En estos días, y luego de las campañas de SEO llevadas adelante por los atacantes, hemos estado observando algunos casos de páginas web que se comportan distinto dependiendo del sitio que los referencie.
Este es el caso de algunas páginas que son visualizadas correctamente si se tipea la URL en el navegador pero, si se detecta que el usuario proviene de Google (es decir, que llego al sitio a través de una búsqueda), se inyecta un script dañino, que terminará llevando al usuario a un sitio de seguridad falso (rogue) o descargando un malware.
Para ver un ejemplo concreto veamos la siguiente imagen en donde un sitio determinado ha sido vulnerado agregando un script que verifica la procedencia del usuario a través de la etiqueta referer, la cual informa cual es el sitio web de donde proviene el usuario:
En este caso se "simuló" una navegación web (sin utilizar un navegador) a través de la herramienta wget y también se simuló que el usuario provenía de Google a través del modificador referer. Como puede verse en los enlaces subrayados, se ingresa a una serie de enlaces que el usuario no solicitó para terminar en sitios desde donde se descargan distintas variantes de Antivirus 2008 (variará con el tiempo).
Si verificamos la información a través del servicio de SafeBrowsing de Google, se nos informa de la misma situación:
Como ya mencioné, esto sólo sucede si el usuario proviene desde el buscador, pero si tipea la URL, no notará nada extraño e ingresará al sitio normalmente. Con esto los atacantes logran que cualquier usuario (no habitué del sitio) se infecte y además complica el análisis a los investigadores, que normalmente no notaríamos la modificación.
Como usuario no tenemos demasiadas herramientas para prever y/o prevenir este engaño ya que una vez más los creadores de malware han buscado una forma de pasar desapercibidos. Lo positivo es que la amenaza final (en este caso Adware y Rogue) es detectado por ESET NOD32 sin problemas, sólo tengamos cuidado al navegar y buscar.
Cristian
