La caída de Gmail y el malware

Está trayendo cola el apagón de Gmail del pasado 24 de febrero. Ahora, además de los daños directos -pérdida del servicio-, se especula que fue una oportunidad para la distribución de malware masivo. Eso es lo que intenta demostrar la empresa de seguridad Trend Micro: durante el caos de la caída, la ciberdelincuencia pudo entrar en miles de ordenadores desconocidos y hacerse con sus datos. Nunca es tarde para blindarse.

Como hemos informado largo y tendido aquí en MuyComputer, el apagón del pasado 24 de febrero ha traído una corriente de información y polémica inaudita. Se ha analizado desde todos los ángulos: el puramente técnico para ver qué pasó, la forma tan poco ortodoxa de "no" comunicar el problema con los usuarios, la necesidad de mayor infraestructura por parte de Google…. Ahora, el nuevo punto de vista de analizar el problema es el chollo que supuso la caída de Gmail para la ciberdelincuencia.

En medio de la conmoción provocada por la interrupción del servicio, que duró solo unas horas, el "lado oscuro" aprovecho para intentar distribuir archivos maliciosos a usuarios desconocidos. Durante el tiempo de inactividad, las búsquedas de la cadena "gmail down" se entregaron a la página Google Group también denominada Gmail down como el primer resultado. El investigador de Trend Micro, Rik Fergurson descubrió que dicha página estaba distribuyendo un banner con imágenes relacionadas con pornografía, que también dirigía a una web pornográfica. Pero lo más peligroso es que ese link en la página web mencionada conducía a archivos maliciosos.

Website de Google Group configurada para distribuir malware.

El link "Really young good looking teenager-547b4.html" redireccionaba a dos URLs diferentes. La primera, hxxp:// {BLOCKED}worldx.com/software/f352d5ac52/10410/1/Setup.exe, incitaba a la descarga de un archivo detectado como TROJ_PROXY.AEI, que a su vez descargaba dos archivos: un fichero BAT y otro DLL. El archivo BAT es utilizado para cargar a su vez el DLL, que modifica las entradas de registro relacionadas con las configuraciones del servidor proxy. Esto provoca que los resultados de las búsquedas de los usuarios sean redireccionados a sitios remotos relacionados, la mayoría de ellos, con páginas de anuncios.

La segunda URL, hxxp:// {BLOCKED}cktube.com/new/n/Exclusive+Free+porno/3913744, conduce a la descarga de un archivo malicioso detectado como TROJ_AGENT.FAKZ.

Por otro lado, el link "The Dark Knight torrent.zip" pemite la descarga del archivo BAT main_movie_torrent.bat. Dicho archivo modifica las propiedades de los siguientes ficheros:

c:\autoexec.bat
c:\boot.ini
c:\ntldr
c:\windows\win.ini

Vamos, los claves de todo sistema. Si se muestra un mensaje pop-up con la afirmación "Virus Activated" ya no hay nada que hacer. Acto seguido este virus procede a borrar los archivos arriba indicados, que son registros críticos relacionados con la carga de Windows. Después de esto, aparece otro pop-up con el mensaje de "Computer Over. Virus=Very Yes". Finalmente, el ordenador se apaga después de 10 segundos y ya no puede iniciarse.

El mencionado virus denominado ya popularmente Google Group ya ha sido suprimido según afirman los expertos de Trend Micro. Pero este incidente es una prueba más de cómo los ciberdelincuentes agudizan su ingenio de cara a conseguir oportunidades para distribuir sus archivos maliciosos.