В Сети нашли три миллиона поддельных страниц YouTube

Фирма Zscaler объявила об обнаружении на просторах Интернета почти трех миллионов фальшивых страниц YouTube, цель которых — заставить пользователей загрузить поддельное антивирусное ПО. Согласно данным, опубликованным на официальном блоге Zscaler, все эти страницы проиндексированы Google и могут быть легко обнаружены поиском по ключевой фразе ”Hot Video”.

Каждая из найденных специалистами фирмы страниц содержит невидимый слой с элементами Flash, которые автоматически перенаправляют потенциальных жертв на страницу фальшивого антивируса. URL Flash-файла, расположенного на другом домене, скрыт с помощью javascript. Помимо этого, чтобы гарантировать индексацию подставных страниц, их создатели включают в HTML-код ссылки на такие известные и законопослушные ресурсы, как flickr.com, nasa.gov, google.com и другие.

Давайте посмотрим как всё происходит. Как правило, после того как пользователь вводил поисковый запрос, он попадает на страницу имитирующая точную копию знаменитого ресурса Youtube:


К сожалению, пользователь попадающий на эту страницу, сразу же будет перенаправлен на внешний сайт, тем самым, не успеет узнать что на странице нет ни одного видео-ролика, а всего-лишь несколько картинок. Хочу заметить, что для перенаправленния, злоумышленники использует javascript, так что, пользователи которые отключили javascript в своем браузере, не подвержены данной атаке. С другой стороны, поисковый бот тоже не будет знать о злонамеренных планах.

Попадая на тот самый внешний сайт, пользователь получает ложное сообщение о том что персональный компьютер находится под угрозой и настоятельно рекомендуется сканировать ПК на наличие вредоносных программ, нажимая кнопку «OK»:


В общем, не важно, будет пользователь нажать на «OK» или нет, всё равно так называемое сканирование, начнётся и без желания владельца ПК:


После завершения ”сканировании”, пользователь получит ложный ”отчёт”, в которым перечислены все найденные вредоносные программы:


После этого, желая закрыть окно, отказаться от ”лечении” или получить фальшивую защиту — пользователь автоматически получит инсталлятор. Единственное ошибка что остаётся, так это принять файл:


При запуске файла, ложный антивирус будет установлен автоматически, не задавая никакие вопросы (например создать ярлыки, выбрать папку и т.д.):


После установке, появиться уведомление предупреждая о том что на ПК найдены вредоносные программы и, для того чтобы удалить их, нужно зарегистрировать антивирус:


При попытке запустить фальшивый антивирус, сразу же начнётся сканирование:


В результате сканирования, опять-же, будут найдены несколько вредоносных программ:


При попытке удалить найденные вредоносные программы, а также, запустить другие ”средства для обеспечения безопасности”, пользователь получит следующие сообщение, уведомляя о том что нужно активировать продукт для лучшей защиты:


Стоит отметить, что фальшивый антивирус снабжён техподдержкой, а дизайн похож на 100% с другими аналогичными продуктами, описанные в статье Техподдержка — это не всегда хорошие парни.