Todos los días vemos nuevos ataques de BlackHat SEO, en los que los criminales envenenan los resultados de los motores de búsqueda (Google, etc.) para distribuir malware. Hoy hemos estado investigando otro de estos casos, con algunos términos relacionados con la Copa del Mundo de fútbol:

Poisoned search results
Al pinchar en cualquiera de los resultados, vas a una falsa página de Youtube:

Fake TouTube web
Como siempre, te dice que necesitas instalar unos códecs para poder ver el video. Por supuesto lo que te descargas no son códecs, sino un falso antivirus (el infame Adware/MySecurityEngine).

Mientras estudiábamos este ataque, nos hemos dado cuenta de que hay una carpeta llamada “image” y que no estaba protegida, por lo que podíamos ver todo su contenido… así que hemos echado un vistazo, sólo por curiosidad 馃槈

List of files

Entre todas estas imágenes, hay también algunos ficheros interesantes:

key.txt -> 8.000 términos de búsqueda, si los buscas en Google obtienes resultados que te llevan a páginas malware con malware.

Sites.txt -> 177 urls maliciosas usadas en el mismo ataque.

SiteMap.php -> Los términos de búsqueda del fichero Key.txt con links a las urls del fichero Sites.txt, con los términos de búsqueda como parámetros. Por ejemplo:

4

Este tipo de fichero (sitemap) is una herramienta común utilizada por webmasters para ayudar a Google a indexar mejor sus páginas web. Sin embargo, en este caso está siendo usado por los cibercriminales para conseguir un mejor “page rank” (las paginas con mayor page rank son las que quedan entre los primeros resultados de búsquedas). Cada vez que el bot de Google visita este SiteMap.php, la página generada cambia, incluyendo siempre todas las urls maliciosas pertenecientes a este ataque con diferentes combinaciones de todos los términos de búsqueda como parámetros. Teniendo 177 sitios diferentes haciendo lo mismo, apuntándose las unas a las otras continuamente, hace que tengan un mejor page rank, por lo que tendrán una posición mejor en los resultados de búsqueda.

Page.dot -> Plantilla de la falsa página de YouTube:

Fake YouTube web template
La URL donde está ubicado el falso códec no está en la plantilla, sino que se obtiene en tiempo real utilizando un script. Cada vez que un usuario visita la página, la plantilla se carga con los términos de búsqueda como parámetros y un script llamado we.php se ejecuta. En algunas ocasiones el ficheros php se encuentra ubicado en el mismo servidor, mientras que en otras está en servidores externos. Este fichero we.php devuelve la URL de donde hay que descargarse el malware.

Esto es todo lo que necesitan para lanzar un ataque de black hat SEO attack de forma automática. Si monitorizan Google trends para atacar los términos de búsqueda más utilizados por los usuarios, eso es todo lo que necesitan. Y ya lo están haciendo.

Gracias a Asier Martínez Retenaga por toda su investigación.