ALERTA DE SEGURIDAD: BLACKHAT SEO UTILIZA PDF CON DESASTRES DE CHILE Y HAWÁI
13 de marzo del 2010 | por Gerardo Zamudio
Más de 13% de todas las búsquedas en Google sobre temas populares y tendencias llevan a enlaces maliciosos, y las búsquedas de las últimas noticias sobre el terremoto en Chile y el tsunami que afectó a Hawái no son la excepción. Ambos acontecimientos se están utilizando ahora para hacer que la gente descargue productos antivirus falsos.
Normalmente los enlaces de los resultados de búsquedas parecen enlaces ordinarios que llevan a páginas web regulares. Esta vez los chicos malos cambiaron su táctica para hacer que los resultados de búsquedas luzcan aún más convincentes, haciendo que Google crea que es un archivo PDF.
Google dice a los usuarios que el formato del archivo es PDF y no HTML. Eso no es cierto; de hecho es una página HTML regular que cuando la visita, el usuario es redirigido a una página que luce así: sólo otra página de un antivirus falso. Este, como la mayoría de los sitios antivirus falsos que hemos visto esta semana, es el .IN TLD que es el dominio de alto nivel para la India.
Hacer que los resultados de búsqueda luzcan como un PDF le da al enlace mayor autenticidad. Tal vez pudiera ser una investigación o por lo menos un artículo mejor escrito. La probabilidad de que un usuario abra este tipo de enlaces es tal vez más alta que si fuera sólo un enlace web aleatorio.
Esta es la primera vez que hemos visto que los atacantes utilizan este método, pero considerando lo agresivos que son los grupos que crean antivirus falsos, no nos sorprende que sigan refinando sus técnicas para hacer que la gente “compre” sus productos.
El archivo antivirus falso es detectado actualmente por 26.20% de los motores antivirus utilizados por Virus Total.
Los clientes de Websense® Messaging y Websense Web Security están protegidos contra este ataque.