"Si puede ser escrito o pensado, puede ser filmado"

Stanley Kubrick (1928-1999), director de cine estadounidense
(El 7 de marzo de 1999 murió Stanley Kubrick)

Los ciberdelincuentes manipulan las búsquedas de Internet para vender falsos antivirus

Los ciberdelincuentes están manipulando los resultados de los buscadores de Internet para distribuir malware, sobre todo, falsos antivirus. La razón es sencilla: como siempre los delincuentes necesitan atraer a los usuarios hacia sus sitios maliciosos para lograr infectarlos, pero el cambio relevante radica en la forma en que intentan atraer a los usuarios. Durante mucho tiempo para lograr infectar a un usuario, o llevarlo a un sitio web comprometido para infectarlo, se basaban en envíos masivos de spam, el usuario leía el mail, pulsaba sobre algún enlace del mensaje y era dirigido al sitio web malicioso. Ahora, sin embargo, debido a la mayor concienciación de los usuarios ante mensajes provenientes de fuentes desconocidas, los delincuentes han buscado formas más efectivas para atraer a posibles víctimas. Para ello se han valido de una herramienta de Google, conocida como Google Trends Labs (http://www.google.com/trends) que entre sus muchas aplicaciones ofrece un listado de las búsquedas más populares del día (que pueden ser desde la investidura de Obama hasta las nominaciones a los Oscars).

Una vez conocidas las consultas más populares, y los intereses del momento, los ciberdelincuentes construyen una página repleta de los términos más buscados (por ejemplo: Obama, Penélope Cruz, etc.) y con supuestos vídeos sobre el tema en cuestión. De esta forma consiguen aumentar el ranking de la página, y aparecer entre los primeros resultados de las búsquedas de los usuarios.

"Los usuarios que se fíen de estos resultados irán a parar a una página en la que se le pedirá que se descargue algún tipo de códec, plugin, etc. para poder verlo. Si lo hacen, estarán introduciendo en su equipo algún tipo de malware, generalmente, un falso antivirus", explica Luis Corrons, director técnico de PandaLabs.

Los falsos antivirus son un tipo de adware que se hace pasar por un antivirus para hacer creer al usuario que está infectado con decenas de ejemplares de malware. Después, le invitan a comprar una versión de pago del falso antivirus para eliminar esas infecciones que, en realidad, no tiene. De esta manera, los ciberdelincuentes obtienen un beneficio económico de esta infección.

Técnicas SEO

Este tipo de campañas están recogiendo beneficios de avanzadas técnicas SEO (Search Engine Optimization), lo que se conoce como Optimización de Posicionamiento en Motores de Busqueda. Se trata de un conjunto de técnicas, en general legítimas, de programación web, de cómo ofrecer los contenidos de la web, sobre los enlaces, contenidos, etc. destinadas a lograr que la página web aparezca en las primera posiciones de los motores de búsqueda (Google principalmente). Tal es el caso de la página web en la que se vendía el falso antivirus Malwaredoctor, preparada convenientemente para indexar bien enlos motores de búsqueda (más información aquí: http://pandalabs.pandasecurity.com/archive/Metatags-in-malware-websites_3A00_-II-part.aspx)

En contraposición de las técnicas SEO estándar, los atacantes han comenzado también a utilziar técnicas conocidas como "Black Hat SEO", que podrían describirse como aquellas técnicas no legales de posicionamiento en buscadores: saltarse las políticas de los buscadores, presentar contenidos alternativos, o afectar a la experiencia del usuario. En ocasiones puede ser complicado determinar que técnicas son correctas y cuales no, e incluso puede variar en función del buscador.

Ofuscación de los ataques

Los atacantes siempre están dispuestos a complicar la labor de identificación de los sitios maliciosos, así como las tareas de análisis de los investigadores y compañías anti-malware. Algunas de estas páginas maliciosas se comportan de forma distinta y muestran diferente contenido en función de la procedencia del usuario.

Para ocultar el ataque los delincuentes insertan un script que determinará la procedencia del usuario, de forma que si el usuario escribe la URL directamente en la barra del navegador se mostrará el contenido legítimo y correcto. Sin embargo, si el usuario proviene de Google, es decir de la búsqueda manipulada, es dirigido a la página maliciosa dese dónde se le descargará.

MSAntispyware 2009: Un ejemplo a contra corriente

PandaLabs detectó recientemente una página web que parecía establecer un nuevo modelo. Si generalmente las páginas de falsos antivirus o no contienen etiquetas específicas o las que contienen están destinadas a que indexen mejor en las búsquedas, la página desde la que se distribuía MSAntispyware 2009 suponía un importante cambio. En ella, todas las etiquetas y procesos estaban destinados a evitar que los motores de búsqueda la indexasen. Puede obtener más información aquí: http://pandalabs.pandasecurity.com/archive/Metatags-in-malware-websites.aspx

El fin de este comportamiento escomplicar la tarea a los analistas de malware y compañías de antivirus para prevenir la infección mediante técnicas como el bloqueo de urls a través de consultas en los motores de búsqueda con parámetros específicos.

Puede recibir todas las noticias de Panda Security automáticamente agregando esta URL (http://feeds.feedburner.com/panda_security) en su lector de Feeds.

Además, puede leer noticias sobre seguridad actualizadas todos los días en el Twitter de Panda Security