每个人都在谈论即将到来的iCloud，这个Apple最新的云服务产品。从乔布斯六月稍早在年度全球开发者大会（WWDC）中正式宣布，到最近的Apple商标官司，iCloud的确是一个当今快速上升的主题。在我们的研究过程中，我们发现了几个网络犯罪份子试图利用“iCloud”关键字来散播假杀毒软件（FAKEAV）的例子。

　　网络犯罪分子通常利用黑帽搜索引擎SEO Poisoning技术来让服务器连向假杀毒软件FAKEAV的恶意连结提高在搜索引擎的排名结果。这些Blackhat SEO技术利用Google来将使用者转向到恶意文件的下载。在今天的例子中，下载的文件名称为SecurityScanner.exe。

　　使用关键字 “iCloud mymobi”会出现一个可能的恶意网址。MyMobi 似乎是一个被入侵的提供小工具资讯的新闻网站。在上图中，域名mymobi.com曾经出现了扩展名.php3的恶意文件，并且加入了“iCloud”的关键字。在这次事件中，黑客将标题加入关键字以在google搜索中获得较高的网页排名来当做钓鱼诱饵，专门提供给流氓杀毒软件 – Windows Antispyware for 2012。

　　这些URL没有办法透过输入在地址列来加以访问，相反的，它们出现在Google搜索中。我们认为这是因为这网址需要透过Google重导才可以连上。然后它们会将使用者转址到一个在co.cc域名的FAKEAV网址。下载恶意软件的脚本跟其他典型的FAKEAV恶意软件下载脚本非常类似 。

　　执行下载的文件SecurityScanner.exe或TROJ_FAKEAV.HKZ会安装假杀毒程序 – XP Antispyware 2012，这程序包含一个注册按钮。当使用者按下这按钮，页面会被转址到一个在新建域名的钓鱼网站，包含了“选择计划和结帐”选项去购买XP Antispyware 2012。这个FAKEAV恶意软件还会封锁浏览器 – Internet Explorer (IE)和Google Chrome上网，除非使用者购买他们的产品。

　　因为我们知道使用者可能会去搜索有关iCloud的资讯，我们正在监控任何可能利用关键字“icloud”的FAKEAV网址与co.cc域名。我们看到了一些可能的搜索字眼，像是“what is apple cloud”或“what is icloud apple”但结果的排名都太后面了，影响不了多少用户。我们还在被入侵的网站看到有许多网页的文件名称包含“apple”和“icloud”，显示可能有大规模的入侵攻击来利用这些关键字。