Une image peut valoir mille mots, mais une seule image numérique corrompue peut valoir des milliers de dollars pour les escrocs informatiques qui utilisent les faiblesses de la recherche d’images de Google pour imposer des logiciels malveillants à des internautes sans méfiance.
Pendant plusieurs semaines, certains lecteurs se sont plaints que cliquer sur les résultats de recherche Google Images les dirigeait vers des pages Web qui poussaient des logiciels malveillants anti-virus malveillants via des alertes et des avertissements de sécurité trompeurs. Mercredi, le Centre de tempête Internet SANS a publié une entrée de blog disant qu’eux aussi recevaient des rapports de recherches Google Image menant à de faux sites antivirus. Selon SANS, les attaquants ont compromis un nombre inconnu de sites avec des scripts malveillants qui créent des pages Web contenant les principaux termes de recherche de Google Trends. Les scripts malveillants récupèrent également des images de sites tiers et les incluent dans les pages indésirables avec les termes de recherche pertinents, de sorte que la page Web générée automatiquement contienne un contenu d’apparence légitime.
Un module complémentaire de Firefox en développement affiche des images malveillantes en rouge foncé.
Les robots de recherche d’images de Google finiront par indexer ce faux contenu. Si les utilisateurs recherchent des mots ou des expressions qui figurent en tête des principaux termes de recherche actuels, il est probable que les vignettes de ces pages malveillantes s’afficheront à côté d’autres résultats légitimes.
En tant que gestionnaire SANS Bojan Zdrnja explique, l’exploit se produit lorsqu’un utilisateur clique sur l’une de ces vignettes contaminées. « C’est là que se trouve la » vulnérabilité « », a écrit Zdrnja. « Le navigateur de l’utilisateur enverra automatiquement une requête à la mauvaise page qui exécute le script de l’attaquant. Ce script vérifie le champ référent de la requête et s’il contient Google (c’est-à-dire qu’il s’agit d’un clic sur la page de résultats dans Google), le script affiche un petit script JavaScript…[that] provoque la redirection du navigateur vers un autre site qui sert FakeAV. Google fait un travail relativement bon en supprimant (ou au moins en marquant) les liens menant à des logiciels malveillants dans les recherches normales, cependant, la recherche d’images de Google semble être en proie à des liens malveillants.
Denis Sinegubkoun chercheur russe de logiciels malveillants qui a été étudier les fausses campagnes anti-virus, a appelé cette tactique « le tour du chapeau noir le plus efficace de tous les temps » et a déclaré qu’il était extrêmement facile à mettre en place. Il a déclaré avoir reçu des journaux d’accès des propriétaires de plusieurs sites piratés et avoir utilisé les données pour estimer le trafic que Google envoie à ces fausses pages de recherche d’images. Sinegubko estime qu’il existe plus de 5 000 sites piratés et que le site moyen a été injecté avec environ 1 000 de ces fausses pages. La page moyenne reçoit un visiteur de Google environ tous les 10 jours, a-t-il dit, ce qui signifie que Google fait référence à environ un demi-million de visites à de faux sites antivirus chaque jour, soit environ 15 millions de visites chaque mois.
Par exemple, l’un des sites piratés Sinegubko a déclaré avoir vu les journaux d’accès pour se trouvait en Croatie ; Il avait un Classement de la page Google de zéro avant d’être compromis avec les faux scripts de recherche d’images. Les journaux ont montré que le site avait été piraté le 18 mars 2011 et que Google avait commencé à indexer les pages d’images contaminées le lendemain. « Au cours des 5 prochaines semaines, il a indexé plus de 27 200 pages de porte sur ce site », a-t-il écrit dans un poste de blogt sur ses découvertes. « Au cours des mêmes 5 semaines, Google Image Search a envoyé plus de 140 000 visiteurs sur ce petit site. »
Sinegubko développe un add-on pour Firefox qui peut signaler les résultats de recherche Google Image malveillants en plaçant une boîte rouge autour des images qui semblent renvoyer à des sites hostiles ; Les images entourées d’un cadre rose pâle sont lié à chaud et peuvent également être malveillants, a déclaré Sinegubko. J’ai testé l’add-on (qui n’est pas prêt pour une sortie publique) à la recherche de la pochette de l’album « Kaputt » du groupe canadien Destroyer. Comme vous pouvez le voir sur l’image ci-dessus, la plupart des images renvoient des liens vers des sites proposant de faux antivirus.
Sinegubko a déclaré que son analyse des scripts malveillants qui font tout le travail indique que les pages de spam sont créées lorsque les robots de Google tentent de les indexer. Chaque fausse page cible des mots-clés spécifiques, dans ce cas, le mot « destructeur ». Le script demande ensuite les résultats de saisie semi-automatique de Google pour le mot « destructeur », et on lui donne 10 mots clés suggérés. Le script inclut ensuite ces nouveaux mots clés dans les pages de spam sous forme de liens vers des « recherches associées » (par exemple, des liens vers « 23.php?q=destroyer-droid-start-wars », et les résultats dans l’image ci-dessus, « 23 .php?q=destroyer-kaputt-album-cover ». « Lorsque Googlebot suit ces liens, le script génère des pages de spam pour eux, en même temps il insère des liens vers de nouvelles recherches suggérées », a déclaré le chercheur dans un chat par messagerie instantanée. avec BreachTrace. « De cette façon, Google suggère de nouveaux mots-clés pour les pages de spam et crée automatiquement du spam et l’indexe. »
Plusieurs experts en sécurité ont suggéré des mesures spécifiques que Google pourrait prendre pour réduire le nombre d’escrocs utilisant Google Images, telles que le déplacement de sites qui relient les images à un classement beaucoup plus bas dans les résultats de recherche pour un terme donné.
porte-parole de Google Jay Nancarrow a déclaré que la société était au courant des attaques et qu’elle faisait « des efforts actifs pour améliorer à la fois la qualité des résultats et la détection des logiciels malveillants », mais a refusé d’être plus spécifique. « Nous nous améliorons, tout comme les personnes qui essaient de mettre les utilisateurs en danger, et dans l’intérêt de ces utilisateurs, il vaut mieux ne pas révéler tout ce que nous faisons à ce sujet. »
Les escroqueries antivirus escrocs reposent presque invariablement sur des scripts malveillants qui peuvent être bloqués par l’excellent Module complémentaire Noscript pour Firefox, qui vous permet de décider quels sites doivent être autorisés à exécuter des scripts. S’il vous arrive de tomber sur l’une de ces fausses alertes de sécurité antivirus, restez calme et évitez l’envie de cliquer pour vous en sortir. Au lieu de cela, appuyez simplement sur Ctrl-Alt-Suppr, sélectionnez le processus de navigateur que vous utilisez (firefox.exe, iexplore.exe, etc.) et fermez-le.
