MalwareIntelligence es un sitio dedicado a la investigación sobre todas las cuestiones relacionadas con criminología informática, seguridad de la información en general y seguridad antimalware en particular, siempre desde una perspectiva estrechamente relacionado con el campo de inteligencia.

24.5.10

Campaña de BlackHat SEO por el trigésimo aniversario de PAC-MAN

Recientemente el legendario videojuego PAC-MAN ha cumplido 30 años de existencia y Google ha lanzado una campaña en su homenaje colocando un banner que permite, incluso, jugarlo.

Sin embargo, no solo Google saca provecho de esto sino que los delincuentes informáticos también, que vieron en esta campaña una nueva oportunidad de ataque y han puesto en marcha otra campaña pero de propagación de malware a través de BlackHat SEO (también llamado SEO Poisoning).

Algunos otros parámetros de búsqueda pueden ser:

pac man 30th anniversary game
pac man 30th anniversary games
pac man 30th anniversary google
pac man 30th anniversary high score
pac man 30th anniversary play
pacman free online 3d
pacman free online addicting games
pacman free online download
pacman free online game for kids
pacman free online game
pacman free online no sound
pacman free online play
pacman free online with no sound
pacman game download
pacman game flash
pacman game for kids
pacman game for wii
pacman game free download
pacman game full screen

El tráfico de redireccionado a la descarga de scareware. En este caso, un binario con md5 4c9ac21a2730a5e6d8c8018afb517d5e que posee una tasa de detección muy baja: 6/41 (14.63%).


Entre los dominios que involucra la campaña se encuentran:

accu-riteaccounting.com
africanbynature.com
allisonleach.com
bobsclamhut.com
carolfleming.org
carolinasystemsinc.com
d3-store.com
delta-electronic.com
diningbythesea.com
drakeleisure.co.nz
fastripsnackatak.com
fbgartschool.com
gas-consult.com
generationbass.com
gjsdesigns.com
goedkopepc.net
hkiarchitects.com
houndshaveninc.com
hst1066.com
itech-on.pt
jaszmetal.hu
larsonguitar.com
nsc.eypgreece.org
okidouki.com
olivermurr.com
oneaccordclass.org
partrade.net
redhanded.ca
red-partner.com
regionalportauthorityofnwo.org
reillocile.com
reillychiro.com
reynared.com
roseguggenheimer.com
ruders.com
rufiocreative.com
runawaysnail.com
ryangruhn.com
ryanroghaar.com
sacredhaven.com
saevar.com
scxdigitalslots.com
seastromlaw.com
shop.infytel.com
sor-d2.com
s-teamexpert.com
tcgpage.com
tuneoutdropin.com
turtlesplayground.com
william-heise.com

Para lograr masificar la campaña y obtener un buen PageRank en Google, los delincuentes alojan en un servidor vulnerado una lista de páginas web con los títulos cuyas palabras que lo conforman son el objeto de búsqueda habitual. Estos archivos se encuentran en una carpeta oculta, en muchos casos llamada ".files".


Bajo este panorama y teniendo en cuenta que estas estrategias son ampliamente utilizadas para la propagación de malware, una practica muy buena es verificar en la raíz del posting la existencia de carpetas ocultas.

Información relacionada
Estrategia BlackHat SEO propuesta por Waledac
Propagación de Malware a través de sitios con formato de blogging y BlackHat SEO
Campaña de propagación del scareware MalwareRemovalBot

0 comentarios: