• Tweet

En el pasado se identificaron muchas páginas falsas en Youtube que redirigían a sitios fraudulentos de descarga de antivirus. Sin embargo, ahora se está observando una nueva variante en este fenómeno: Google ha indexado casi 3 millones de páginas con el texto "Hot Video" todas con vínculos a antivirus falsos. Yandex, un motor de búsqueda ruso, también arroja numerosos enlaces a estas páginas para obtener registros aleatorios. Pruebe la siguiente búsqueda en Google: inurl: "page.php- Page =" "video hot":

La falsa página de video Youtube está cubierta por una capa invisible de Flash y el objeto Flash automáticamente redirecciona al usuario a una falsa página de AV. Si el usuario tiene desinstalado Flash, la página resulta inofensiva. La dirección URL del archivo Flash, alojado en un dominio diferente, se oculta con JavaScript.

El contenido del spam, que se utiliza para asegurar que la página esté indexada en los motores de búsqueda, incluye un elemento invisible DIV empujado fuera de la pantalla. Contiene enlaces a otras páginas falsas de Youtube en el mismo sitio. Para hacer que el contenido tenga un aspecto más legítimo, la página incluye enlaces a sitios legítimos (por ejemplo, flickr.com, nasa.gov, etc.) e imágenes de sitios externos.

La falsa página de YouTube redirige a una falsa página de AV. Se utilizan varios dominios para alojar el falso software de AV, incluyendo www2.soft-analysis79.co.cc, www1.selfprotection20.co.cc, etc. Hay diferentes variaciones de la página.

Además de la gran cantidad de tales páginas maliciosas indexadas, y el hecho de que aparezcan en muchos resultados de búsqueda, el problema principal es que las páginas y sus cargas maliciosas útiles son virtualmente indetectables para las herramientas de seguridad regulares:

* Google Safe Browsing no bloquea la mayor parte de estas páginas (se ha intentado, e incluso en Firefox un 90% no están bloqueadas), y los falsos dominios AV no se detectaron.

* ¡La tasa de detección entre los proveedores de anitivrus es sólo del 11%!

Este tipo de amenaza es diferente al habitual Balckhat spam SEO: el mismo contenido se muestra tanto al usuario como al motor de búsqueda, y por lo tanto se puede acceder directamente a la página, sin hacer clic en los resultados del motor de búsqueda.

Debido a que la página "Hot Video" utiliza tanto Javascript y Flash ocultos, es más difícil para los escáneres de seguridad detectarlas.