Quiero compartir con vosotros alguna de las averiguaciones que hicimos ayer Asier Martínez y yo mientras investigábamos el ataque de BlackHat SEO que usaba la erupción del volcán islandés y el lío aéreo que se ha montado en Europa. Como expliqué ayer, al hacer click en cualquiera de los links maliciosos acabas en un página que trata de engañarte para instalar un falso antivirus. ¿Pero qué es lo que hace tu navegador realmente? Bien, este es el script que tu navegador ejecuta:
Como puedes ver, primero comprueba si tu ordenador es un Mac. Si este es tu caso, serás redirigido a un sitio de venta de películas, por supuesto en el link hay un tracking para poder sacar un dinerillo extra, que estos ladrones están en todo 😉 En caso de que no sea un Mac, mirará si estás utilizando Firefox, Chrome u otro navegador. Esto puede ser utilizado para enviarte un exploit a medida de tu navegador, aunque en este caso todos los links son iguales y te llevan a la página con uno de los falsos antivirus que mostré ayer en el blog. Así que si tienes Windows o Linux verás el falso antivitus, pero en Mac puedes comprar alguna película…
¿Por qué estas páginas maliciosas se encuentran entre los primeros resultados? Los motores de búsqueda utilizan diferentes métodos para decidir cuáles estarán en estas primeras decisiones, y los criminales intentar abusar de estos sistemas. La siguiente pregunta que te vendrá a la mente será la siguiente: “de acuerdo, así que Google,Yahoo & Microsoft son tan estúpidos que no se pueden dar cuenta de que una página está distribuyendo un falso antirus, ¿no?” Bueno, la verdad es que pueden darse cuenta y en cuanto lo hacen bloquean o marcan estas páginas como maliciosas. El problema es que no se dan cuenta en un primer momento, y hay una buena razón para eso: los criminales saben, por ejemplo, cuándo el bot de Google está accediendo a sus páginas. En este caso, le “enseñarán” una página que no distribuye falsos antivirus ni ningún otro tipo de malware.
De hecho, si tecleas la URL maliciosa directamente en la barra de direcciones de tu navegador, tampoco llegarás a la página con el falso antivirus. Tampoco es que sea una noticia de última hora, esta es una técnica que los criminales suelen utilizar frecuentemente, ya que saben que los usuarios usarán Google y harán click en cualquiera de los resultados. ¿Y qué clase de páginas web están entonces indexando los motores de búsqueda? Bueno, podéis echar un vistazo a las capturas de pantalla que realicé ayer:
¿Qué cómo crean estas páginas web? Son creadas automáticamente, utilizando información que obtienen de los mismos motores de búsqueda 🙂
6 comments
Hmm it seems like your blog ate my first comment (it was extremely long)
so I guess I’ll just sum it up what I wrote and say, I’m thoroughly enjoying your blog.
I as well am an aspiring blog writer but I’m still new to everything.
Do you have any points for inexperienced blog writers?
I’d genuinely appreciate it.
Entonces de momento estoy de suerte. En vez de un ataque de BlackHat SEO me enlazan a una web de compra de pelis. ¡Qué majos! Están en todo.
A ver cuando te curras un post sobre tu gran pasión. WoW!
Un saludo!
Mi gran pasión no es el WoW, sino el BloodWars. Llevo más de un año enganchado matando dragones y vampiros, pero no es tipo WoW, ya que es un RPG online basado en HTML, vamos que todo son estadÃsticas y tal. Cuidado que engancha, yo aviso, en 1 año ya estoy en el puesto 91 (de 18.000 personas jugando en el servidor): http://r1.bloodwars.net/r.php?r=55843
Ya que hablas de los juegos online basados en HTML o web… los ciberdelincuentes también aprovechan este nicho para realizar sus ataques? De que tipo son? Cómo podemos detectarlos?
Lo pregunto porque hay much agente “enganchada” al Travian, OGame o Farmville.
La mayorÃa de las amenazas para estos juegos que comentas son las “de siempre”: ataques de phishing para robarnos las credenciales, y troyanos para hacer lo mismo, aunque el mayor nº de ataques se los llevan juegos como el WoW o el Lineage.