El sitio web más grande de Suecia está distribuyendo malware

Esta semana ha sido para mí una de las más frenéticas en mucho tiempo; he estado trabajando noche y día para pulir cada detalle de la Cumbre de Analistas de Kaspersky Security. No tenía ganas de más trabajo porque mis días ya eran demasiado largos y ocupados. Pero cuando estaba saliendo de mi casa para dejar a mis hijos en casa de sus abuelos, suena el teléfono: era Magnus Lindkvist, experto en seguridad de Microsoft en Suecia. Siempre es un placer saber de Magnus, pero esta vez noté un tono diferente en su voz, no tenía ganas de conversaciones superfluas y me preguntó sin rodeos si tenía un ordenador cerca. ¡Me entusiasmó la idea de que algo interesante podría estar pasando! ¡Entraba en acción otra vez! 🙂

Como investigador de seguridad, siempre tengo al menos un ordenador encendido. Magnus me dijo que el sitio web más grande de Suecia, Aftonbladet, estaba propagando malware. Sin perder tiempo, encendí mi equipo virtual, ejecuté Chrome y abrí el sitio web. Pero no pasó nada… ¿por qué? ¿Era una broma de Magnus? Pero Magnus me dijo por teléfono: “Debes usar Internet Explorer”.

La publicidad maliciosa que se estaba ejecutando en Aftonbladet también tenía un script para revisar el navegador, tal vez para evitar infecciones falsas, y sólo funcionaba cuando se ejecutaba Internet Explorer. Cuando visitas Aftonbladet con Internet Explorer, te redirigen a otro sitio web, hxxp://[CUT].windowsdefence-sn.nl. En esta página aparece una imagen estática de una alerta falsa de Microsoft Security Essentials que dice que se han detectado virus en tu ordenador y debes solucionar el problema. La imagen no es de una herramienta de Microsoft Security Essentials, sino de algo que los cibercriminales crearon para asustar a la gente a la que están infectando. Es una táctica muy común de los escritores de virus. Cuando pulsas en la imagen no arreglas nada, sino que caes en la trampa de los delincuentes y descargas el archivo malicioso. El archivo es un ejecutable ofuscado de Visual Basic y seguimos analizándolo.

Primero me pregunté: ¿será que esto es importante? Aftonbladet eliminó el anuncio malicioso muy pronto y la amenaza no explotaba ninguna vulnerabilidad, era un simple truco de ingeniería social. Pero creo que esta es una historia que hay que contar. La mayoría de los usuarios creen que están a salvo si navegan en sitios con buena reputación, pero este es un caso claro de que no es así. El sitio web más grande de Suecia estaba propagando malware, no porque haya sido hackeado, sino porque alguien compró o comprometió los anuncios del sitio. Los sitios web grandes a menudo incluyen contenido de otros sitios. Por ende, si los cibercriminales comprometen cualquiera de ellos también pueden manipular el contenido del sitio web más grande.

Mientras escribo esto no se con exactitud qué clase de ataque lanza el código malicioso, pero aun así quiero alertar a todos sobre esta amenaza. ¡Por favor mantengan su protección actualizada! También me gustaría incitar a Aftonbladet a que informe a sus lectores si cualquiera de sus sitios está infectado y propagando malware en vez de sólo eliminar el problema en silencio. Esto sería de gran ayuda porque estoy seguro de que mucha gente se pregunta si su ordenador está infectado y si la infección sigue vigente.
¡Muchísimas gracias a Magnus Lindkvist de Microsoft por avisarnos sobre este problema!