De afgelopen weken zijn duizenden gehackte websites gebruikt voor het "vergiftigen" van de Google afbeeldingen zoekmachine. De afbeeldingen linken naar websites, die internetgebruikers uiteindelijk weer doorsturen naar een pagina die een nep-virusscanner probeert te installeren.
De websites worden gehackt via gestolen FTP inloggegevens en voorzien van kwaadaardige PHP-bestanden, aldus beveiligingsonderzoeker Denis Sinegubko. Dat blijkt uit webmasters die malware op hun pc vonden en hostingproviders die de aanvallen in de FTP-logs opmerkten. De PHP-bestanden genereren de pagina's, die uit een combinatie van de populairste Google zoekresultaten en afbeeldingen uit de zoekmachine bestaan.
Deze pagina's worden met elkaar verbonden, zodat de Googlebot ze allemaal kan vinden. Ook gebruiken ze Googles gesuggereerde zoekopdrachten om links naar nieuwe spampagina's te genereren. "Deze eenvoudige opzet zorgt ervoor dat Google spam voor de eigen index genereert", aldus Sinegubko. Om Google de spampagina's te laten ontdekken, maken de criminelen gratis blogs aan, waar ze de links naar de spampagina's plaatsen.
Ironisch
Het kwaadaardige script op de spampagina detecteert dat een bezoeker via een zoekresultaat is langsgekomen en vervangt de spampagina door een kwaadaardig JavaScript, dat de bezoeker weer naar de pagina met de nep-virusscanner doorstuurt. De spampagina's worden alleen gegenereerd als de Googlebot ze indexeert.
Daarnaast gebruiken de criminelen drie Google-diensten voor het genereren van de spam. "In andere woorden, Google genereert spam dat de eigen index vergiftigt. Hoe ironisch!", aldus de onderzoeker. Die noemt de opzet de meest efficiënte manier om zoekmachineoptimalisatie voor kwaadaardige doeleinden te gebruiken. Inmiddels zouden de criminelen al meer dan vijfduizend gehackte websites voor hun doel inzetten.
Deze posting is gelocked. Reageren is niet meer mogelijk.