Probablemente, cuando lean esta entrada, muchos de nuestros lectores ya se habrán dado cuenta de un aviso que viene apareciendo desde hace días en la versión 2009 del sistema de mensajería instantánea más usado en todo el mundo, Windows Live Messenger. Este aviso nos indica que alguna de las características de este programa podrían no estar disponibles y se muestra tal que así:
La característica a la que se refiere es la de los enlaces activos, aquellos enlaces que podemos insertar en una conversación para que los usuarios con los que estemos hablando puedan acceder a su contenido con solo un clic. Desde hace bastantes años, este tipo de enlaces han supuesto un alto riesgo para los usuarios de Messenger y no son pocas las campañas de propagación de malware que se han aprovechado de los mismos. El mecanismo de propagación es sencillo y consiste en que el sistema infectado envíe sin conocimiento del usuario enlaces maliciosos a todos sus contactos, estos pulsan sobre ellos, se descargan y ejecutan el malware , se infectan y pasan a formar parte de esta cadena.
En esta ocasión y según informan los expertos de ESET Alexis Dorais Joncas y Pierre-Marc Bureau, en colaboración con John Scarrow de Microsoft, esta campaña de propagación de malware está propagando el gusano Win32/Slenfbot.AKD (Win32/Kryptik.HPD según la nomenclatura de ESET). Este gusano, como ya hicieron algunos con anterioridad, usa geo-localización para comunicarse con la víctima en su propio idioma e incluso puede llegar a enviar mensajes relacionados con noticias y sucesos ocurridos en el país de la víctima. Con estas técnicas, resulta mucho más fácil engañar a los usuarios para que pulsen en el enlace malicioso.
A continuación vemos un ejemplo de lo que sería un enlace malicioso propagado por este gusano. Si nos fijamos bien observaremos que se está usando un acortador de direcciones URL. Con este método, el gusano evita que se pueda saber, con tan solo un vistazo, a que dominio redirecciona el enlace, no pudiendo el usuario determinar si este es sospechoso con solo verlo.
Cuando la víctima abre el enlace, se muestra un falso reproductor de archivos de vídeo y una ventana emergente que nos invita a instalar una actualización de Flash Player. Como en otras ocasiones, esta actualización es falsa y lo que realmente descarga es el código malicioso que hemos comentado. Asimismo, el malware se encuentra ubicado, como viene siendo costumbre últimamente, en una página legítima que ha sido comprometida.
Tal y como acabamos de ver, las técnicas clásicas de infección siguen utilizándose para infectar sistemas. No obstante, en esta ocasión Microsoft ha sabido reaccionar a tiempo deshabilitando lo opción que permitía el riesgo de infección con un solo clic. Esta característica ya ha sido modificada en la nueva versión de Windows Live Messenger 2011, que se empezó a distribuir hace unas semanas, y representa un gran avance en materia de seguridad. Desde el laboratorio de ESET en Ontinet.com recomendamos a los usuarios actualizar a la versión más reciente del programa de mensajería instantánea de Microsoft o deshabilitar la opción que permite pulsar sobre cualquier tipo de enlace en versiones anteriores.
Josep Albors