Desde ESET siempre hemos precavido a los usuarios sobre los peligros que supone pulsar sobre enlaces acortados que no sabemos hacia dónde nos redirigen. Esta técnica es usada a menudo por los ciberdelincuentes para engañarnos, incluyendo enlaces en emails o comentarios en redes sociales como Facebook o Twitter.
Por eso no nos extrañamos cuando nuestro compañero Paolo Monti, de la empresa Future Time, encargada de distribuir en exclusiva los productos de ESET en Italia, nos avisó que estaba detectando enlaces acortados sospechosos en los comentarios mejor posicionados de vídeos muy visitados en Youtube. Un ejemplo lo encontramos en uno de los vídeos del dj francés David Guetta:
Si nos fijamos, además de aparecer como uno de los mejores comentarios en un vídeo que ha sido visto por más de 9 millones de usuarios, este comentario tiene una serie de particularidades como el uso del símbolo @, utilizado en Twitter para hacer referencia a otro usuario. Esto nos hace pensar que esta campaña de propagación de enlaces cortos provenga de otra anterior empezada en Twitter y que aquellos que la están propagando no se han molestado en cambiar el texto.
Buscando un poco de información sobre la cuenta del usuario que supuestamente ha subido el enlace, y que pertenece a una niña de 14 años de Filipinas, parece que los datos de acceso fueron comprometidos y ahora está siendo usada por los delincuentes para propagar este tipo de enlaces.
Es posible que algún usuario, tras ver ese comentario como uno de los más valorados, decida seguir el enlace que podría redirigir a cualquier web, pero que, en esta ocasión, nos lleva a un sitio parecido al popular youtube-mp3.org (desde donde se pueden convertir vídeos de Youtube a archivos de audio .mp3) pero con muchos más banners de publicidad y botones que nos invitan a que pulsemos sobre ellos.
Una vez hemos accedido a este enlace, y en el caso de que usemos Firefox o Chrome como navegador, se nos avisa del intento de instalar una extensión sospechosa.
Este intento de instalar una extensión posiblemente maliciosa viene provocado por parte de un Javascript que se incluye en el código fuente de la página web y que podemos ver con detalle a continuación.
Según el análisis de nuestro compañero Paolo Monti, la extensión está escrita en Javascript y XUL, y no parece inofensiva precisamente, ya que instala un software de escucha que es capaz de interceptar cualquier solicitud HTTP mientras monitoriza las direcciones web que introducimos en el navegador.
Además de la extensión, hay varios botones en la web maliciosa que nos invitan a descargar todo tipo de software de dudosa utilidad y que podrían instalar aplicaciones adicionales como molestas barras de tareas en el navegador.
Esta campaña de propagación de enlaces sospechosos empezó hace pocos días y aún está por ver si evoluciona en algo más dañino, como una descarga directa de malware. De cualquier forma, el hecho de que estos enlaces se encuentren como destacados en vídeos muy populares debería ser suficiente para que nos mantengamos alerta y desconfiemos de los enlaces acortados de fuentes en las que no confiamos.
Josep Albors