• Tweet

Los creadores de malware suelen hacer lo que sea para distraerte y hacer que instales su software. Un objetivo son los anuncios de este popular motor de búsqueda, al cual un grupo criminal está usando para comprometer los resultados de este buscador de Microsoft. En un ataque por separado, usuarios de Mac están siendo objeto de un troyano que se hace pasar por un instalador de Flash.

Ayer, el investigador Ed Bott mostró detalles de un anuncio del motor de búsqueda Bing de Microsoft que llevaba a los visitantes incautos a un sitio que propaga malware.

Varias horas después de informar a Microsoft, éste lo retiró. Un portavoz le dijo que la red de Bing anunció que "seguiría trabajando directamente con nuestra agencia de medios asociados para verificar y confirmar las órdenes de cualquier sospechoso".

Al parecer hay más trabajo por hacer.

Esta mañana, Bott comentó haber encontrado varios anuncios en Bing que se hacían pasar por sitiosde intermediarios aparentemente inocentes hacia el mismo servidor malicioso en Rusia.

Aquí, por ejemplo, hay un par de anuncios que aparecieron en la parte superior de los resultados de búsqueda Bing de descargas de Firefox:

Fuente: Zdnet

Al hacer clic en el segundo anuncio del bloque, el usuario es dirigido a un sitio llamado ipcfiles.info. La página de destino es tan convincente como el falso sitio de descargas de Google Chrome identificado ayer:

Fuente: Zdnet

Del mismo modo, la búsqueda de Bing sobre Flash Player muestra este bloque de anuncios encima de los resultados de búsqueda. Al hacer clic en el anuncio de este segundo grupo, se sirve de un sitio llamado oeachot.info, el cual dirige a esta página de destino:

Fuente: Zdnet

Una vez más, esto es ingeniería social convincente.

Ambos sitios utilizan scripts intermediarios que redirigen al usuario desprevenido al servidor ruso marcado ayer.

Anuncios similares, que conducen al mismo servidor, aparecieron al buscar Adobe Reader Bing, utorrent, y Google Earth.

Este tipo de ataque tiene un mayor promedio de éxito, porque los usuarios ocasionales de Internet se han acostumbrado a utilizar motores de búsqueda como un punto de partida, y ambos anuncios de Google y Bing están colocados en lugares destacados entre los resultados de búsqueda, donde hay más probabilidades de ser presionado.

Debido a que esta banda utiliza un motor polimórfico, los archivos no son detectados por los antivirus convencionales. Hoy, cuando se enviaron ambos ejemplos a VirusTotal, sólo 3 de 43 motores de escaneo los detectaron como sospechosos.

Actualmente, esos anuncios permiten sólo malware para Windows, pero es posible que los usuarios de Mac sean objeto de ataques similares. La semana pasada, F-Secure identificó un falso instalador de Flash Player  liberado como un paquete de Mac que en realidad es un troyano que cambia el DNS.

El fin de semana, un foro de soporte de Apple reportó haber encontrado esto en su Mac, y esta mañana confirmaron que Apple ha actualizado sus firmas XProtect para incluir una definición que marca y elimina esta amenaza, la cual es llamada OSX.QHost.WB.A. Esta es la primera definición actualizada para Mac OS X desde el desmantelamiento de la banda de Mac Defender, el 23 de junio.