Webseite „PornTube 2.0“ vertreibt falsche Antiviren-Software

Nahezu 30.000 YouTube-Videos enthalten Videoanmerkungen mit Links zu infizierten Webseiten. Dies melden die Sicherheitslabore von Panda Security. Diese Links verweisen auf die vermeintlich legale pornographische Webseite „PornTube 2.0“, die derzeit zur Verbreitung von falscher Antiviren-Software genutzt wird.

YouTube geriet bereits Ende Februar dieses Jahres unter Beschuss einer ähnlichen Attacke. Auch damals waren insbesondere die User betroffen, die das Videoportal gezielt nach pornographischem Material durchsuchen. Dafür zeichneten sich dieselben Urheber verantwortlich, die im Vorfeld auch schon das Social-News-Portal Digg.com im Visier hatten. Das massive Aufkommen des aktuellen, so genannten „MalSpams“ (Malware-Spam) deutet darauf hin, dass die Urheber in diesem Fall auf professionelle Tools zur automatisierten Verbreitung nutzten. So ordneten die Online-Kriminellen ihren Links gezielt häufige Suchbegriffe zu, wie zum Beispiel Porn, Sex, Latina, Tit’s oder die Namen diverser Berühmtheiten aus dem Pornographie-Geschäft.

Die gezielte Orientierung an gängigen Suchbegriffen ermöglicht den Kriminellen deutlich bessere Infektionsraten.

Der Klick auf einen dieser Links führt die User auf die Webseite „PornTube 2.0“ .

Dort stehen verschiedene, pornographische Videos zum Download bereit. Dafür wird aber zunächst ein Update eines gefälschten Adobe Flash Players gefordert. Dies enttarnten die Sicherheitsexperten der Panda Security-Labore als „Privacy Center“, eine falsche Antiviren-Software .

Immer mehr Cyber-Kriminelle manipulieren Suchmaschinenergebnisse für die Verbreitung ihrer Schädlinge. Als besonders alarmierend gilt laut Aussage von Panda Security der jüngste Missbrauch des Konzerns Ford Motor Company. Der beliebte Suchbegriff dient aktuell über 1,2 Millionen manipulierten Webseiten als Köder für den Vertrieb falscher Antiviren-Software.

MSAntispyware 2009: Ein neues Beispiel der Malware-Verbreitung

Anwender, die derzeit den Ergebnissen einer Sucheingabe zu Ford folgen, laufen große Gefahr, auf eine gefälschte Adresse zu klicken. Von dort aus werden sie direkt auf eine manipulierte Webseite weiter geleitet, wo ein Video zum Download angeboten wird. Folgen die Anwender dieser Anweisung, werden Sie parallel und unbemerkt das Programm MS AntiSpyware 2009, herunterladen, das die Panda Experten als Schadstoffprogramm Adware/MSAntiSpyware2009 enttarnten. 

Blackhat SEO (Search Engine Optimization)-Attacke

Eine erfolgreiche Malware-Infektion kann über Webseiten kann oft nur dann stattfinden, wenn der Anwender genau dorthin gelockt wurde. In der Vergangenheit diente dazu in der Regel der massenhafte Spam-Versand mit Neugier weckenden Betreffzeilen. Doch die Gefahr solcher E-Mails rückte bei den Anwendern immer mehr ins öffentliche Bewusstsein. So erfinden Cyber-Kriminelle ständig neue Methoden, neue Opfer zu generieren. Mehr und mehr greifen sie dabei auf die illegale Manipulation von Suchmaschinen, so genannter Blackhat SEO-Attacken, zurück. Tools wie zum Beispiel Google Trends verschaffen den Kriminellen einen Überblick der beliebtesten Sucheingaben des Tages. Aus diesen Ergebnissen kreieren sie dann eine Seite, der sowohl die meist gesuchten Begriffe enthält als auch Videos, die den jeweiligen Themen entsprechen. Bei kommenden Suchanfragen wird diese manipulierte Seite aufgrund der hohen Trefferquoten in den oberen Ergebnissen gelistet und ist für den „normalen Anwender“ von den regulären Treffern nicht zu unterscheiden.

Weiterführende Informationen zeigt ein Video  auf dem PandaLabs Blog.