Quiero compartir con vosotros alguna de las averiguaciones que hicimos ayer Asier Martínez y yo mientras investigábamos el ataque de BlackHat SEO que usaba la erupción del volcán islandés y el lío aéreo que se ha montado en Europa. Como expliqué ayer, al hacer click en cualquiera de los links maliciosos acabas en un página que trata de engañarte para instalar un falso antivirus. ¿Pero qué es lo que hace tu navegador realmente? Bien, este es el script que tu navegador ejecuta:

BHSEOVolcano

Como puedes ver, primero comprueba si tu ordenador es un Mac. Si este es tu caso, serás redirigido a un sitio de venta de películas, por supuesto en el link hay un tracking para poder sacar un dinerillo extra, que estos ladrones están en todo 😉 En caso de que no sea un Mac, mirará si estás utilizando Firefox, Chrome u otro navegador. Esto puede ser utilizado para enviarte un exploit a medida de tu navegador, aunque en este caso todos los links son iguales y te llevan a la página con uno de los falsos antivirus que mostré ayer en el blog. Así que si tienes Windows o Linux verás el falso antivitus, pero en Mac puedes comprar alguna película…

¿Por qué estas páginas maliciosas se encuentran entre los primeros resultados? Los motores de búsqueda utilizan diferentes métodos para decidir cuáles estarán en estas primeras decisiones, y los criminales intentar abusar de estos sistemas. La siguiente pregunta que te vendrá a la mente  será la siguiente: “de acuerdo, así que Google,Yahoo & Microsoft son tan estúpidos que no se pueden dar cuenta de que una página está distribuyendo un falso antirus, ¿no?” Bueno, la verdad es que pueden darse cuenta y en cuanto lo hacen bloquean o marcan estas páginas como maliciosas. El problema es que no se dan cuenta en un primer momento, y hay una buena razón para eso: los criminales saben, por ejemplo, cuándo el bot de Google está accediendo a sus páginas. En este caso, le “enseñarán” una página que no distribuye falsos antivirus ni ningún otro tipo de malware.

De hecho, si tecleas la URL maliciosa directamente en la barra de direcciones de tu navegador, tampoco llegarás a la página con el falso antivirus. Tampoco es que sea una noticia de última hora, esta es una técnica que los criminales suelen utilizar frecuentemente, ya que saben que los usuarios usarán Google y harán click en cualquiera de los resultados. ¿Y qué clase de páginas web están entonces indexando los motores de búsqueda? Bueno, podéis echar un vistazo a las capturas de pantalla que realicé ayer:

Volcano page 3

Volcano page 4

Volcano page 5

Volcano page2

¿Qué cómo crean estas páginas web? Son creadas automáticamente, utilizando información que obtienen de los mismos motores de búsqueda 🙂