Più del 13% delle ricerche su Google per trovare informazioni su argomenti di attualità rimanda a link malevoli e la ricerca di informazioni sul terremoto in Cile e lo tsunami che ha colpito le Hawaii non è un’eccezione. Entrambi sono utilizzati per attirare gli utenti e scaricare falsi antivirus.
Solitamente i link contenuti nei risultati di ricerca sembrano dei normali collegamenti che rimandano a pagine Web sicure.
Questa volta però i cyber criminali hanno cambiato tattica, rendendo i loro risultati di ricerca ancora più convincenti, e hanno ingannato Google facendo credere che si trattasse di un file PDF.
Come visualizzato nell’immagine sopra, Google indica che il file è in formato PDF e non HTML. In realtà si tratta di una pagina HTML che rimanda l’utente a un’altra pagina simile a questa – un’altra falsa pagina che avvia un rogue AV.
Questa, come la maggior parte dei siti rogue AV che abbiamo visto questa settimana, è .IN TLD, dominio top-level in India.
I risultati di ricerca in PDF danno una maggiore autenticità ai link, facendo pensare ad un documento di approfondimento o ad un articolo. La probabilità che un utente clicchi su questo tipo di link è superiore rispetto a un altro collegamento Web.
Questa è la prima volta che rileviamo questa tipologia di attacco ma considerando quanto siano aggressivi i rogue AV, non dobbiamo stupirci se continuano a modificare le tecniche per portare gli utenti ad ‘acquistare’ i proprio prodotti.
Il file rogue AV è attualmente indivuato dal 26,20% degli antivirus utilizzati da VirusTotal.
I clienti Websense Messaging e Websense Web Security sono protetti da questi attacchi.