В прошлом месяце компания Websense зафиксировала атаку, жертвами которой пали
около 40 000 сетевых ресурсов. Она получила название
Nine-Ball — по
имени одного из сайтов, на который переадресовывались пользователи. В результате
на машины посетителей таких сайтов в случае обнаружения на них соответствующих
уязвимостей устанавливалась троянская программа, которая, в свою очередь,
загружала из Сети другое вредоносное ПО.
Глава антивирусного подразделения компании SecureWorks Джо Стюарт обнаружил,
что среди прочих опасных программ троян Nine-Ball устанавливал другую троянскую
программу, предназначенную для мошеннического использования рекламных ссылок,
которую в SecureWorks называют "FFsearcher" (по имени одного из сайтов,
участвующих в схеме).
По словам Стюарта, FFSearcher способен перехватывать результаты поисковых
запросов Google как из Internet Explorer, так и из Firefox. Троян использует API
"Adsense for Search" от Google, который позволяет сайтам размещать результаты
поисковых запросов вместе с рекламой Google AdSense. Размещая окно поиска Google
Custom Search на своем веб-сайте, его владельцы имеют возможность зарабатывать
на рекламе. Если посетитель ресурса для поиска воспользуется этим окном, а затем
кликнет по одному из рекламных баннеров, то за такой переход сайт получит
небольшие комиссионные отчисления.
Авторы FFSearcher перенаправляют поисковые запросы, которые жертвы трояна
делают через Google.com, на свой сайт, причем делается это таким образом, что
для самой жертвы данный процесс остается незамеченным. Полученные в итоге
результаты запроса отображаются на скомпрометированной машине так, как будто
получены они были напрямую от Google.com, кроме того, в адресной строке
пользователь тоже видит адрес Google.com, а не адрес подконтрольного хакерам
сайта.
Прелесть данной атаки заключается в том, что она остается незаметной для
пользователя, а сами поисковые запросы злоумышленниками не подменяются. Их цель
в другом – они заставляют Google выплачивать комиссионные отчисления, которые в
обычном случае он платить не должен.
Впрочем, разоблачить хакеров все же можно – в перехваченном ответе на
поисковый запрос не содержится указания на общее число страниц, содержащих слова
запроса. Кроме того, об инфекции можно догадаться и по другим признакам, так как
FFSearcher – это лишь одна из многих вредоносных программ, которые устанавливает
троян Nine-Ball.
Добавим лишь, что представители Google подтвердили блокировку аккаунтов,
связанных с участвующими в мошеннической операции сайтами (i-web-search.com,
ffsearcher.com, и my-web-way.com). Тем не менее, Стюарт утверждает, что
мошенники имеют возможность менять имена сайтов и аккаунты Adsense "на лету".
Полная версия его работы доступна по
этому адресу.