En estos momentos se encuentra activa una campaña de infección que a través de ingeniería social aplicada a la imagen del popular sitio PornTube, mediante la cual se propaga un código malicioso detectado proactivamente por ESET NOD32 a través de heurística como una variante de Win32/Kryptik.BFA, y cuyo vector de ataque, además de la página falsa, es su difusión a través de spam.

Los dominios utilizados en esta estrategia de infección son del estilo http://[ELIMINADO].in/PornoTube.php. Esta página realiza un Drive-by-Download redireccionando hacia un sitio falso de PornTube, desde la cual se descarga un binario llamado Lolita_Fuck_Movie_012.mpeg.exe (o similar). A continuación podemos ver un ejemplo:

Página de PornTube falsa

En nuestro Laboratorio de Análisis e Investigación hemos detectado al menos 100 sitios que están explotando esta metodología  y se estima que la cifra aumente en las horas sucesivas, por lo que se recomienda obrar con cautela evitando la visita a las páginas que presenten este formato, e implementar ESET NOD32 para detectar cualquier archivo dañino propagado.

Jorge Mieres
Analista de Seguridad