Hace pocas horas informábamos sobre el riesgo de realizar búsquedas sobre el mundial de futbol 2010 y ahora mostraremos algunas consecuencias de una infección de este tipo.

El primer signo que el usuario nota en cualquier infección con rogue es la aparición de alertas visuales o auditivas en forma permanente sobre supuestas infecciones que son falsas pero además existen otras consecuencias menos visibles y que mostramos a continuación y que están relacionadas con las ganancias de los delincuentes.

¿Qué sucede si el usuario, luego de infectarse, realiza otra búsqueda en Internet?

Si sólo analizamos el tráfico de Internet, en la siguiente imagen se puede ver que el usuario ingresa a Google, realiza su búsqueda y al hacer clic sobre uno de los resultados, supuestamente ingresa al sitio seleccionado (http://www.histori[ELIMINADO]ville.org):

En realidad ese sitio lo conduce a http://xpgh1s.[ELIMINADO].pl y ese a otro distinto (http://ww3.coantys-55d.[ELIMINADO].pl):

Y este a otro (http://[ELIMINADO].18.192.30):

Y este finalmente a otro (http://find[ELIMINADO].com):

Este sitio dice ser un buscador pero sólo mostrará un resultado, que como es evidente nada tiene que ver con la búsqueda original sino que se trata de un sitio de venta de productos farmacéuticos.

Finalmente se puede apreciar con claridad la intención de la infección original: llevar al usuario a este tipo de sitios para que adquiera un producto, lo cual representa un ingreso de dinero para el delincuente.

Cristian Borghello
Director de Educación

Categories: Black Hat SEO, Malware, Rogue
5 Comments »

Hace pocos minutos hemos encontrado casos en donde si el usuario realiza búsquedas sobre el Mundial de Fútbol 2010, a realizarse en Sudáfrica a partir del próximo mes, es enviado a sitios falsos que intentan infectarlo. Es decir que ya se están utilizando técnicas de BlackHat SEO para posicionar estos sitios en un buen lugar en el buscador, de forma de infectar a millones de usuarios interesados en este evento pronto a comenzar.

Si el usuario realiza alguna búsqueda relacionada a la temática, en algunos casos recibirá como resultados sitios maliciosos, como es el caso presentado en la siguiente imagen donde los primeros cuatro resultados enlazan a páginas web creadas para propagar malware:

En el ejemplo brindado, si el usuario hace clic en los enlaces y visita los sitios, será direccionado a páginas web que realizan falsas exploraciones sobre el sistema, una técnica utilizada para la propagación de rogue.

Nótese que si el usuario accede al la dirección URL que aparece en los resultados de búsqueda de forma manual, el mismo es direccionado al sitio web de la CNN, ya que la visita no proviene de Google:

Esta es una estrategia para dificultar la detección del sitio web malicioso, al que sólo puede llegarse a través de los resultados en los buscadores.

Los usuarios de ESET NOD32 Antivirus pueden estar tranquilos ya que el sitio web es detectado por nuestras soluciones de seguridad, así como también es detectado el troyano como HTML/TrojanDownloader.FraudLoad.NAC:

En resumen, a menos de un mes del mundial de fútbol, los atacantes una vez más están aprovechando cualquier noticia que repercuta en un incremento en las búsquedas relacionadas, como ya ha ocurrido en otras oportunidades.

Por último, vale destacar que es de esperarse que esta temática siga siendo utilizada como estrategia para la propagación de malware mientras dure el mundial así que… ¡a cuidarse!

Actualización 21:00 hs: ¿Qué sucede en un sistema infectado con este rogue?

Cristian Borghello y Sebastián Bortnik
Laboratorio de ESET Latinoamérica

Categories: Alertas, Black Hat SEO, Malware, Malware en imágenes, Rogue
11 Comments »

Una nueva maniobra delictiva busca infectar usuarios a través de una metodología de ataque que involucra tecnología JAVA para llevarse a cabo.

El ataque es del tipo Java Drive-by-Download y consiste en manipular intencionalmente, y de forma maliciosa, una página web mediante la cual se puede simular la visualización de una imagen o un video en “forma automática”. A continuación vemos un ejemplo:

Mientras el usuario visualiza las imágenes, en segundo plano se genera y ejecuta un script que lleva a cabo el ataque mediante el cual se descarga y ejecuta uno o varios códigos maliciosos en el sistema. Si se observa el código fuente de esa página se puede ver la inserción del applet mencionado:

Esta modalidad ha adquirido relevancia luego de descubierta la vulnerabilidad 0-Day en JAVA y, al utilizar una plataforma independiente del sistema operativo, este ataque puede ser explotado no solo en sistemas operativos Windows, sino también en plataformas basadas en *NIX como distribuciones de GNU/Linux y Mac OS.

Si bien se podría decir que se trata de una variante más de ataque Drive-by-Download, lo cierto es que, aunque no se trate de una maniobra compleja, constituye una amenaza extremadamente peligrosa ya que un usuario podría terminar con su equipo infectado, por el solo hecho de acceder a la página web.

Entre las cosas que un atacante podría hacer a través de esta técnica, se encuentran, entre otros:

• Fusionar el ataque con Multi-Stage (encadenamiento de páginas maliciosas) para descargar malware desde otros servidores (vulnerados o no)
• Descargar y ejecutar automáticamente cualquier tipo de código malicioso (infección múltiple)
• Emplear la técnica en sitios web vulnerados y confiables

Sin lugar a dudas, cada vez somos más dependientes de Internet, no solo a nivel hogareño sino que también a nivel empresarial, ya que a través de la nube podemos estudiar, podemos informarnos sobre cualquier temática, podemos socializar virtualmente, podemos trabajar, y hasta generar negocios. Sin embargo, esta situación nos transforma en potenciales blancos de los delincuentes informáticos que buscan robar la información para cometer luego diferentes actividades delictivas que involucran directamente un lucro económico.

Por eso es fundamental mantener la seguridad del sistema implementando soluciones como ESET NOD32 que previene la infección de forma proactiva evitando los incidentes de seguridad generado por malware que emplee esta técnica.

Jorge Mieres
Analista de Seguridad

Categories: Alertas, Malware
5 Comments »