V poslednom období sa spustil nový trend, kedy útočníci infikujú existujúce stránky za pomoci XSS, pričom sa snažia infikovať dôverčivých návštevníkov malwarom. Prípadov je čoraz viac a tak sa aj Google rozhodol bojovať s týmto trendom po svojom a to výstražným varovaním a zablokovaním vstupu.

Google už nejaký čas informuje užívateľov pred potencionálnym nebezpečenstvom pri navštívení infikovaného webu a taktiež pred časom pridal výstrahy pred phishingom. Google pridal nové informácie do výstražného okna, ktoré informujú nielen návštevníkov, ale aj majiteľov stránky, prečo bola zablokovaná a taktiež ponúkajú ďalšie riešenie. Celý systém je opätovne prístupný cez Safe Browsing API pre klientov ako Firefox, alebo Google Desktop. Týmto spoločnosť napomáha hlavne majiteľom infikovaných webov odhaliť skutočné dôvody, prečo bol ich web označený za problematický.

Google na svojej diagnostickej stránke zobrazuje štyri rozličné informácie. Google zobrazuje informácie len za posledných 90 dní.

• Aký je aktuálny stav stránky [stránka v query]
• Sú zobrazované informácie o aktuálnom stave stránky, ktorá je určená v query. V informáciách je zahrnutý stav stránky, teda či je považovaná za nebezpečnú, alebo nie a v prípade že je považovaná za nebezpečnú, koľkokrát bol na stránkach objavený nebezpečný kód za posledných 90 dní pri návšteve Google bota.
• Čo sa stalo keď Google navštívil stránky?
• V tejto časti sú zobrazované informácie z analýzy stránky, do akého dňa bola infikovanou, aký malware bol distribuovaný cez stránky. Aby Google pomohol odstrániť majiteľom a správcom webov malware, sú zobrazované aj informácie o tom, odkiaľ bol malware získavaný (väčšinou sú používané ďalšie stránky, z ktorých je nebezpečný kód sťahovaný) a ďalšie informácie o tejto stránke.
• Boli tieto stránky používané ako priamy distribútor malwaru?
• V tejto sekcii je zobrazovaná informácia, či boli stránky v query použité v posledných 90 dňoch pre distribúciu malwaru. Najčastejšie sú takýmito webmi reklamné a štatistické weby, ktoré bývajú infikované malwarom a ten ďalej distribuujú na rôzne weby.
• Bol na týchto stránkach priamo uložený malware?
• V poslednej sekcii je zobrazovaná informácia o tom, či stránky v query hostovali malware.
• Ako sa to mohlo stať?
• Piata sekcia je zobrazovaná len ako určitá pomôcka a to len vtedy, keď je stránka identifikovaná ako podozrivá. V tejto sekcii býva správa o tom, ako sa mohlo stať, že bol tento web infikovaný.

Na konci celej správy sú informácie, ako ďalej postupovať ako pre užívateľov, tak aj pre majiteľov stránok.

Hackeri sa v posledných týždňoch zamerali na úspešné existujúce weby, ktoré majú svojich návštevníkov, vďaka čomu nie je potrebné sa tak veľmi spoliehať na sociálne inžinierstvo. Väčšina užívateľov je totižto veľmi “povoľná”, ak sa jedná o dobre známe stránky. V takom prípade sú schopní bez rozmyslu potvrdiť akúkoľvek požiadavky. Za posledných pár týždňovou bolo takto infikovaných podľa servera Shadowserver viac ako 1.5 milióna webov. Nezávislí bezpečnostný výskumník Dancho Danchev dnes monitoruje už niekoľko desiatok webov, ktoré distribuujú malware. Ak však máte pocit, že sú tieto útoky namierené len na zahraničné weby vedzte, že aj lokálny blogeri sa stávajú obeťami týchto útokov. Naposledy sa tak “pošťastilo” Patrickovi Zandlovi, ktorí o tom včera informoval svojich užívateľov.

Google takto opäť zvýšil kvalitu ochrany svojich užívateľov a som celkom zvedavý, kedy ho budú ďalšie spoločnosti nasledovať. Diagnostická stránka je zatiaľ iba v angličtine a je veľmi otázne, či sa niekedy objaví aj v iných jazykoch. Ak sa chcete o celom systéme analýzy malwaru robotmi Googlu dozvedieť viac, prečítajte si technickú správu (pdf) vytvorenú pracovníkmi spoločnosti.

(via)

Žiadne príbuzné články neboli nájdené.