Статьи → В Сети нашли три миллиона поддельных страниц YouTube
Фирма Zscaler объявила об обнаружении на просторах Интернета почти трех миллионов фальшивых страниц YouTube, цель которых — заставить пользователей загрузить поддельное антивирусное ПО. Согласно данным, опубликованным на официальном блоге Zscaler, все эти страницы проиндексированы Google и могут быть легко обнаружены поиском по ключевой фразе ”Hot Video”.
Каждая из найденных специалистами фирмы страниц содержит невидимый слой с элементами Flash, которые автоматически перенаправляют потенциальных жертв на страницу фальшивого антивируса. URL Flash-файла, расположенного на другом домене, скрыт с помощью javascript. Помимо этого, чтобы гарантировать индексацию подставных страниц, их создатели включают в HTML-код ссылки на такие известные и законопослушные ресурсы, как flickr.com, nasa.gov, google.com и другие.
Давайте посмотрим как всё происходит. Как правило, после того как пользователь вводил поисковый запрос, он попадает на страницу имитирующая точную копию знаменитого ресурса Youtube:
К сожалению, пользователь попадающий на эту страницу, сразу же будет перенаправлен на внешний сайт, тем самым, не успеет узнать что на странице нет ни одного видео-ролика, а всего-лишь несколько картинок. Хочу заметить, что для перенаправленния, злоумышленники использует javascript, так что, пользователи которые отключили javascript в своем браузере, не подвержены данной атаке. С другой стороны, поисковый бот тоже не будет знать о злонамеренных планах.
Попадая на тот самый внешний сайт, пользователь получает ложное сообщение о том что персональный компьютер находится под угрозой и настоятельно рекомендуется сканировать ПК на наличие вредоносных программ, нажимая кнопку «OK»:
В общем, не важно, будет пользователь нажать на «OK» или нет, всё равно так называемое сканирование, начнётся и без желания владельца ПК:
После завершения ”сканировании”, пользователь получит ложный ”отчёт”, в которым перечислены все найденные вредоносные программы:
После этого, желая закрыть окно, отказаться от ”лечении” или получить фальшивую защиту — пользователь автоматически получит инсталлятор. Единственное ошибка что остаётся, так это принять файл:
При запуске файла, ложный антивирус будет установлен автоматически, не задавая никакие вопросы (например создать ярлыки, выбрать папку и т.д.):
После установке, появиться уведомление предупреждая о том что на ПК найдены вредоносные программы и, для того чтобы удалить их, нужно зарегистрировать антивирус:
При попытке запустить фальшивый антивирус, сразу же начнётся сканирование:
В результате сканирования, опять-же, будут найдены несколько вредоносных программ:
При попытке удалить найденные вредоносные программы, а также, запустить другие ”средства для обеспечения безопасности”, пользователь получит следующие сообщение, уведомляя о том что нужно активировать продукт для лучшей защиты:
Стоит отметить, что фальшивый антивирус снабжён техподдержкой, а дизайн похож на 100% с другими аналогичными продуктами, описанные в статье Техподдержка — это не всегда хорошие парни.