Buscadores utilizados para difundir malware

Publicado: mayo 5, 2008 en Articulos, Vulnerabilidades

Desde hace un tiempo hemos reportado una “facilidad” de ciertos buscadores para permitir el redireccionamiento de sitios web y los riesgos que esto implica para los usuarios debido a que, confiando en un sitio conocido como cualquier buscador, no se sospecha del peligro que esto puede acarrear.

Supongamos que alguien recibe por correo la invitación para ingresar a la siguiente URL:

http://www.google.de/pagead/iclk?sa=l&ai=XXX&num=XXX&adurl=www.sitio-dañino.com

Como puede observarse, es una simple URL de Google pero que en realidad utiliza ciertos modificadores para redireccionar al buscador a otro sitio dañino. En condiciones normales, cualquier usuario no sospecharía de esa URL ni del buscador.

Sin embargo y como preveíamos, en las últimas horas hemos detectado un incremento de correo no deseado utilizando esta “facilidad” para engañar a los usuarios y descargar malware. En este caso se trata de una postal como la siguiente:

Postal falsa

Al hacer clic sobre la postal se redirecciona al usuario hacia la descarga un archivo yahoo.exe, con la siguiente URL:

Enlace

Este archivo es detectado por ESET NOD32 como TrojanDownloader.Banload.LHK el cual es un troyano que permite la descarga de otros malware.

Es importante remarcar que esta técnica puede ser utilizada en cualquier otro buscador que no utilice filtros apropiados en sus URLs.

Actualización 17:00 hs: en este momento la amenaza se sigue propagando, en aquellos equipos no protegidos, debido a que los dominios donde se encuentran los archivos ejecutables continúan activos y el buscador sigue redireccionando hacia esos sitios.

Fuente: blogs.eset-la.com

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s