¡Peligro! Malware disfrazado

Un hacker desconocido ha conseguido a través de los sistemas de redirección de páginas web muy populares más de un millón de resultados en Google aparentemente legítimos que envían a una página con malware en forma de falso antivirus. Utilizando herramientas de optimización de buscadores (SEO) este hacker consiguió aparecer en los primeros resultados en búsquedas como «Microsoft Office 2002 download». 

Muchas páginas web, entre ellas las más visitadas de la Red, permiten realizar redirecciones, es decir, una aplicación que permite a la página original enviar al usuario a otra página manteniendo un seguimiento de dónde ha acudido esa persona y normalmente informando con mensajes o con un marco al propio usuario desde qué página ha partido. En ocasiones este sistema de redirecciones está abierto, es decir, que se permite a otros dueños de páginas web que se utilice ese sistema para hacer llegar a los usuarios a sus páginas web redirigidos desde otra. Esta utilidad ha sido aprovechada por un hacker para hacer que el buscador Google diera como resultado de búsquedas a términos populares y legítimos enlaces a una página web con malware.

Los sitios web con redirecciones utilizados eran páginas tan utilizadas como la de MIcrosoft, Portugal-info, dbrecovery.com y otras incluyendo instituciones oficiales. Según apuntan en el blog de seguridad Cybercrime & Doing Time, el hacker consiguió de esta forma más de un millón de redirecciones a través de Google de búsquedas tan populares como «microsoft office 2002 download«, «hacking private myspace accounts» y otros términos relacionados con contenidos pornográficos. Los resultados que enlazan a la web con malware aparecían en los primeros puestos gracias a técnicas de optimización SEO.  La mayoría de las páginas web mencionadas, con Microsoft a la cabeza que reaccionó casi al instante, ya han retirado las redirecciones. Sin embargo en el momento de escribir el artículo seguía habiendo más de 200.000 páginas redireccionadas a la web con malware.

Al hacer clic en alguno de los enlaces mencionados,  aparece una ventana con un supuesto mensaje del sistema que avisa de un problema de seguridad. proponiendo la ejecución de un chequeo gratuito del sistema en búsqueda (irónicamente) de virus. Aparentemente se inicia una comprobación del sistema, que en realidad es una animación alojada en el sitio web que da como resultado un inquietante aviso de Windows de que el sistema está infectado. Si se acepta la opción de limpiar el sistema puede acabarse por instalar el programa «install.exe» que copia a nuestro ordenador un falso antivirus que incluso nos pedirá información de nuestra tarjeta de crédito si queremos adquirir la versión definitiva.

Este falso antivirus emite avisos de seguridad de que no estamos protegidos y resultados de supuestos análisis del sistema con resultado de encontrar supuestas infecciones. En realidad instala un malware de tipo Keylogger que monitoriza nuestra actividad.