Los buscadores y el malware



Los ciber-delincuentes han puesto sus ojos en las páginas web. La manipulación de páginas legales para poder infectar a los usuarios con malware a través de ellas o la creación de páginas cuyo único fin es la introducción de códigos maliciosos en los ordenadores de aquellos que las visiten, es una tendencia en alza.


Este método presenta para los ciber-delincuentes la ventaja de ser más silencioso. Cuando se envía un código malicioso en un archivo adjunto a un correo electrónico o cuando en el correo se incluye un link que, al pincharlo, acciona la descarga, se requiere una acción de un usuario (pinchar el link, descargar y ejecutar el archivo, etc.) que no ha solicitado ese correo. Sin embargo, si un usuario entra por propia voluntad a una página web y ésta es aparentemente legal, no sospechará que esté siendo infectado.

"Ahora bien, este sistema presentaba un problema: hay que hacer llegar a los usuarios hasta esas páginas web maliciosas para conseguir que se infecten", comenta Luis Corrons, Director Técnico de PandaLabs.

Una opción empleada es el tradicional envío de spam conteniendo un mensaje y un texto más o menos atractivo (descarga de trailers, fotos eróticas, noticias impactantes) que inciten al usuario a seguir un link que apunta a la página web maliciosa.

"Esto, sin embargo, implicaba contar con un paso intermedio: el envío de correo basura. Esto aumentaba los costes de la infección y, como ya hemos dicho, podía hacer sospechar a los usuarios", explica Luis Corrons.

Por eso, los ciber-delincuentes han comenzado a optar por otra técnica: la "manipulación" de los resultados de los buscadores o de las webs bien situadas en los resultados que estos ofrecen. Con esto, se persigue que un usuario interesado en un tema (por ejemplo, los viajes) visite una página aparentemente legal sobre viajes y termine infectado con un código malicioso.

¿Cómo consiguen esto? Hay varias técnicas. Una consiste en la manipulación de páginas web legales ya existentes y que estén bien situadas en el ranking de los buscadores. Una vulnerabilidad en el servidor donde está alojada esa página puede ser aprovechada por los ciber-delincuentes para introducir un iFrame en la misma. Este iFrame activaría la descarga de un código malicioso en el ordenador de los usuarios mediante el aprovechamiento de vulnerabilidades existentes en su equipo.

Una segunda técnica es crear una página desde cero e introducir en ella varios iFrames que conduzcan a una descarga de malware. La página debe tener apariencia de legal. En el caso de la página de viajes, debe parecer de verdad una página de viajes. El problema es, de nuevo, hacer llegar a los usuarios hasta esta página. Una forma de conseguirlo es comprar un lugar en los resultado patrocinados de los buscadores (algo que ya ha ocurrido con el adware LinkOptimizer).

"Otra forma que tendrían los ciber-delincuentes de conseguir estos es la utilización de una red de bots (bien propia, bien alquilada) para subir el lugar de esa página en el ranking de los buscadores. Para conseguirlo, se ordenaría a los millones de ordenadores controlados a visitar la página web maliciosa, de modo que cuando el buscador registre las páginas webs más visitadas sobre un tema, ésta aparezca en los primeros puestos", afirma Luis Corrons.

Cuando un usuario busque una página web sobre viajes, una de las primeras que le ofrecerá el buscador será esta página maliciosa. Si accede a ella, ese usuario quedará infectado, pero no tendrá la sensación de haber llevado a cabo una conducta poco segura.

Fuente