Эксперты компании Malwarebytes обнаружили, что хакеры придумали хитрый способ, позволяющий им оказаться на самом верху поисковой выдачи Google. Злоумышленники используют для распространения вредоносного ПО специальный тип расширенных сниппетов: featured snippets.
Так называемые
featured snippets, фактически, представляют собой блок, содержащий полезную информацию, в ответ на заданный пользователь вопрос. Поисковик приводит краткий ответ на вопрос, а также присовокупляет к нему ссылку из топа обычных поисковых запросов. Так, к примеру, мы часто видим такие сниппеты от Wikipedia или новостных сайтов.
Аналитики Malwarebytes
выяснили, что в последнее время featured snippets заинтересовали злоумышленников, которые охотно ими пользуются, ведь это гарантирует стабильный и высокий трафик. К примеру, эксперты обнаружили, что хакеры взломали венгерский спортивный сайт и использовали его featured snippet, чтобы перенаправить пользователей на сайт, где «со скидкой» продают ключи от продуктов Microsoft. Изображение ниже наглядно иллюстрирует схему атаки.
Более того, если пользователь замечал странность и пытался зайти на спортивный сайт напрямую, набрав его адрес в браузере, его перенаправляло на страницу, распространяющую эксплоит кит Neutrino и заражающую посетителей вымогателем CrypMIC.
«Это хороший пример того, как злоумышленники могут монетизировать взломанный сайт несколькими путями. Вполне вероятно, что в данном случае сайт вообще был взломан несколько раз, независимыми друг от друга автоматическими атаками, возможно, даже через одну и ту же уязвимость», — пишут исследователи.
Но самое странное в этой истории – тот факт, что хакеры сумели обмануть Google и заставили поисковик рассматривать оригинальный спортивный сайт, как ресурс, содержащий лучший релевантный ответ на вопрос о ключах для Microsoft Office. Хотя подобные хитрости не редкость в обычных результатах поиска, эксперты не ожидали обнаружить их во featured snippets.
Исследователи Malwarebytes пишут, что злоумышленники могут буквально охотиться на сайты, чей контент уже фигурирует во featured snippets. По понятным причинам хакеров особенно интересуют ресурсы, работающие на базе уязвимых CMS. Если взлом сайта удается, далее мошенники действуют по вышеописанной схеме.
https://xakep.ru/2016/08/03/hacked-featured-snippets/