Les pirates malveillants passent pas mal de temps à jouer avec les moteurs de recherche Internet dans le but de faire apparaître leurs sites chargés de logiciels malveillants sur la première page des résultats de recherche pour les sites chauds, nouvelles tendances les sujets. De plus en plus, cependant, les criminels informatiques prennent également des mesures pour empêcher les robots des moteurs de recherche d’indexer des pages Web légitimes qui ont été piratées et piégées avec du code hostile.
Géants de la recherche Yahoo! et Google chacun a des programmes automatisés qui explorent des millions de sites Web chaque semaine à la recherche de ceux qui hébergent du code malveillant. Lorsque les fournisseurs de recherche trouvent ces sites, ils ajoutent généralement un avertissement à la liste du site Web piraté dans les résultats de recherche, alertant le visiteur potentiel que le site pourrait être dangereux. Ces avertissements entraînent non seulement une diminution du nombre de personnes visitant les sites infectés, mais ils ont également tendance à alerter les propriétaires d’un site répertorié d’un problème de logiciel malveillant nécessitant une attention particulière.
C’est bien beau pour vous et moi, mais pas si merveilleux pour les méchants. À moins, bien sûr, que lesdits méchants aient prévu à l’avance, en insérant du code dans leurs sites piratés qui distribue du code malveillant à tout le monde, à l’exception des robots anti-malware automatisés déployés par les principaux fournisseurs de recherche.
C’est précisément ce que l’expert en sécurité David Dédé trouvé plus tôt ce mois-ci tout en analysant certains logiciels malveillants basés sur le Web.
« Donc, fondamentalement, le logiciel malveillant vérifiait si l’agent utilisateur provenait du bot Google ou Yahoo et ne renvoyait pas le logiciel malveillant dans ce cas », a écrit Dede, un expert en sécurité du Brésil qui gère le blog. Sucuri Sécurité. Pendant ce temps, les visiteurs réguliers des sites infectés ont reçu du Javascript malveillant qui a tenté d’imposer des logiciels malveillants, a découvert Dede.
Denis Sinegubkoun chercheur russe du blog DémasquerParasites.coma récemment documenté au moins deux exemples de logiciels malveillants cousus dans des blogs qui modifieront le site hôte pour masquer les redirections malveillantes des robots de recherche de Google.
« Et le fait que je puisse voir de nombreux blogs de ce type dans les résultats de recherche Google sans aucun avertissement montre que cette astuce simple fait son travail », a écrit Sinegubko.
Les experts en recherche de Google disent qu’ils sont conscients de ces types de techniques d’obfuscation et qu’ils les contrecarrent constamment.
Niels Provosingénieur logiciel principal chez Google, a déclaré que les cyber-escrocs essayaient fréquemment de jouer des deux côtés, en essayant d’empêcher les robots de recherche de trouver des logiciels malveillants intégrés dans des sites piratés, tout en jouant simultanément avec les robots des moteurs de recherche.
« Cela dure depuis un certain temps. Ce qui se passe, c’est que si un robot d’exploration Web arrive, [the attackers will configure the hacked site so that it] finit par montrer [trending content] ils obtiennent des sites d’information », a déclaré Provos. « C’est pour jouer le classement du contenu de la recherche. Mais si le visiteur arrive sur l’un de ces sites via un moteur de recherche, il finit par recevoir un code d’exploitation.
Provos a refusé de discuter des mesures spécifiques prises par Google pour lutter contre ces tactiques, notant que la lutte contre ces pirates de sites Web est une course aux armements constante.
« Souvent, ceux-ci visent simplement à rendre plus difficile pour quelqu’un de l’extérieur enquêtant sur ce genre de chose de trouver le mauvais code », a déclaré Provos. « Dans tous les cas, nous devons faire des ajustements de temps en temps, mais nous les contournons. »