Inicio > Malware, Noticias > ¿Bing poisoning?

¿Bing poisoning?

Las técnicas de Google poisoning o Google image poisoning son más que conocidas. Consisten en comprometer una página y hacer que se comporte diferente según de donde venga la visita. Los atacantes añaden código en la web para comprobar el “Referer”. Si el visitante viene de Google, es redirigido a alguna página de spam o malware. Si no, la página se muestra sin problemas. De esto ya hablé en el artículo con el celebrado título Elefantes que defecan malware. Lo curioso es que esta mañana me he encontrado con un caso que creía “Bing poisoning”… pero al final no. Buscando en estos momentos “economía for dummies” en Google, acabas en esta web:
La página está comprometida. En este caso, en vez de un script en JavaScript, parece que le han introducido un 302 que lleva a la web maliciosa. Como ya sabemos, estas páginas suelen fijarse en el Referer como condición para redirigir, así que lo comprobamos con la cadena “google”.No funcionaba. Devolvía la página original. Extraño. Después de varios intentos infructuosos, comprobamos que, con Bing y otros buscadores, sí que funciona la redirección.

¿Estamos ante un “Bing poisoining”? ¿Se ha vuelto tan popular el buscador de Microsoft que han obviado a Google y se han centrado solo en Bing? No, evidentemente. Después de inspeccionar el tráfico, comprobamos que, para la redirección, los atacantes no solo tienen en cuenta el dominio google, sino también un parámetro concreto. “sa”. Solo con ese parámetro, más “google.com” en la cadena de Referer, se produce la redirección.

Investigando, comprobamos la utilidad del parámetro. Al parecer controla el “Search engine results page”, o sea, cómo se usa la página de resultados de búsqueda. Esto quiere decir que solo funciona si de verdad has buscado esos términos en Google, y se ha elegido uno de los resultados. Parece que no sirve para GoogleBot o cualquier otro uso en el que se incluya solo “google” en el Referer.

 

Así que en realidad, se trata de un pequeño refinamiento en el comportamiento con (y solo con) el buscador de Google y no un cambio de tendencia…

 

Fuente: Blueglass

 

Anuncios
Categorías:Malware, Noticias Etiquetas: ,
  1. Aún no hay comentarios.
  1. No trackbacks yet.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s