В рунете набирает оборот новая схема распространения вредоносного программного обеспечения (ПО): мошенники размещают ссылки на зараженные архивы в обсуждениях на форумах и продвигают их в поисковых системах. Раньше вирусы на форумах распространялись под видом расширений для популярных игр или программ, но сейчас злоумышленники выдают их почти на любой запрос в сети, говорят эксперты. Новый вариант фишинга, по их мнению, позволяет подстроиться под пользователя и придет на смену фейковым СМС-сообщениям и электронным письмам.
Фото: Евгений Павленко, Коммерсантъ
Фото: Евгений Павленко, Коммерсантъ
Кибермошенники начали распространять вредоносное ПО с помощью продвижения взломанных сайтов в поисковой выдаче, сообщила Microsoft Security Intelligence в своем аккаунте в Twitter. Для этого используются приемы поисковой оптимизации SEO (Search Engine Optimization).
Механизм работает так, что при запросе в поисковике пользователь получает в топе ссылки на взломанные ресурсы или на обсуждения его вопроса на форуме.
Для решения проблемы или получения информации ему предлагается перейти по ссылке или скачать вредоносный архив. Угроза добралась и до российского сегмента интернета, рассказал “Ъ” директор по корпоративным продажам ESET в России Антон Пономарев.
Для усложнения индексации вредоносного сайта специалистами по кибербезопасности злоумышленники настраивают страницу на форуме так, чтобы вирусная ссылка отображалась на одном устройстве только один раз, отмечают в Microsoft. При повторном посещении обсуждения текст сообщения меняется. При этом ветка обсуждения с вирусом может отличаться от общей тематики форума, добавляют в Sophos. Например, когда пользователь ищет информацию о договорах продажи или покупки недвижимости, ему открывается ветка об этом с архивами договоров, но сам форум может быть посвящен медицинской тематике.
Злоумышленники чаще всего взламывают форумы, работающие под управлением популярных бесплатных систем работы с контентом, уточняют в Sophos.
В мае прошлого года, например, резко выросло число атак на сайты, работающие на бесплатной системе WordPress (см. “Ъ” от 8 мая 2020 года).
В российском сегменте интернета можно столкнуться с описанной схемой заражения, если, например, искать в сети информацию о популярных ресторанах Иркутска, рассказал господин Пономарев: «При таком запросе вместе с известными сервисами для туристов в поисковой выдаче появляется подозрительный старомодный сайт, созданный с помощью WordPress».
Злоумышленники и раньше использовали популярные поисковые запросы для распространения вирусов, уточняет начальник отдела информационной безопасности «СерчИнформ» Алексей Дрозд. Например, отмечает эксперт, десять лет назад вредоносное ПО на форумах распространялось под видом плагинов (программный модуль для расширения возможностей основной программы) для игры World of Tanks. «С выходом новых версий программы Adobe Photoshop в сети неоднократно распространялись якобы русифицированные варианты программы, которые оказывались вирусами»,— добавляет господин Дрозд.
Сейчас вредоносное ПО, по словам эксперта, встречается при поиске электронных книг.
По запросу, например, «скачать реферат» пользователь также может получить ссылку на зараженный архив, отмечает руководитель CERT-GIB Александр Калинин. Новая схема скомпилирована на основе уже известных элементов, но отличается тем, что злоумышленники сильно расширили тематику запросов и стали использовать приемы поисковой оптимизации.
В прошлом году с помощью приемов поисковой оптимизации злоумышленники выводили в топ поддельные сайты криптовалютных бирж и обменников, отмечает руководитель департамента аудита информационной безопасности Infosecurity a Softline Company Сергей Ненахов. «В целом такая методика атак не была сильно распространена в рунете, но будет набирать обороты»,— полагает он. Новый вариант фишинга позволяет подстраиваться под любого пользователя, считает господин Пономарев. По его мнению, такая модель в 2021 году придет на смену фейковым СМС-сообщениям и электронным письмам. Свою роль, по его мнению, сыграет эффект неожиданности: пока в привычной поисковой странице пользователь не ожидает подвоха.