作者：Paul Pajares（ 趨勢科技 信息安全分析師）

每個人都在談論即將到來的，Apple最新的云計算服務iCloud。從史蒂夫·喬布斯六月初在年度全球開發者大會中正式宣布，到最近的Apple商標官司，iCloud的確是一個當今快速蔓延的話題。在研究過程中，我們發現幾個網絡犯罪份子試圖利用“iCloud”關鍵詞傳播 假防病毒軟件 的例子。

網絡犯罪分子通常利用黑帽搜索引擎優化技術讓連向假防病毒軟件的惡意鏈接提高在搜索引擎中的排名結果。這些黑帽搜索引擎優化技術利用Google將用戶重定向到惡意文件的下載地址。在今天的例子中，下載的文件名為SecurityScanner.exe，已經被趨勢科技確定為 TROJ_FAKEAV.HKZ 。

使用關鍵詞“iCloud mymobi”能找到一個可能的惡意網址。MyMobi似乎是一個被入侵的新聞網站，該網站主要提供小工具方面的信息。 趨勢科技 之前因為檢測到惡意活動而封鎖了這個網站，但因為后來網站上清除了惡意內容，所以現在已經被解封。在上圖中，mymobi.com這個域名下曾經出現了擴展名為.php3的惡意文件，并且加入了“iCloud”關鍵詞。在這次事件中，黑客將標題加入關鍵詞，這主要是為了在Google搜索結果中獲得較高的網頁排名，以此充當釣魚誘餌，專門提供給假冒殺毒軟件 – <wbr><em>Windows Antispyware for 2012</em>使用。</wbr>

這些URL沒有辦法通過直接在地址欄輸入地址的方式訪問，相反只能通過點擊Google的搜索結果訪問。我們認為這是因為這網址需要通過Google的重定向才能連上。然后它們會將用戶轉向到一個使用域名的假殺毒軟件網址。惡意軟件的下載腳本與其他典型的假殺毒軟件下載腳本非常類似。

運行下載回來的SecurityScanner.exe文件，即 TROJ_FAKEAV.HKZ ，就可以安裝假殺毒軟件程序 – XP Antispyware 2012 ，這程序包含一個注冊按鈕。當用戶按下這按鈕，頁面會被轉向到一個不同域名的釣魚網站，該網站上提供了“選擇計劃和結賬”選項，可供用戶購買 XP Antispyware 2012 。這個惡意軟件還會封鎖瀏覽器，主要是微軟IE與Google Chrome的上網功能，除非用戶購買他們的產品才能解封。

因為知道用戶可能會搜索有關iCloud的信息，因此我們正在監控任何可能利用關鍵詞“icloud”的假殺毒軟件網址與域名。我們找到了一些可能的搜索關鍵字，例如“what is apple cloud”或“what is icloud apple”，但搜索結果的排名都太靠后，影響不了多少用戶的正常使用。我們還在被入侵的網站找到了很多文件名包含“apple”和“icloud”字樣的頁面，這意味著可能有大規模的入侵攻擊打算利用這些關鍵詞。

<wbr></wbr>

＠原文出處： Searches for iCloud Unveil FAKEAV

本文版權為 趨勢科技 所有，對于非贏利網站或媒體轉載請注明作者以及原文鏈接。謝謝合作！

愛趨勢社區--下載/論壇/分享<wbr><wbr><a target="_blank">http://www.iqushi.com</a></wbr></wbr>

官方微博—拿禮品/分享最新IT資訊<wbr><wbr><a target="_blank">http://t.sina.com.cn/trendcloud</a></wbr></wbr>

趨勢科技CEO：陳怡樺EvaChen的微博<wbr><wbr><a target="_blank">http://weibo.com/evatrendmicro</a></wbr></wbr>

搜索iCloud,假殺毒軟件送上門