Según ha informado el SANS desde hace varias semanas se están recibiendo informes relacionados con el buscador de imágenes de Google. Ofrece resultados que terminan redirigiendo a páginas de falsos antivirus. Nada nuevo, pero que está siendo especialmente insidioso y elaborado en estos días.
La infraestructura necesaria para llevar acabo esta campaña está haciendo uso de páginas webs comprometidas para alojar el contenido que se encargará del envenenamiento de los resultados. Las páginas atacadas son principalmente las que utilizan WordPress vulnerables. En ellos suben scripts que se encargan de generar de manera automática un contenido artificial (simulado, inútil) que hará que los usuarios del buscador sean llevados a las páginas fraudulentas. Estas páginas constan de dos partes principales: la que es indexada por Google Imágenes y la que se encarga de redirigir finalmente a la víctima a otra página web con el contenido fraudulento.
El contenido que será indexado por el buscador de imágenes es creado en base a los términos más buscados en Google Imágenes, para así asegurarse que pueda llegar a la mayor cantidad de personas posible. Para ello hace uso de una herramienta de la misma compañía del buscador, Google Trends. Por ejemplo, se crea contenido artificial sobre Bin Laden, si se detecta que es de los términos más buscados en el momento. Además, también se encargan de buscar imágenes relacionadas con los términos adecuados (fotografías del personaje, por ejemplo), apareciendo así en la lista de resultados del buscador de imágenes.
Los atacantes comprueban en esas páginas (a través de la IP o el UserAgent) si lo que les visita es un bot de Google (los encargados de indexar páginas web para incluirlas en el buscador) y se encargan de ofrecer el contenido preciso que les llevará a aparecer arriba en las búsquedas.
El resto del contenido de la página es el que se encarga de redireccionar a los usuarios del buscador hacia páginas fraudulentas cuando son visitadas. Google Imágenes ofrece resultados afines a la consulta realizada mostrando una lista de miniaturas de los resultados. Tras pulsar sobre una miniatura perteneciente a uno de estos sitios comprometidos, Google lleva al usuario a la página que aprovecha el fallo. Se trata de la conocida página con la miniatura de la imagen seleccionada en el centro, los enlaces a la imagen y, de fondo, la página final que contiene la fotografía. Ahora es cuando el navegador, al realizar la petición de la página que formará parte del fondo y que está comprometida, ejecuta el script que ha sido incrustado en la página atacada (aunque no esté siendo visitada «del todo»). Es el propio script el que ha comprobado previamente, mediante el campo ‘Referer’ de la petición, que ésta proviene de la página de búsqueda de imágenes de Google. En ese momento redirige a la víctima a otras páginas fraudulentas, que, en esta última oleada contienen falsos antivirus (rogue). Por tanto, el usuario no debe ni siquiera visitar completamente la página comprometida, solo ver alguna fotografía en Google Imágenes a la que ha sido vinculada.
Google está tomando medidas con respecto a esta técnica, eliminándolo los enlaces o informando del peligro de acceder a los mismos. Sin embargo, la cantidad de este tipo de resultados en el buscador es demasiado grande como para poder decir que el asunto se encuentra bajo control (medio millón de visitas cada día según estimaciones del investigador Denis Sinegubko, un reputado investigador de rogueware).
Desde el SANS indican que una de las mejores opciones para protegerse es evitar la ejecución de código JavaScript de páginas en las que no se confíe, a través de, por ejemplo, complementos como ‘NoScript’ disponible para Mozilla Firefox o las zonas de Internet Explorer.
Más información:
More on Google image poisoning
http://isc.sans.edu/diary/More+on+Google+image+poisoning/10822
Scammers Swap Google Images for Malware
http://krebsonsecurity.com/2011/05/scammers-swap-google-images-for-malware/