McAfee предупреждает об опасности сайтов с текстами песен

Александр Панасенко 03 Июня 2009 - 14:08

...

В среднем один «лирический» сайт из двадцати является носителем инфекции. В некоторых случаях страница с результатами поиска оказывалась «зараженной» на 25%. Специалисты McAfee выяснили, что это самая опасная категория поиска.

Исследователи проанализировали 2 658 популярных ключевых слов, не имеющих отношения к порнографии: опасность сайтов «для взрослых» давно доказана, и возвращаться к этой теме не стоит. Список наиболее распространенных слов был сформирован на основе данных поисковых машин Google, Yahoo!, AOL, Ask и Hitwise. Кроме того, 12 сверхпопулярных ключевых слов были пропущены через Hitwise для выявления двадцати пяти самых популярных словосочетаний.

В итоге лишь 1,7% поисковых результатов оказались опасными. Помимо слова «lyrics» чаще всего стремились заразить компьютер сайты, которые откликались на поиск по слову «free».

Наиболее безопасными категориями ключевых слов названы термины, имеющие отношение к здравоохранению и экономике. Любопытно, что самым безвредным оказался поиск по слову «Viagra».

На Hitwise худшие результаты показало словечко «screensavers» — 34,4% страниц результатов поиска содержало зараженные сайты.

В каждой категории были также выявлены наиболее опасные слова и словосочетания: «stimulus checks» в экономической категории, «free music downloads» в категории «free», «phentermine» в здравоохранении, «lyrics» в категории «lyrics», «lowest» в категории «shopping» и «zelda twilight princess walkthrough» в категории «Twilight», посвященной чрезвычайно популярному в США фильму.

В ходе исследования обнаружено, как обычно, несколько странных явлений. Например, аналитики не смогли устоять перед искушением упомянуть о том, что «www.google.com» было «прогуглено» почти пять миллионов раз в течение последних двенадцати недель 2008 года. Кроме того, наблюдателю может показаться, что ему просто морочат голову: в строку поиска слишком часто забиваются слова вроде MySpace, weather.com, hotmail.com и msn.com.

PDF-отчет можно найти здесь.

Источник

Следующая главная новость »

Коммерческие и гибридные SOC: что выбрать бизнесу в 2026 году?
Регистрируйтесь на эфир!

Екатерина Быстрова 15 Апреля 2026 - 09:04

Трояны Домашние пользователи

Под видом Telegram-клиентов и игр орудуют Chrome-аддоны для кражи аккаунтов

Исследователи из Socket Threat Research Team обнаружили в Chrome Web Store крупную кампанию с 108 вредоносными расширениями, которые маскировались под вполне безобидные инструменты — от Telegram-клиентов и переводчиков до игр, надстроек для YouTube и TikTok.

По оценке Socket, суммарно эти расширения успели набрать около 20 тысяч установок.

Схема выглядела так: пользователь устанавливал расширение, получал рабочий интерфейс — например, боковую панель для Telegram или простую игру, — а в фоне уже работал вредоносный код.

Все 108 расширений, как утверждают исследователи, были завязаны на единую управляющую инфраструктуру cloudapi[.]stream, через которую операторы собирали похищенные данные.

Чтобы не бросаться в глаза, кампания была разнесена по пяти разным «издателям»: Yana Project, GameGen, SideGames, Rodeo Games и InterAlt. На первый взгляд это выглядело как набор независимых разработчиков, но анализ кода показал, что вся эта история, скорее всего, управлялась одним оператором. Дополнительным признаком общей координации Socket называет использование всего двух проектов Google Cloud для OAuth2-инфраструктуры у десятков расширений.

Одним из самых опасных расширений исследователи назвали Telegram Multi-account. По их данным, оно крало активную веб-сессию Telegram из браузера жертвы и отправляло её на сервер злоумышленников каждые 15 секунд. Фактически это позволяло поддерживать почти непрерывное «зеркало» чужого аккаунта.

Но Telegram был не единственной целью. По информации Socket, 54 расширения собирали данные об аккаунтах Google через OAuth2-механизмы. Сами токены, как отмечается, могли не покидать браузер, но злоумышленники использовали их, чтобы получить постоянные идентификаторы жертв: адреса почты, имена и уникальные account ID.

У 45 аддонов исследователи нашли функцию, которая при каждом запуске браузера связывалась с сервером и, если получала нужную команду, незаметно открывала в новой вкладке любой указанный URL. Это уже почти готовый бэкдор: через него можно подсовывать пользователю фишинговые страницы, редиректы или другой вредоносный контент без явного взаимодействия с самим расширением.

Socket также отмечает технические признаки, указывающие на возможную связь кампании с Восточной Европой: в коде нашли русскоязычные отладочные строки, а в одном из файлов политики конфиденциальности — адрес поддержки с упоминанием Киева.

Коммерческие и гибридные SOC: что выбрать бизнесу в 2026 году?
Регистрируйтесь на эфир!