El aprovechamiento de agujeros de seguridad en webs legítimas para propagar malware por parte de los cibercriminales no es algo nuevo; de hecho, en este mismo blog hemos señalado varios casos. Hoy comentamos otra campaña de este tipo que hemos venido observando desde hace días en nuestros laboratorios.
Todo empieza con la recepción de un correo electrónico, el cual tiene como remitente alguna de las muchas cuentas de usuarios que han sido sustraídas con engaños. Desde estas cuentas se envía a todos sus contactos un simple mensaje con un enlace, tal y como vemos a continuación.
Este enlace se compone de dos partes. En la primera se observa la dirección de un sitio web que ha sido comprometido, muy probablemente por presentar vulnerabilidades. Los atacantes han ubicado el enlace que redirecciona al código malicioso en uno de los directorios donde se aloja la web.
Si pulsamos sobre el enlace, aparecerá un mensaje de alerta que nos debería sonar. En efecto, se trata del mensaje característico que muestran los falsos antivirus indicando que nuestro equipo contiene múltiples amenazas, y que nos invita a realizar un análisis gratuito y rápido de nuestro sistema.
Independientemente del botón que pulsemos, se nos abrirá una nueva ventana en el navegador que simula ser el clásico explorador de ficheros de Windows XP, y donde se realiza un supuesto análisis.
Como dato curioso, este malware detecta cuándo se visita el enlace malicioso desde un sistema operativo distinto a Windows y muestra una plantilla de farmacia online en lugar del falso análisis de nuestro sistema. La imagen que mostramos a continuación, por ejemplo, fue tomada en un sistema Linux.
Una vez ha finalizado el falso análisis, se nos muestra un resumen con las supuestas amenazas encontradas, ofreciéndonos a continuación la eliminación de estas amenazas si descargamos un archivo ejecutable.
Este archivo es el código malicioso en sí y es otra variante más de un falso antivirus, que no cesará de mostrar falsas alertas y descargar otro tipo de malware mientras sugiere la compra del falso producto al usuario infectado.
Normalmente, este tipo de amenazas se propagaban usando enlaces preparados y posicionados en los primeros puestos cuando se buscaba información sobre una noticia relevante en nuestro buscador web. No obstante, de un tiempo a esta parte, hemos visto cómo tanto los falsos antivirus, además de las farmacias online y otro tipo de engaños y estafas, se aprovechan de webs legítimas con vulnerabilidades para propagar sus creaciones, sabedores de que los usuarios bajan la guardia cuando se encuentran en una web en la que confían.
Como muestra, la web usada en este ejemplo presenta un aspecto prefectamente normal si introducimos su dirección en el navegador.
Una curiosidad que nos hemos encontrado al analizar este caso es que algunas de estas webs no solo estaban siendo usadas para distribuir malware, sino que también habían sufrido un defacement o modificación por algún atacante, como en este caso.
Casos como este nos debe hacer recordar que, si nos encargamos de mantener una web, es importante revisarla periódicamente en busca de posibles agujeros de seguridad. En el laboratorio de ESET en Ontinet.com hemos observado muchos casos similares a este, y no solo en webs personales o de pequeñas empresas. Empresas multinacionales y pertenecientes a importantes medios de comunicación también han sufrido este tipo de ataques, por lo que, como usuarios, es importante que mantengamos la guardia alta, independientemente de que nos encontremos en un sitio web de confianza o no.
Josep Albors