Ataques conhecidos, como Blackhat search engine optimization (SEO),
utilizam técnicas para promover sites, de forma que tais sites
apareçam entre os primeiros resultados quando é realizada uma busca
por determinadas palavras-chave. Campanhas deste tipo de ataque
utilizam credenciais FTP comprometidas para realizar o upload de
páginas web carregadas de palavras-chave em websites legítimos.
Desta forma, a posição destes endereços entre os resultados de
sites de busca é melhorada. Qualquer tráfego atraído por estes
sites é redirecionado para páginas maliciosas, as quais geralmente
contêm ameaças como FAKEAV (falsos antivírus).
Este post analisa uma campanha contínua de blackhat SEO
realizada por um conhecido operador deste tipo de ataque. Nela, o
sistema de Busca Google Image redireciona
usuários do sistema Mac OS para ameaças FAKEAV especialmente
projetadas para Macs. Já os usuários de Windows são direcionados
para páginas que contêm FAKEAV ou para sites que hospedam o pacote
Black Hole Exploit.
Em apenas um mês, esta campanha conseguiu redirecionar quase 300
milhões de hits, de 113 milhões de visitantes, para as páginas
maliciosas. Além de gerar páginas cheias de links maliciosos e
palavras-chave para turbinar os resultados de buscas, este operador
também incorporava imagens tiradas de sites legítimos para que suas
páginas tivessem uma classificação mais alta no Google Image
Search.
Ataque de TDS Direciona para Ameaças FAKEAV e Pacote Black
Hole Exploit
Até o momento, pudemos identificar 4.586 servidores afetados, os
quais se conectaram ao servidor de comando do blackhat SEO para
buscar scripts atualizados de redirecionamento. Estes servidores
infectados receberam dois tipos de URLs maliciosas para
redirecionar os visitantes. O primeiro tipo de página é o
tradicional golpe do antivírus falso, ou FAKEAV. Esta campanha
específica utiliza 116 nomes de domínios. O segundo tipo é uma
página Traffic Direction System (TDS), a qual utiliza 176
nomes de domínios.
As páginas TDS são utilizadas como landing pages que direcionam
o tráfego para conteúdo malicioso com base em diversos critérios,
como sistema operacional, versão do navegador e localização
geográfica. Esta campanha em particular utiliza a conhecida TDS
"SUTRA " para redirecionar os usuários a páginas carregadas com
FAKEAV ou a outras que hospedam pacotes com a ameaça Black Hole
Exploit.
Figura 1. Tráfego TDS para os
10 primeiros dias de maio de 2011
Os dados mostram que esta TDS redirecionou 68.386.286 de hits,
de 26.715.046 de visitantes, apenas nos primeiros 10 dias de maio
de 2011. Nos últimos 30 dias, ela redirecionou 220.175.652 de hits,
de 82.568.468 de visitantes. No total, a TDS registrou 296.413.984
de hits, de 113.454.246 visitantes.
A Maior Parte do Tráfego Veio dos Estados Unidos (Windows
OS)
A TDS SUTRA também identifica a localização geográfica de cada
visitante, com base em seu endereço IP. Os dados geográficos
apresentados a seguir são baseados em 194.633.322 hits, de
73.540.527 visitantes. Os Estados Unidos representam 24,4% do
tráfego total (27,5% do tráfego único), seguidos por Índia e
México.
Estes são os 10 países com o maior tráfego único:
|
PAÍS
|
BRUTO
|
ÚNICO
|
|
Estados Unidos
|
47.658.451
|
20.265.695
|
|
Índia
|
15.278.539
|
5.248.183
|
|
México
|
11.879.386
|
4.044.705
|
|
Alemanha
|
10.369.960
|
3.605.304
|
|
Reino Unido
|
9.875.501
|
4.347.752
|
|
Polônia
|
7.183.688
|
2.353.014
|
|
Brasil
|
6.964.642
|
2.837.302
|
|
Indonésia
|
6.800.576
|
1.843.221
|
|
Canadá
|
6.782.392
|
2.969.651
|
|
Austrália
|
6.347.107
|
2.588.137
|
A TDS SUTRA também registra o user-agent ou a versão do
navegador do usuário, o que permite descobrir o sistema operacional
utilizado. Do total bruto de 188.128.986 hits, o sistema
operacional Windows representou 92,5% (174.180.938), enquanto o Mac
respondeu por 7,3%. Curiosamente, 55.084 hits vieram de consoles
PlayStation e 12.376 de iPads.
Muitos operadores maliciosos já ganham dinheiro com o tráfego de
Macs redirecionando-os a anúncios, mas agora vemos variantes de
FAKEAV direcionados especificamente para Macs, além da tradicional
base de sistemas Windows.
Figura 2. Telas do FAKEAV
para sistemas Mac
Nesta campanha específica de FAKEAV, a landing page era
especialmente projetada para imitar o visual do Mac OS. O conteúdo
da página orientava os usuários a instalarem o falso software
antivírus identificado pela Trend Micro como OSX_FAKEAV.A. Uma vez instalado, ele finge
verificar o sistema do usuário e alerta sobre a existência de uma
infecção. Então, ele tenta convencer o usuário a comprar a versão
paga do software, o que supostamente limparia o computador da falsa
ameaça.
Esta campanha demonstra novamente a eficiência das técnicas de
blackhat SEO em atrair tráfego para sites maliciosos. Em pouco mais
de um mês, os operadores de blackhat SEO direcionaram cerca de 300
milhões de hits para páginas maliciosas que hospedavam FAKEAV - uma
delas especificamente projetada para usuários de Mac - e outras que
hospedavam a ameaça Black Hole Exploit. Apesar da baixa taxa de
conversão em relação às explorações e downloads/compras de FAKEAV,
este ataque ainda está gerando uma quantia considerável de dinheiro
para seus operadores.