BlackHat SEO + Java vulnerable = descarga oculta de troyano

Hace unos días comentaba una de las formas en que Java es utilizado para infectar y hacía hincapié en la importancia de mantenerlo actualizado o bien no tenerlo instalado si es algo que no se suela usar. En relación a esto, el siguiente es un ejemplo de ataque BlackHat SEO que aprovecha Java para instalar un troyano.

Todo comienza con la búsqueda de una imagen en Google, al hacerle clic para verla más grande los usuarios son redireccionados a una página que intenta infectar sus equipos:

imagen indexada en sitio infectado
Imagen alojada en un sitio comprometido

Al hacer clic en la imagen se termina en la siguiente página:

troyano se descarga por java
Página maliciosa que descarga el troyano de forma oculta

La página carga un exploit que aprovecha una vulnerabilidad conocida de Java (CVE-2010-0840), si la versión instalada es vieja el exploit puede descargar y ejecutar cualquier archivo de forma oculta. En este caso la descarga es un troyano que permite controlar el equipo de forma remota.

Las víctimas lo único que ven es un falso error en la página y las más atentas notarán que Java se está ejecutando mientras la página está abierta, lo cual sumado al redireccionamiento anterior es demasiado extraño.

Esto sucede porque el sitio legítimo donde se encuentra la imagen fue vulnerado, los atacantes colocaron códigos para redireccionar a todos los visitantes que acceden desde un buscador como Google. Ocurre con todas las páginas e imágenes que están alojadas en el sitio, si se accede directamente no sucede nada y en equipos diferentes a Windows la redirección apunta a un sitio de citas.

Gracias Larissa por el aviso!

Ver también:
Constructor de páginas falsas + Java malicioso.

13 comentarios en «BlackHat SEO + Java vulnerable = descarga oculta de troyano»

  1. Hola, muchas gracias por tu recomendación ayer mismo actualice el Microsoft Security Essential y me funciono, en el análisis salió un troyano Rogue:Win32/FakenRean, parece que ya quedó eliminado. Un abrazo

    Responder
  2. @8, lo que tienes instalado es un antivirus falso.

    Descarga el programa MalwareBytes (www.malwarebytes.org) y realiza un análisis para eliminarlo.

    Cualquier cosa, pasa por el Foro para poder ayudarte mejor.

    Responder
  3. Hola, me pasó ayer, empezó un scan con el Essential y me aparecieron 29 virus en C, troyanos, hapy….., luego me apareció una pantalla para eliminar y me envió a otra pantalla donde decia que debía comprarlo, dí clic y por supuesto me enviaba a un formulario donde me pedía datos personales, inmediatamente me desconecté, como debo proceder ya que me salen todos estps archivos infectados, además me dice que es un ataque informatico.

    Responder
  4. Podrías postear las ventajas y desventajas de los siguientes exploradores y cual es el más conveniente o seguro?..
    Firefox, Internet Explorer, Chrome etc.?

    Responder
  5. :S que triste es estoo, ahora mi compu esta asi y nose que haceer ! me desespera lo leeeeeeeenta que es ! me decis como se hace para sacar el virus? y desinstalarlo ? :')

    Responder
  6. @Laura, es difícil saberlo porque a veces cuando Java se actualiza el icono aparece sólo.

    Lo mejor es que verifiques tu versión instalada, lo puedes hacer desde la misma página de Java… ahí te aparecerá un mensaje indicando si tienes la última versión o no.

    Si deseas desinstalarlo por completo, lo puedes hacer desde el Panel de control y la sección de desinstalar programas.

    Responder
  7. Ahora que lo mencionás, hace unos días me pasó algo parecido, me saltó el ícono del java sin razón aparente, sospeché y me desconecté pero demoraba bastante en hacerlo, esa demora puede tener algo que ver?

    Responder

Deja un comentario