El Mundial de Futbol 2010 ya te puede infectar

Hace pocos minutos hemos encontrado casos en donde si el usuario realiza búsquedas sobre el Mundial de Fútbol 2010, a realizarse en Sudáfrica a partir del próximo mes, es enviado a sitios falsos que intentan infectarlo. Es decir que ya se están utilizando técnicas de BlackHat SEO para posicionar estos sitios en un buen lugar en el buscador, de forma de infectar a millones de usuarios interesados en este evento pronto a comenzar.

Si el usuario realiza alguna búsqueda relacionada a la temática, en algunos casos recibirá como resultados sitios maliciosos, como es el caso presentado en la siguiente imagen donde los primeros cuatro resultados enlazan a páginas web creadas para propagar malware:

 

En el ejemplo brindado, si el usuario hace clic en los enlaces y visita los sitios, será direccionado a páginas web que realizan falsas exploraciones sobre el sistema, una técnica utilizada para la propagación de rogue.

 

Nótese que si el usuario accede al la dirección URL que aparece en los resultados de búsqueda de forma manual, el mismo es direccionado al sitio web de la CNN, ya que la visita no proviene de Google:

Esta es una estrategia para dificultar la detección del sitio web malicioso, al que sólo puede llegarse a través de los resultados en los buscadores.

Y qué pasa cuando un ordenador se infecta con un FAKE AV/ROGUE:

Hace pocas horas informábamos sobre el riesgo de realizar búsquedas sobre el mundial de futbol 2010 y ahora mostraremos algunas consecuencias de una infección de este tipo.

El primer signo que el usuario nota en cualquier infección con rogue es la aparición de alertas visuales o auditivas en forma permanente sobre supuestas infecciones que son falsas pero además existen otras consecuencias menos visibles y que mostramos a continuación y que están relacionadas con las ganancias de los delincuentes.

¿Qué sucede si el usuario, luego de infectarse, realiza otra búsqueda en Internet?
Si sólo analizamos el tráfico de Internet, en la siguiente imagen se puede ver que el usuario ingresa a Google, realiza su búsqueda y al hacer clic sobre uno de los resultados, supuestamente ingresa al sitio seleccionado (http://www.histori[ELIMINADO]ville.org):

En realidad ese sitio lo conduce a http://xpgh1s.[ELIMINADO].pl y ese a otro distinto (http://ww3.coantys-55d.[ELIMINADO].pl):

Y este a otro (http://[ELIMINADO].18.192.30):

Y este finalmente a otro (http://find[ELIMINADO].com):

Este sitio dice ser un buscador pero sólo mostrará un resultado, que como es evidente nada tiene que ver con la búsqueda original sino que se trata de un sitio de venta de productos farmacéuticos.

Finalmente se puede apreciar con claridad la intención de la infección original: llevar al usuario a este tipo de sitios para que adquiera un producto, lo cual representa un ingreso de dinero para el delincuente.
 Fuente

Comentario:
Ello es lo habitual con los Rogue y FakeAV básicos, pero los hay que además ejecutan un downloader que se cuida de descargar otros malwares en el ordenador …
saludos

ms, 24-5-2010

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies