Un bot con casi un millón de víctimas suplanta resultados de búsquedas

Según investigadores rumanos, el malware para Windows detectado por Bitdefender como Redirector.Paco infectó en medio año más de 900 000 equipos (direcciones IP), sobre todo en India, Malasia, Grecia, EE.UU., Italia, Paquistán, Brasil y Argelia. El objetivo principal de este troyano es redireccionar las solicitudes de búsqueda de la víctima y suplantar los resultados de la búsqueda por publicidad que genera ganancias a sus operadores.

Softpedia escribe, citando a los expertos, que Paco apareció en las inmensidades de Internet a mediados de septiembre de 2014. La infección empieza cuando el usuario descarga una versión adulterada del paquete de instalación de un programa popular: WinRAR, YouTube Downloader, Connectify, KMSPico o Stardock Start8. Para hacer que su presencia sea permanente, el programa malicioso agrega a la lista de tareas programadas versiones falsas de Adobe Flash Scheduler y Adobe Flash Update, con lo que garantiza la ejecución de los componentes maliciosos (scripts) cada vez que el usuario entra al sistema, o según un horario programado.

Uno de estos componentes modifica los parámetros de conexión a Internet del usuario activo, y para hacerlo, primero desactiva el caché del servidor proxy. Como resultado, cada vez que el usuario envía una solicitud a Google, Bing o Yahoo, el malware la envía a un archivo PAC (configuración automática del proxy) ubicado en un sitio web remoto. Guiándose por el contenido del archivo PAC, el navegador remite el tráfico a otra dirección. El efecto de todas estas manipulacines es que a la víctima se le muestran páginas falsas, generadas por el sistema de búsqueda personalizada de Google (Custom Search Engine) instalado en los sitios web de los delincuentes.

Para que al usar HTTPS el sistema no muestre una advertencia de error, uno de los componentes del troyano descarga e instala en el equipo un certificado raíz, que genera localmente certificados SSL para presentar como auténticas las páginas falsificadas. Al revelarnos este detalle, el reportero de Softpedia remarca para detectar la falsificación basta con pulsar la imagen del candado en el campo de direcciones del navegador. Pero hay también otros síntomas: en los resultados de búsqueda falta el logotipo de Google en la parte inferior de la página, la descarga es demasiado lenta y mientras ocurre, en el campo de estado del navegador aparece el mensaje Esperando túnel de proxy (Waiting for proxy túnel) o Descargando script de proxy (Downloading proxy script).

Los investigadores también descubrieron otro componente del troyano que permite modificar los resultados de la búsqueda de forma local, sin necesidad de un servidor externo. Para este fin, el malware inicia en el equipo un servicio MitM que usa la biblioteca dinámica FiddlerCore y un servidor HTTP que será el encargado de presentar el archivo PAC al navegador.

Más adelante quedó claro que el único objetivo de estos refinados trucos es recibir ganancias por participar en el programa de afiliados AdSense for Search que Google ofrece a los propietarios de sitios web. Esto supone instalar en el sitio web el sistema de búsqueda personalizado de Google, que devuelve páginas con publicidad contextual. Cada vez que un visitante hace clic en un anuncio publicitario de la lista de resultados, el dueño del sitio web recibe una comisión. En este caso los estafadores simplemente usan las posibilidades del sistema para lucrar con su botnet.

Fuentes Softpedia