Hoy me llegó un correo que simulaba ser enviado por Twitter, terminó en la bandeja de spam y si bien eso ya es razón suficiente para desconfiar, vale la pena comentar el caso dado que muchos usuarios se pueden ver tentados por mensajes similares.
Como se puede apreciar en la captura anterior, se hace referencia a la confirmación de una cuenta y se incluyen algunos links. Al hacer clic en cualquiera de ellos se abre la siguiente página:
A simple vista parece no hacer nada, simplemente muestra un mensaje en inglés que dice Por favor espere… cargando, sin embargo tras bambalinas están ocurriendo muchas cosas. Al mirar el código fuente se puede ver que contiene una serie de códigos extraños:
Se trata de un script ofuscado que carga por medio de un iframe una página maliciosa con exploits que buscan vulnerabilidades en el equipo para infectarlo de forma automática:
Esto significa que por el simple hecho de acceder a la página del mensaje «Please Wait… Loading» tu computadora se podría infectar sin que lo notes, es lo que se conoce como un ataque drive-by download.
Es por este tipo de situaciones que siempre se recomienda mantener el sistema operativo y todos los programas actualizados, principalmente los lectores de PDF como Adobe Reader, los navegadores y sus complementos Flash y Java. Estos suelen ser los más atacados.
Por supuesto, un buen antivirus siempre es de ayuda para bloquear los ataques pero si no aportamos nuestra parte -buenas prácticas y sentido común- tarde o temprano terminaremos infectados.
Ver también:
BlackHat SEO + Java vulnerable = descarga oculta de troyano.
Firefox + NoScript, una forma segura de navegar por internet.
Nota: si quieres analizar el código completo me lo puedes pedir por privado.
Es increíble el empeño que le ponen para hacer este tipo de cosas. La verdad que admiro a esta gente, no los que hacen una pagina con un aspecto similar a otra para engañar. Sino webs como este caso donde requiere un conocimiento avanzado de programacion y del funcionanmiento de los exploradores, etc.
Exelente articulo!
Saludos
¿que sucede si cierro rapido la pagina se deja de realizar los ataques a la pc o continuan aunque cierres la ventana?.Excelente articulo!
saludos.
Hola Andres, es posible que el navegador se tranque y no se pueda cerrar, como si se bloqueara.
Pero en caso de poder cerrarlo, se podría cortar el ataque si no pasó el tiempo suficiente.
Mira este video que publiqué hace poco: http://youtu.be/dMPHFaIQ3ls muestro algo similar, al abrir la página la computadora se infecta.
Por si alguno lo necesita, una herramienta sencilla de utilizar para desofuscar esa clase de códigos extraños es http://jsunpack.jeek.org
Simplemente se pega el script y enseguida se obtiene el resultado.