Como muchos de nuestros lectores saben, Internet sufre ataques de forma constante con nuevas amenazas que aparecen cada día. Los ataques “Blackhat SEO”, que combinan campañas de malware con noticias relevantes y de actualidad están a la orden del día.  Hace un año, los ataques Blackhat SEO o que tuviesen como objetivo los términos mas buscados en Internet suponían una novedad, pero en la actualidad hemos llegado al punto de desarrollar técnicas automatizadas en el laboratorio para detectar y proteger contra estas amenazas en tiempo real.

Si habéis estado siguiendo nuestros últimos posts sobre los ataques que utilizan los términos más buscados en Internet, sabréis entonces que nos gusta llegar hasta el fondo en nuestros análisis…  Así que vamos directamente al grano…

Un colega investigador nos advirtió hoy de un nuevo ataque que explotaba los términos más populares en Twitter. Al igual que los últimos ataques de este tipo, éste utilizaba noticias recientes como el atentado suicida de Moscú, así como otros asuntos de actualidad en Internet.

Tras investigar profundamente la campaña hemos descubierto algunos datos interesantes sobre el ataque:

  • El ataque empezó el 22/02/10 y sigue activo hoy día
  •  Se han utilizado 1.888 cuentas de Twitter (y subiendo) para distribuir la URL empleada en el ataque
  • 835 de las 1.888 cuentas empleadas en el ataque eran “no-maliciosas” o robots que transmitían la URL maliciosa de forma automática
  • Se han enviado 2.560 tweets maliciosos
  • Se han utilizado 3.409 términos en el ataque
  • 9.588 sitios web llevaban a las páginas web maliciosas empleadas en el ataque
  • Los enlaces maliciosos recibieron un total de 25.854 clics.
  •  El 78% de las víctimas provenían de Estados Unidos, el 12% de Corea, y el 8% de Alemania.

Cientos de tweets maliciosos aparecieron en Twitter junto con términos y enlaces que llevaban a la siguiente página en la que las víctimas eran infectadas con un falso códec de vídeo:

Malware oculto en un falso códec de vídeo
Malware oculto en un falso códec de vídeo

 
El archivo ofrecido en el sitio Web instala el rogueware Adware/SecurityTool. Los clientes de Panda Security se encuentran protegidos contra dicho malware.

Análisis

El personal de Twitter ha reaccionado rápidamente hoy mismo y ya ha eliminado todos (o la mayoría) de los 2.560 tweets maliciosos.  Si se echa un vistazo al tráfico generado por los clics, vemos que la mayoría de víctimas provienen de Estados Unidos, seguido de Corea y Alemania en 2º y 3er lugar.

Ataque contra Twitter: Clics por País
Ataque contra Twitter: Clics por País

 ¿Qué términos se usaron para el ataque?

Si ya conocéis nuestras investigaciones sobre Blackhat SEO, conoceréis también las nubes de etiquetas que generamos para averiguar los términos y  expresiones que se usan para los ataques. En el caso de los ataques contra Twitter sin embargo, no tiene mucho  sentido generar una nube de etiquetas ya que las expresiones cambian constantemente según los temas que estén más de actualidad.  Veamos que expresiones han sido las más utilizadas en el último mes.

50 términos más utilizados de 3409

Nube de etiquetas para los ataques contra Twitter
Nube de etiquetas para los ataques contra Twitter

 
10 Términos Más Utilizados

  • 1. Free (448 menciones)
  • 2. Teen (384 menciones)
  • 3. Sex (381 menciones)
  • 4. Nude (312 menciones)
  • 5. Porn (305 menciones)
  • 6. Videos (259 menciones)
  • 7. Girls (252 menciones)
  • 8. Adult (229 menciones)
  • 9. Gay (188 menciones)
  • 10. Justin Bieber (116 menciones)

Como se puede ver, los términos más utilizados son ‘Free’, ‘Teen’ y ‘Sex’. El análisis demuestra que mientras la campaña explota temas de actualidad para realizar los ataques, el principal objetivo es atraer a aquellos usuarios que estén buscando vídeos pornográficos en Internet. Esto no es ninguna sorpresa, ya que el sitio Web infectado descarga un códec falso y tiene más sentido anunciar vídeos porno para lograr un mayor ratio de conversión.

¿Qué es lo más sorprendente del ataque?

Los 25.854 clics que recibió la URL maliciosa. Esta cifra nos llamó la atención porque el número parecía un poco elevado para las 1.888 cuentas de Twitter que distribuyeron la URL maliciosa. Al analizarlo detenidamente, descubrimos la existencia de sitios Web importantes que estaban ayudando a impulsar la campaña de malware en Internet.

El sitio Web de Huffington Post, utilizado para promover la campaña de malware
El sitio Web de Huffington Post, utilizado para promover la campaña de malware

 La página de The Huffington Post es uno de los sitios Web que ha contribuido de forma inadvertida a promover esta campaña de malware en Internet. Esta página contiene un stream de Twitter que relaciona tweets similares (los comentarios de la comunidad) con una noticia.

Conclusión

Google ha anunciado recientemente la introducción de resultados en tiempo real a las búsquedas de los usuarios y, como investigador de amenazas, lo primero que me vino a la cabeza fueron las implicaciones que esto podía tener respecto a la seguridad. Los resultados en tiempo real permiten a los hackers publicar URLs maliciosas en páginas visitadas por millones de usuarios (por no mencionar los beneficios en cuanto a SEO) y éste es un ejemplo perfecto. Los ataques Blackhat SEO y aquellos que utilizan los temas más buscados en Internet seguirán existiendo hasta que los motores de búsqueda y las redes sociales se organicen y comiencen a monitorizarlos y bloquearlos de forma agresiva.   En Panda Security tenemos un lema: “Si el usuario quiere trabajar en tiempo real, debemos PROTEGERLE en tiempo real”. ;”)