作者:Paul Pajares( 趋势科技信息安全分析师)

每个人都在谈论即将到来的,Apple最新的云计算服务iCloud。从史蒂夫·乔布斯六月初在年度全球开发者大会中正式宣布,到最近的Apple商标官司,iCloud的确是一个当今快速蔓延的话题。在研究过程中,我们发现几个网络犯罪份子试图利用“iCloud”关键词传播假防病毒软件的例子。

网络犯罪分子通常利用黑帽搜索引擎优化技术让连向假防病毒软件的恶意链接提高在搜索引擎中的排名结果。这些黑帽搜索引擎优化技术利用Google将用户重定向到恶意文件的下载地址。在今天的例子中,下载的文件名为SecurityScanner.exe,已经被趋势科技确定为TROJ_FAKEAV.HKZ

使用关键词“iCloud mymobi”能找到一个可能的恶意网址。MyMobi似乎是一个被入侵的新闻网站,该网站主要提供小工具方面的信息。趋势科技之前因为检测到恶意活动而封锁了这个网站,但因为后来网站上清除了恶意内容,所以现在已经被解封。在上图中,mymobi.com这个域名下曾经出现了扩展名为.php3的恶意文件,并且加入了“iCloud”关键词。在这次事件中,黑客将标题加入关键词,这主要是为了在Google搜索结果中获得较高的网页排名,以此充当钓鱼诱饵,专门提供给假冒杀毒软件 –  Windows Antispyware for 2012使用。

这些URL没有办法通过直接在地址栏输入地址的方式访问,相反只能通过点击Google的搜索结果访问。我们认为这是因为这网址需要通过Google的重定向才能连上。然后它们会将用户转向到一个使用域名的假杀毒软件网址。恶意软件的下载脚本与其他典型的假杀毒软件下载脚本非常类似。

运行下载回来的SecurityScanner.exe文件,即TROJ_FAKEAV.HKZ,就可以安装假杀毒软件程序 – XP Antispyware 2012,这程序包含一个注册按钮。当用户按下这按钮,页面会被转向到一个不同域名的钓鱼网站,该网站上提供了“选择计划和结账”选项,可供用户购买XP Antispyware 2012。这个恶意软件还会封锁浏览器,主要是微软IE与Google Chrome的上网功能,除非用户购买他们的产品才能解封。

因为知道用户可能会搜索有关iCloud的信息,因此我们正在监控任何可能利用关键词“icloud”的假杀毒软件网址与域名。我们找到了一些可能的搜索关键字,例如“what is apple cloud”或“what is icloud apple”,但搜索结果的排名都太靠后,影响不了多少用户的正常使用。我们还在被入侵的网站找到了很多文件名包含“apple”和“icloud”字样的页面,这意味着可能有大规模的入侵攻击打算利用这些关键词。

 

@原文出处:Searches for iCloud Unveil FAKEAV

本文版权为趋势科技所有,对于非赢利网站或媒体转载请注明作者以及原文链接。谢谢合作!

爱趋势社区--下载/论坛/分享  http://www.iqushi.com

官方微博—拿礼品/分享最新IT资讯  http://t.sina.com.cn/trendcloud

趋势科技CEO:陈怡桦EvaChen的微博  http://weibo.com/evatrendmicro

Logo

华为开发者空间,是为全球开发者打造的专属开发空间,汇聚了华为优质开发资源及工具,致力于让每一位开发者拥有一台云主机,基于华为根生态开发、创新。

更多推荐