Icono del sitio SpamLoco

Buscar modelos en internet puede ser peligroso

El black hat SEO es la técnica más utilizada y efectiva para propagar falsos antivirus, los atacantes infectan sitios para aprovechar su poder de posicionamiento y así obtener visitas en sus páginas falsas.

En el siguiente ejemplo reportado ayer en el foro, todo comienza con una simple búsqueda en Google Imágenes:

Imagen infectada

La búsqueda simplemente es el nombre de una modelo, hasta aquí todo normal, sin embargo una de estas fotos se encuentra publicada en un sitio infectado.

Al hacerle clic para verla más grande los visitantes son redireccionados hacia una página falsa que simula un análisis del sistema:

Análisis falso

El diseño imita al entorno de Windows para confundir, si la víctima cree que las alertas son reales terminará descargando un antivirus falso que infectará su equipo:

Se descarga el programa falso

Análisis en VirusTotal: freesystemscan.exe (7/43)

Una vez que se ejecuta se muestra una ventana falsa que se parece a una alerta del antivirus de Microsoft, resulta muy convincente sobre todo si realmente se tiene el antivirus instalado y este no detecta el malware:

Ventana falsa de Microsoft Security Essentials

Segundos después comienza la instalación del programa falso como si MSE lo estuviera recomendado, en este caso se llama Windows Safeguard Utility:

Rogue Windows Safeguard Utility

Al igual que otras utilidades falsas se simulan detectar todo tipo de errores para que la víctima finalmente termine comprando una licencia. La ventana de compra también es falsa, parece ser una página segura abierta en el navegador, pero no lo es… al introducir los datos de la tarjeta terminan en las manos de los ciberdelincuentes:

Ventana que roba los datos de la tarjeta

Eliminar el programa:

La forma más rápida y sencilla de eliminar esta clase de programas falsos es utilizar Malwarebytes. El problema en algunos casos es que el malware tiene la capacidad de bloquearlo e incluso, como se puede ver en la siguiente captura, mostrar una advertencia falsa para que el usuario crea que se trata de un programa malicioso:

Se bloquea a Malwarebytes y se muestra una alerta

Para evitar esto simplemente hay que cambiarle el nombre al archivo de ejecución de Malwarebytes, tal como indican en su foro de ayuda. Una vez hecho esto la falsa utilidad será detectada y eliminada:

Malwarebytes eliminando el programa falso

El sitio infectado:

Como comentaba al principio, la foto de la modelo se encuentra en un sitio legítimo que fue infectado. Los atacantes utilizan programas automáticos para crear en su servidor miles de páginas spam que abarcan un gran número de búsquedas, algunas logran obtener buenas posiciones.

En la siguiente captura se puede ver que aprovechan todo tipo de palabras claves, la búsqueda es un «site:URL + fotos» para ver cuantas páginas hay con la palabra fotos:

Fotos de todo tipo en el sitio infectado

Se puede ver que las páginas spam tienen un archivo .php en común que es el que las genera, realizando una búsqueda similar a la anterior se puede ver que han indexado bajo ese dominio más de 2 millones de páginas spam:

Más de 2 millones de páginas spam indexadas

Eso son muchas páginas spam! en Alexa se puede ver el crecimiento del sitio en las últimas semanas, al parecer la infección comenzó a fines de abril:

Estimación del tráfico en el sitio infectado

Optimización del ataque para imágenes:

Las páginas están optimizadas para aprovechar los buscadores de imágenes como Google Images, tal vez porque es más fácil posicionarse o de mejores resultados para infectar.

Todas las páginas tienen 3 o 4 fotos y enlaces hacia otras páginas spam dentro del mismo sitio:

Todas las páginas spam tienen la misma estructura

Este es el código fuente:

Código fuente de las páginas spam


Gracias Federico por el aviso en el foro.

Ver también:
¿Dónde queda Uruguay? (BlackHat SEO).
Imagen infectada + Java vulnerable = descarga oculta de troyano.

Salir de la versión móvil