Cuando mi colega Fabio escribió sobre una campaña de malware fraudulento que atacaba a los usuarios de Mac, comencé a investigar un poco sobre el origen de estas campañas. Fue interesante ver que los analistas obtenían sus muestras buscando entre las imágenes de Google. Búsquedas diferentes siempre dirigían a los mismos resultados, lo que hizo que me preguntara: ¿Cuántos términos de búsqueda estarán alterados?
Era una pregunta interesante. Pero encontré la respuesta mientras leía otra investigación muy interesante de Unmask Parasites. Les recomiendo que, si pueden, lean la entrada, que está en inglés. En esencia, explica cómo miles de sitios han sido infectados con un método muy efectivo, que hace que los criminales puedan alterar los resultados de las búsquedas de imágenes. ¿Será que este método está relacionado con los antivirus fraudulentos para Mac?
Contacté al autor de la entrada, quien tuvo la gentileza de ayudarme a realizar mi propia investigación (¡Bravo, Unmask Parasites!). Estos son los resultados:
Cuando un usuario se conecta a un sitio infectado, lo redirigen a otro sitio, pero esto sólo se logra si se utiliza un motor de búsqueda como Google como referente en los parámetros:
hxxp://kdsqXXXXe.ce.ms/in.cgi?2&seoref=www.google.com&meter=$keyword&se=$se&ur=1&HTTP_REFERER=http%3A%2F%2FmatcXXXXnt.com.do%2F&default_keyword=default
Después, aparece un HTML malicioso con un código Javascript ofuscado; en este caso, explota la Vulnerabilidad de Validación HPC URLHelp Center URL (CVE-2010-1885). Si logra hacerlo, te redirigen a otro sitio para que descargues un archivo .jar que se hace pasar por un videojuego:
kniXXXXng.info/games/mario.jar
Por último, el archivo .jar intenta descargar un archivo .avi desde otro servidor:
216.XXX.XXX.202/pub/new.avi
Detectamos este archivo como Trojan.Win32.Delf.arsr. Pero lo más interesante es lo que ocurre cuando se inicia la cadena de infección con un usuario de Mac. En este caso, la táctica varía: Recibes un HTML con un javascript ofuscado con el siguiente resultado.
¡Eureka! Encontramos nuestra campaña de antivirus fraudulentos. El HTML se hace pasar por el resultado de un antivirus que se ejecuta en una interfaz de búsquedas. Si pulsas en “Eliminar Todas” (Remove All), descargas un archivo zip con un nombre aleatorio desde el mismo servidor. Estos archivos son variantes de los binarios del antivirus fraudulento del que mi colega Fabio habló en su entrada.
En este caso, la infección se realiza por medio de ingeniería social, ya que debes pulsar en el botón e instalar el archivo descargado. Pero la experiencia nos ha enseñado lo efectivo que es este método. ¡Cuidado! esta vez la campaña es masiva y los criminales pueden cambiar sus métodos de infección para lanzar un exploit, como hacen en Windows. Protege tu Mac, ¡Los buenos tiempos quedaron atrás!
Más antivirus falsos para Mac: esta vez atacan en masa