Хитрый способ, позволяющий хакерам оказываться на верху списка ответов поисковой системы Google, был обнаружен экспертами Malwarebytes. Киберпреступники распространяют вредоносные программы с помощью специального типа расширенных сниппетов – featured snippets.
Featured snippets в действительности являются блоком, содержащим полезные сведения, который отображается в ответ на вопрос, заданный пользователем. Поисковая система отображает короткий ответ на вопрос с приложенной к нему ссылкой. Например, пользователи достаточно часто видят такие сниппеты от новостных порталов или Wikipedia.
Эксперты Malwarebytes обнаружили, что featured snippets в последнее время привлекли особое внимание киберпреступников, охотно использующих этот инструмент. Например, специалисты выяснили, что хакерами был взломан венгерский спортивный сайт, а его featured snippet был использован для переадресации пользователей на веб-страницу, на которой предлагается купить со скидкой ключи от продукции Microsoft.
Когда пользователи обращали внимание на странности в поведении поисковой системы и пробовали напрямую посетить спортивный сайт путем набора его адреса в браузере, происходило перенаправление на веб-страницу, осуществляющую распространение набора эксплоитов Neutrino и вымогательской программы CrypMIC.
По словам исследователей, данный пример монетизации взломанного сайта злоумышленниками является показательным. Нельзя исключать, что этот сайт был взломан неоднократно с помощью независимых друг от друга автоматических атак, для проведения которых, вероятно, использовалась одна и та же уязвимость.
Больше всего эксперты удивились тому, что хакерам удалось перехитрить Google и заставить поисковую систему идентифицировать спортивный сайт, как портал, на котором содержится самый лучший и наиболее релевантный ответ на вопрос о ключах для Microsoft Office. Несмотря на то, что хитрости такого рода не являются редкостью в обычных результатах поиска, специалисты не предполагали, что обнаружат их в featured snippets.
По словам исследователей Malwarebytes, киберпреступники проявляют большой интерес к работающим на базе уязвимых CMS сайтам, контент которых уже присутствует в featured snippets.