Buscar modelos en internet puede ser peligroso

El black hat SEO es la técnica más utilizada y efectiva para propagar falsos antivirus, los atacantes infectan sitios para aprovechar su poder de posicionamiento y así obtener visitas en sus páginas falsas.

En el siguiente ejemplo reportado ayer en el foro, todo comienza con una simple búsqueda en Google Imágenes:

buscando-modeloImagen infectada

La búsqueda simplemente es el nombre de una modelo, hasta aquí todo normal, sin embargo una de estas fotos se encuentra publicada en un sitio infectado.

Al hacerle clic para verla más grande los visitantes son redireccionados hacia una página falsa que simula un análisis del sistema:

analisis-falsoAnálisis falso

El diseño imita al entorno de Windows para confundir, si la víctima cree que las alertas son reales terminará descargando un antivirus falso que infectará su equipo:

descarga-programa-falsoSe descarga el programa falso

Análisis en VirusTotal: freesystemscan.exe (7/43)

Una vez que se ejecuta se muestra una ventana falsa que se parece a una alerta del antivirus de Microsoft, resulta muy convincente sobre todo si realmente se tiene el antivirus instalado y este no detecta el malware:

mse-ventana-falsaVentana falsa de Microsoft Security Essentials

Segundos después comienza la instalación del programa falso como si MSE lo estuviera recomendado, en este caso se llama Windows Safeguard Utility:

safeguard-utilityRogue Windows Safeguard Utility

Al igual que otras utilidades falsas se simulan detectar todo tipo de errores para que la víctima finalmente termine comprando una licencia. La ventana de compra también es falsa, parece ser una página segura abierta en el navegador, pero no lo es… al introducir los datos de la tarjeta terminan en las manos de los ciberdelincuentes:

ventana-compra-falsaVentana que roba los datos de la tarjeta

Eliminar el programa:

La forma más rápida y sencilla de eliminar esta clase de programas falsos es utilizar Malwarebytes. El problema en algunos casos es que el malware tiene la capacidad de bloquearlo e incluso, como se puede ver en la siguiente captura, mostrar una advertencia falsa para que el usuario crea que se trata de un programa malicioso:

malwarebytes-bloqueadoSe bloquea a Malwarebytes y se muestra una alerta

Para evitar esto simplemente hay que cambiarle el nombre al archivo de ejecución de Malwarebytes, tal como indican en su foro de ayuda. Una vez hecho esto la falsa utilidad será detectada y eliminada:

Malwarebytes-eliminadoMalwarebytes eliminando el programa falso

El sitio infectado:

Como comentaba al principio, la foto de la modelo se encuentra en un sitio legítimo que fue infectado. Los atacantes utilizan programas automáticos para crear en su servidor miles de páginas spam que abarcan un gran número de búsquedas, algunas logran obtener buenas posiciones.

En la siguiente captura se puede ver que aprovechan todo tipo de palabras claves, la búsqueda es un “site:URL + fotos” para ver cuantas páginas hay con la palabra fotos:

site-fotosFotos de todo tipo en el sitio infectado

Se puede ver que las páginas spam tienen un archivo .php en común que es el que las genera, realizando una búsqueda similar a la anterior se puede ver que han indexado bajo ese dominio más de 2 millones de páginas spam:

2-millones-spamMás de 2 millones de páginas spam indexadas

Eso son muchas páginas spam! en Alexa se puede ver el crecimiento del sitio en las últimas semanas, al parecer la infección comenzó a fines de abril:

alexa-spamEstimación del tráfico en el sitio infectado

Optimización del ataque para imágenes:

Las páginas están optimizadas para aprovechar los buscadores de imágenes como Google Images, tal vez porque es más fácil posicionarse o de mejores resultados para infectar.

Todas las páginas tienen 3 o 4 fotos y enlaces hacia otras páginas spam dentro del mismo sitio:

pagina-spam-fotosTodas las páginas spam tienen la misma estructura

Este es el código fuente:

codigo-fuente-spamCódigo fuente de las páginas spam

spam-pagina-fuente
Gracias Federico por el aviso en el foro.

Ver también:
¿Dónde queda Uruguay? (BlackHat SEO).
Imagen infectada + Java vulnerable = descarga oculta de troyano.Contenido extraído del sitio spamloco.net

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s