Os TrendLabs observaram que criminosos digitais empregam o mecanismo de busca Blackhat a fim de criar páginas de entrada para o cavalo de troia Fakeav. Internautas são induzidos a clicar em links maliciosos, por meio do conteúdo copiado de outros sites legítimos e populares, de assuntos em destaque facilmente identificáveis no Google Trends ou Twitter. Os redirecionamentos ajudam a ocultar as URLs reais da página de destino final, que hospeda os resultados da verificação falsa.

Tais páginas frequentemente são hospedadas em um site individual ou de algum provedor de hospedagem na Internet. Geralmente apresentam o seguinte formato: http://<nome do domínio>/<caminho>/arquivo.php?<chave>=<palavra buscada>. Vale lembrar que outras técnicas também são utilizadas para direcionar os usuários às páginas maliciosas. Em geral, fazem uma combinação das seguintes técnicas furtivas:

Direcionamento geográfico ou entrega por IP: Utiliza o endereço IP do usuário para determinar sua localização geográfica e fornecer um conteúdo específico para o local.

Escovação de blogs: Regularmente busca e copia o conteúdo de blogs por meio de um software automático.

Verificação da página referente: Garante que apenas os usuários direcionados pelos mecanismos de busca serão incluídos na cadeia de infecção e evita que analistas de segurança ou administradores de sistema identifiquem qualquer coisa mal-intencionada quando acessam diretamente uma página inicial.

Filtragem de agente-usuário: Distingue navegadores e realiza o download de conteúdo específico para o sistema operacional.

O Smart Protection Network, da Trend Micro, protege contra os ataques relacionados ao Fakeav, prevenindo o acesso a sites e domínios maliciosos. A ferramenta também bloqueia download e execução de arquivos maliciosos.