每个人都在谈论即将到来的iCloud,这个Apple最新的云服务产品。从乔布斯六月稍早在年度全球开发者大会(WWDC)中正式宣布,到最近的Apple商标官司,iCloud的确是一个当今快速上升的主题。在我们的研究过程中,我们发现了几个网络犯罪份子试图利用“iCloud”关键字来散播假杀毒软件(FAKEAV)的例子。
网络犯罪分子通常利用黑帽搜索引擎SEO Poisoning技术来让服务器连向假杀毒软件FAKEAV的恶意连结提高在搜索引擎的排名结果。这些Blackhat SEO技术利用Google来将使用者转向到恶意文件的下载。在今天的例子中,下载的文件名称为SecurityScanner.exe。
使用关键字 “iCloud mymobi”会出现一个可能的恶意网址。MyMobi 似乎是一个被入侵的提供小工具资讯的新闻网站。在上图中,域名mymobi.com曾经出现了扩展名.php3的恶意文件,并且加入了“iCloud”的关键字。在这次事件中,黑客将标题加入关键字以在google搜索中获得较高的网页排名来当做钓鱼诱饵,专门提供给流氓杀毒软件 – Windows Antispyware for 2012。
这些URL没有办法透过输入在地址列来加以访问,相反的,它们出现在Google搜索中。我们认为这是因为这网址需要透过Google重导才可以连上。然后它们会将使用者转址到一个在co.cc域名的FAKEAV网址。下载恶意软件的脚本跟其他典型的FAKEAV恶意软件下载脚本非常类似 。
执行下载的文件SecurityScanner.exe或TROJ_FAKEAV.HKZ会安装假杀毒程序 – XP Antispyware 2012,这程序包含一个注册按钮。当使用者按下这按钮,页面会被转址到一个在新建域名的钓鱼网站,包含了“选择计划和结帐”选项去购买XP Antispyware 2012。这个FAKEAV恶意软件还会封锁浏览器 – Internet Explorer (IE)和Google Chrome上网,除非使用者购买他们的产品。
因为我们知道使用者可能会去搜索有关iCloud的资讯,我们正在监控任何可能利用关键字“icloud”的FAKEAV网址与co.cc域名。我们看到了一些可能的搜索字眼,像是“what is apple cloud”或“what is icloud apple”但结果的排名都太后面了,影响不了多少用户。我们还在被入侵的网站看到有许多网页的文件名称??包含“apple”和“icloud”,显示可能有大规模的入侵攻击来利用这些关键字。