L’Internet Storm Center (ISC) di SANS ha lanciato l’allerta a proposito di un fenomeno che sta sempre più interessando il servizio Google Images, utilizzato per ricercare rapidamente immagini pubblicate sui siti web di tutto il mondo. Anche “Images” viene utilizzato da parte di malintenzionati per provocare l’installazione di malware, sfruttando vulnerabilità presenti nel browser web dell’utente, oppure per indurre quest’ultimo ad eseguire sul personal computer dei software dannosi (ad esempio, “rogue antivirus“; ved. questi articoli).
Secondo Bojan Zdrnja, che ha curato l’analisi pubblicata sul sito di ISC (ved. questa pagina), gli aggressori iniziano con l’attaccare un gruppo di siti web riconosciuti come vulnerabili (sfruttando, ad esempio, falle di sicurezza della piattaforma WordPress). Una volta compromesso un sito web, i malintenzionati solitamente vi insediano del codice PHP arbitrario. Tali script possono essere piuttosto semplici oppure eseguire operazioni decisamente complesse. Tra queste vi è, per esempio, il monitoraggio delle query di ricerca di Google con lo scopo di creare pagine web “ad hoc” contenenti le informazioni più spesso ricercate da parte degli utenti. In questo modo, non appena un’interrogazione venga introdotta nel motore di ricerca di Google con una frequenza elevata, gli script PHP sono in grado di produrre contenuti “ad hoc” scalando rapidamente le SERP.
E’ quanto accaduto, anche di recente, nel caso della morte di Osama Bin Laden: a poche ore di distanza dall’uccisione del terrorista, sul web hanno iniziato a proliferare centinaia di pagine web che ad una prima analisi sembravano veicolare notizie sull’accaduto quando, in realtà, cercavano di sfruttare il clamore mediatico ingeneratosi per diffondere malware.
Le pagine web prodotte dagli script dannosi contengono di solito non soltanto dei testi ma anche immagini recuperate da altri siti. All’arrivo del crawler di Google – il software che “scandaglia” il web ed analizza i contenuti di tutte le pagine – lo script controlla l’indirizzo IP del client e l’user agent del sistema client. Stabilendo che la richiesta di visualizzazione della pagina malevola proviene da Google, lo script espone testi ed immagini pertinenti in modo da indurre il motore di ricerca ad indicizzarli normalmente. Nel caso delle immagini, Google provvederà ad aggiornare anche il suo archivio “Images“.
Non appena un utente cercherà delle immagini – con Google Images – potrebbe essere proposto un riferimento ad una o più pagine malevoli. Il tentativo d’attacco scatterà non appena si farà clic sulla miniatura di un’immagine: Google mostrerà l’immagine d’interesse al centro dello schermo mentre, in background, sarà caricato il sito web contenente tale elemento grafico. Lo script maligno preparato dagli aggressori, questa volta, stabilirà che la richiesta di connessione proviene da Google Images (consultazione del campo referrer) ed aggiungerà, nel codice HTML della pagina, un JavaScript che provvederà ad effettuare un reindirizzamento verso un sito web ospitante malware o “rogue software” (ad esempio, antivirus o software di sicurezza fasulli).