы банда тратила ресурсы на страны, которые не являются специально нацеленными.

Использование собственного алгоритма ранжирования Google против него

Хакеры, похоже, не фокусируются на самых популярных поисковых запросах, таких как погода и новости. Было бы трудно подняться на вершину на таких условиях, которые соответствуют хорошо зарекомендовавшим себя брендированным сайтам. Вместо этого компьютерное время хакеров тратится на обработку тысяч более длинных строк поиска, которые, какими бы неясными они ни были, все равно соответствуют тому, что миллионы веб-серферов вводят в Google: такие вещи, как цифровые сообщения, продажа моего дома и так далее.

Эта схема работает из-за особого метода ранжирования веб-сайтов Google. Трудно вспомнить рассвет Интернета, но доминирующей поисковой системой в 1995 году была AltaVista. Результаты поиска AltaVista в значительной степени основывались на количестве появлений ключевого слова на странице.

Гениальность основателей Google, помимо подсчёта количества обратных ссылок на веб-сайте, заключалась в том, что они понимали, что фразы могут иметь разные значения, чем их отдельные слова. Сегодня кажется очевидным, что General Motors является крупной корпорацией и, вероятно, темой, которую на самом деле ищет поисковик. AltaVista так и не адаптировалась, и в 2003 году она была объединена с Yahoo.

Gootloader оборачивает саму любовь Google к подбору фраз против поискового гиганта. Взломанный сайт никогда не будет отображаться как выбор Google № 1 в общем поиске, таком как деньги, который имеет 21 миллиард просмотров, но предоставьте Google эзотерическую строку, такую как соглашение о партийной дисциплине, и работа Gootloader SEO даёт хакерам очень хороший шанс возглавить результаты поиска.

Google пытается, но удачно ли

Google попросили прокомментировать, как он удаляет заражённые вредоносными программами веб-сайты из результатов поиска.

Представитель Google ответил:

Мы не можем поделиться всеми подробностями о том, как мы боремся с вредоносными программами, потому что, если бы мы это сделали, злоумышленники могли бы использовать эту информацию, чтобы попытаться обойти наши системы.

Но мы всегда работаем над тем, чтобы обезопасить людей в поиске от плохих деятелей. Например, безопасный просмотр Google, защищая вас и вашу личную информацию от потенциальных вредоносных программ и фишинговых мошенничеств, отображает предупреждающие сообщения, сообщающие вам, что сайт, на который вы пытаетесь зайти, может быть небезопасным.

Мы также предупреждаем веб-мастеров, если считаем, что они были взломаны, и работаем с ними для обеспечения безопасности их сайтов.

В 2020 году мы ежедневно обнаруживали 40 миллиардов страниц спама, включая сайты, которые были взломаны или созданы обманным путём для кражи вашей личной информации, и заблокировали их появление в результатах поиска.

Согласно статистике WorldWideWebSize, в индексах Google не более 55 миллиардов веб-страниц. Таким образом, если Google блокирует 40 миллиардов из них 365 дней в году, поисковый гигант, возможно, уже блокирует 73 % всех веб-страниц в мире.

Недопустимо, чтобы горстка хакеров когда-либо могла заставить Google отображать вредоносное ПО в топ-10 результатов, не говоря уже о результатах № 1, при любом типе поиска.

Ок, Гугл, покажи нам, что ты умнее этих жалких мошенников.

Для начала, простое оповещение веб-мастеров о том, что их сайты распространяют вирусы, не кажется на 100% эффективным. Было бы лучше уведомить операторов о том, что их взломанные сайты будут удалены из результатов поиска, начиная с сегодняшнего дня, до тех пор, пока затронутые серверы не будут очищены. Это привлекло бы немедленное внимание веб-мастеров, в то же время фактически предоставив миллиардам обычных пользователей Google защиту, которой они заслуживают.

Для получения дополнительной информации представитель Google рекомендовал страницу блога о безопасном поиске.

Как защитить себя от вирусов в результатах поиска Google

Прежде всего, прочитайте превосходный анализ Sophos Labs от 12 августа Gootloader и его сервера “mothership". Эта статья ссылается на первое описание Gootloader в лабораториях ещё в марте, что также хорошо читается.

В отдельной статье Sophos рекомендуется четыре шага, которые вы можете предпринять, чтобы избежать вредоносных веб-сайтов:

  • Остановитесь, прежде чем нажимать что-либо, если веб-страница “идеально подходит” для вашего первоначального поиска.
  • Убедитесь, что ваше антивирусное приложение предупреждает вас о взломанных веб-сайтах и загрузках.
  • Убедитесь, что антивирус должен блокировать эксплойты в памяти, а не просто полагаться на сканирование файлов.
  • Сделайте так, чтобы Windows отображала расширения файлов, чтобы вы не нажимали выдающие себя за PDF файлы, файлы .js.

Windows Vista и более поздние версии по умолчанию скрывают расширения файлов. Всего несколькими щелчками мыши вы можете заставить проводник файлов и другие программы отображать эти расширения.

Вы также можете отправлять сомнительные файлы или целые веб-сайты в бесплатные службы безопасной среды, такие как гибридный анализ (также известный как Обратный анализ).

Все вышеперечисленное - это то, что пользователи ПК должны сделать, чтобы защитить себя от результатов поиска технологического гиганта с доходом в 182 миллиарда долларов в 2020 году (статистика Statista). Оригинальное описание Gootloader от Sophos Labs рекомендовало более простое решение.

В конце концов, это зависит от поисковых систем, алгоритм которых использует вредоносное ПО для получения высокого результата поиска, для устранения начального вектора атаки. Пользователей можно обучить таким вещам, как включение видимых суффиксов файлов в Windows, чтобы они могли видеть, что нажимают файл с расширением .js. Но они не могут выбрать, какие результаты поиска отображаются в верхней части списка или как этими сайтами манипулируют субъекты угроз.

Вот ещё более простое решение: прекратите использовать Google, так как это единственная поисковая система, достаточно большая, чтобы банда Gootloader могла использовать её. Думаете, поисковая система незаменима? Критики говорят, что компания представляет опасность для вашей конфиденциальности, как объясняется в статьях в Википедии и журнале CPO.

“Гуглить” уже давно является глаголом — он был добавлен в словари Merriam-Webster и Oxford еще в 2006 году, — но новый кандидат - “дегуглить”. У термина есть свой собственный субреддит с 55 000 участниками, которые размещают удобную боковую панель с альтернативами. Ещё одним хорошим источником рекомендаций является обзор восстановления конфиденциальности, в котором основное внимание уделяется безопасности пользовательских данных.

Оставить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Лимит времени истёк. Пожалуйста, перезагрузите CAPTCHA.

↓