Publicidad maliciosa en ICQ

Los últimos días recibimos varios informes de ordenadores infectados con un programa antivirus fraudulento (scareware). El nombre de este ejemplar en particular es Antivirus 8.

Lo interesante de estos casos es que aparecían ventanas emergentes del antivirus fraudulento en los ordenadores infectados cuando los usuarios no estaban usando el ordenador. Cuando analizamos el ejemplar notamos que estas ventanas emergentes aparecían justo cuando ICQ mostraba nuevos anuncios publicitarios.

Instalé ICQ y noté lo siguiente cuando lo dejé funcionar por unos minutos para que muestre anuncios:

Esta página está alojada en [snip]charlotterusse.eu.

El iframe agregado indica que el servidor de anuncios de esta tienda fue víctima de un ataque, ¿o no? En realidad no. Estudié el caso con un poco más de profundidad y descubrí que ninguno de los otros servidores tiene alguna relación con la marca de ropa Charlotte Russe.

Esto significa que alguien se tomó el trabajo de fingir que es esta tienda. Hizo esto para asegurarse de que el distribuidor de anuncios acepte trabajar con la tienda, ya que los estafadores siempre están asechando a los distribuidores de anuncios.

Sin embargo, lo que hace que este caso sea interesante es que los delincuentes fingen que su servidor fue víctima de un ataque. Al hacer esto, los criminales pueden decir que no son responsables por distribuir el programa malicioso. Sólo echan la culpa al “hacker” que atacó su servidor para que distribuya malware. Es probable que el distribuidor de anuncios sólo les llame la atención, lo que les da a los criminales al menos una oportunidad más para infectar ordenadores.

Este es otro ejemplo de cómo los criminales pueden utilizar programas de confianza para atacar a sus víctimas. Esto demuestra que la protección antivirus siempre es necesaria.

Enviamos una notificación a yieldmanager, el distribuidor de anuncios de este caso. Todavía no habíamos recibido una respuesta al momento de publicar esta entrada.