Hackers misbruiken duizenden Wordpress blogs om Google Afbeeldingen te vervuilen. Door populaire afbeeldingen in een gehackte site te injecteren, scoort een gehackte site hoog in de zoekmachine. Als een gebruiker op een afbeelding klikt, komt hij of zij in eerste instantie op een pagina terecht die bij de website lijkt te horen, inclusief lay-out.

Op die pagina staan een aantal thumbnails van afbeeldingen. Wanneer een gebruiker op zo'n kleine afbeelding klikt, wordt hij doorgestuurd naar een website waar hem een valse virusscanner wordt opgedrongen.

Honderdduizenden pagina's

De Russische beveiligingsonderzoeker Denis Sinegubko ontdekte de grote hack. Hij stelt dat op vrijdag al 4.358 weblogs waren gekraakt. Over het algemeen hebben de hackers op iedere website zo'n honderd pagina's met thumbnails gegenereerd. Om de thumbnails authentiek te laten lijken, plaatsen de hackers ook de domeinnaam van de gekraakte site in de kleine afbeelding.

Omdat alles authentiek lijkt en de afbeeldingen goed te vinden zijn in Google, zullen gebruikers eenvoudiger doorklikken. Doen zij dat, dan worden ze eerst doorgestuurd naar een pagina die de gebruikte zoekwoorden op Google logt. Vervolgens redirect die pagina hen naar de plaats waar de scareware wordt opgedrongen.

Virusscanners misleiden

De doorstuurpagina die slechts zoekwoorden logt, verandert iedere dag. Volgens Sinegubko zijn deze pagina's ook onderdeel van gekraakte Wordpress blogs. De pagina waar de scareware te vinden is, heeft ook een locatie die dagelijks verandert. De domeinnaam lijkt gegenereerd en heeft het toplevel domain .in. Het subdomein bestaant altijd uit update of scan, gevolgd door twee cijfers.

De aanvallers gebruiken dagelijks een andere domeinnaam om aan filters zoals Google Safe Browsing te ontsnappen. Het wisselen van domeinnamen gaat volgens de beveiligingsonderzoeker niet altijd goed. Hij is al situaties tegengekomen waarin er wel een subdomein aanwezig was maar geen domeinnaam.

Ook de scareware die de cybercriminelen is erg geavanceerd en verandert regelmatig. De Russische beveiligingsonderzoeker geeft op basis van de online scanner VirusTotal aan dat de huidige versie door slechts 18,6 procent van de virusscanners wordt herkend. Dat verbetert volgens hem normaal gesproken tot zo'n 50 procent voor versies die inmiddels niet meer worden gebruikt. De kans dat een argeloze gebruiker besmet wordt is dus groot, omdat ook de download betrouwbaar lijkt.

Onbekend hoe de hack werkt

Hoe de hackers de Wordpress weblogs precies hebben gekaapt durft Sinegubko niet te zeggen. Veel besmette sites hadden de nieuwste versie van Wordpress geïnstalleerd en bovendien werden niet alle weblogs op dezelfde server noodzakelijk gepakt. De Rus vermoedt dat het kwetsbare script timthumb.php er iets mee te maken heeft. Dit script wordt ironisch genoeg gebruikt om afbeeldingen op een website on the fly te verkleinen.

Beveiligingsbedrijf Sophos maakte vorige week bekend dat dit script met verkeerde instellingen misbruikt kan worden om websites te besmetten. Het is mogelijk dat iets vergelijkbaars in dit geval gebeurt. Sinegubko vraagt websitebeheerders wiens weblog getroffen is contact met hem op te nemen. Met de logboeken wil hij achterhalen wat er exact gebeurt.