Una búsqueda de fotos de Kate Middleton, la futura esposa del príncipe de Inglaterra, puede terminar con el equipo infectado si no se tiene cuidado.
En la siguiente captura se puede ver una imagen en los resultados de Google que se encuentra en un sitio infectado, al hacer clic los usuarios son redireccionados a páginas falsas que intentan propagar troyanos:
Una de las páginas falsas simula ser de Firefox y ofrece una supuesta actualización para el navegador (firefox-update.exe), el archivo en realidad es un troyano:
Esa no es la única página fraudulenta que utilizan en este ataque, otra simula ser una actualización de Flash, si se observan las URLs de los sitios se notará que no son legítimas e intentan parecerse a Firefox y Adobe+Eset, de ahí el nombre v11_flash-AV.exe del archivo malicioso:
Curiosamente el sitio infectado parece ser de una empresa inglesa que repara computadoras y ofrece soluciones IT, esta es una parte del script que utilizan para redireccionar a los visitantes:
Si se accede directamente no sucede nada, pero si se accede desde un buscador como Google o Bing se ejecuta la redirección que dependerá del navegador Internet Explorer o Firefox, también envían a los usuarios de Linux y Mac a una página de RSS.
Realizando una búsqueda de las páginas indexadas del sitio infectado me encontré con lo siguiente:
Se puede observar un patrón que se repite lang/lang.php?news=palabra-clave, cuando infectan un sitio los atacantes generan cientos de páginas automáticamente con textos, enlaces e imágenes, un ejemplo se puede apreciar en la anterior captura y la vista previa de Google.
De esta forma aprovechan la capacidad de posicionamiento que tiene el dominio infectado y logran aparecer en los primeros lugares para búsquedas que son populares, los atacantes también aprovechan servicios como Google Trends para saber en «tiempo real» qué está buscando la gente.
En la siguiente captura se puede ver que en el día de ayer las búsquedas relacionadas con Kate estuvieron on fire:
Algo simular sucedió con Uruguay durante el mundial y es que en realidad está sucediendo todo el tiempo.
Es un dolor de cabeza para Google y una amenaza importante para los usuarios, pues muchas veces los ejecutables que propagan son malwares nuevos, recién salidos del horno, y no son detectados por los antivirus aunque las heurísticas de algunos pueden marcarlos como elementos sospechosos.
Un análisis en VirusTotal realizado ayer revela la baja tasa de detección que tenían estos archivos:
– firefox-update.exe http://www.virustotal.com/file-scan/report.html?id=079df02f055ec42bc919b6679a7ebbf27a2252bd170666e3c3df03ecd0e8b4aa-1289955812
– v11_flash_AV.exe http://www.virustotal.com/file-scan/report.html?id=0cee029fe27a296b36d2ccad0bbd4d4a3d87340a6c39269c355c68841251598d-1289955905