Monday, April 30, 2007

Malicious Keywords Advertising

Blackhat SEO's been actively abused by spammers, phishers and malware authors, each of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m contributing to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 efficiency of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 underground ecosystem. Comments spam, splogs, coming up with ways to get a backlink from a .EDU domain, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 arsenal of tools to abuse traffic acquisition techniques has a new addition - paid keyword advertising directly leading to sites hosting exploit code :

"Those keywords put cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 criminals' sponsored links at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 top of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 page when searches were run for brand name sites like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Better Business Bureau or Cars.com, using phrases such as "betterbusinessbureau" or "modern cars airbags required." But when users clicked on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ad link, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were momentarily diverted to smarttrack.org, a malicious site that used an exploit against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Microsoft Data Access Components (MDAC) function in Windows to plant a back door and a "post-logger" on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PC."

Here's anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r interesting subdomain that was using JPG images to "break cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 .exe extension ice" and redirect to anything malicious - pagead2.googlesyndication.com.mmhk.cn

What's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most cost-effective approach, yet cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most effective one as well when it comes to that sort of scheme? On a quarterly basis, a "for-cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365-masses" zero day vulnerability becomes reality. The fastest exploitation of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "window of opportunity" until a patch is released and applied, is abused by embedding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploit into high traffic web sites, or even more interesting, exploiting a vulnerability in a major Web 2.0 portal to furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r spread cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first zero day. Therefore, access to top web properties is a neccessity, and much more cost effective compared to using AdSense. I wouldn't get surprised to find out that hiring a SEO expert to reposition cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malicious sites is also happening at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time of blogging. Some details at McAfee's blog.

Despite cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 amateurs using purchased keywords as an infection vector, at anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r malicious url _s.gcuj.com we have a decent example of a timely exploitaition with _s.gcuj.com/t.js and _s.gcuj.com/1.htm using Microsoft's ANI cursor vulnerability to install online games related trojans - _t.gcuj.com/0.exe_ The series of malicious URLs are mostly advertised or directly injected into Chinese web forums, guestbooks etc. Here are some that are still active, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 majority of AVs thankfully detect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m already :

_cool.47555.com/xxxx.exe_
_d.77276.com/0.exe_
_www.puma163.com/pu/pu.exe_
_rzguanhai.com/server.exe_

The key point when it comes to such attackers shouldn't be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 focus on current, but racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r on emerging trends, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have to do with anything, but malicious parties continuing to use AdSense to direct traffic to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir sites in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 long term. Watch a video related to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacks, courtesy of Exploit Prevention Labs.