Panda Security wykryła strony internetowe do promowania fałszywych programów antywirusowych w wyszukiwarkach. Witryny te wykorzystują informacje oferowane przez Google Trends. Analizy wykazały także, że szkodliwe serwisy internetowe oferują różne treści w zależności od sposobu, w jaki użytkownicy docierają do danej strony. Dawniej ofiary wabiono na niebezpieczne strony za pomocą spamu. Ostatnio cyberprzestępcy zaczęli stosować nowe sposoby wabienia ofiar. Jeden z nich polega na wykorzystaniu narzędzia .
Po uzyskaniu danych o najpopularniejszych frazach i tematach danego dnia, cyberprzestępcy tworzą blog z różnymi powiązanymi materiałami wideo, których oglądniecie wymaga zainstalowania “kodeków”. Te działania pozwalają uplasować fałszywą stronę na wyższej pozycji w wyszukiwarce.
Atakujący uciekają się także do sposobów znanych jako Black Hat SEO. Są to nielegalne techniki pozycjonowania, niezgodne z zasadami ustanowionymi przez twórców wyszukiwarek i polegają na stosowaniu alternatywnej treści lub wpływaniu na odczucia użytkowników.
Cyberprzestępcy stosują coraz bardziej zaawansowane sposoby przeprowadzania ataków. Na przykład niektóre ze złośliwych witryn zachowują się inaczej i prezentują różne treści w zależności od pochodzenia odwiedzającego je użytkownika.
W celu ukrycia ataku cyberprzestępcy stosują skrypt, który określa pochodzenie odwiedzającego. Jeżeli użytkownik wprowadzi adres URL witryny którą chce odwiedzić, na pasku adresu przeglądarki prezentowana jest prawidłowa treść. Jeżeli jednak użytkownik korzysta ze zmanipulowanych wyników wyszukiwarki Google, zostanie przeniesiony na szkodliwą witrynę www.
Laboratorium PandaLabs wykryło witrynę www MSAntispyware 2009, która reprezentuje nowy przykład zastosowania techniki Black Hat SEO. Zazwyczaj strony sprzedające fałszywe programy antywirusowe (zarówno te, które zawierają określone znaczniki, jak i pozostałe) są tworzone w taki sposób, aby ich pozycja w wyszukiwarkach była jak najwyższa.
Jednak w przypadku witryny wykorzystywanej do dystrybucji MSAntispyware 2009 sytuacja wyglądała zupełnie inaczej. Wszystkie znaczniki i procesy zaprojektowane zostały w taki sposób, aby strona .
Celem takiego postępowania było znaczne utrudnienie analitykom złośliwego oprogramowania oraz producentom zabezpieczeń działań mających udaremnić infekcje z wykorzystaniem blokowania adresów URL.
