Desde hace un tiempo hemos reportado una "facilidad" de ciertos buscadores para permitir el redireccionamiento de sitios web y los riesgos que esto implica para los usuarios debido a que, confiando en un sitio conocido como cualquier buscador, no se sospecha del peligro que esto puede acarrear.
Supongamos que alguien recibe por correo la invitación para ingresar a la siguiente URL:
http://www.google.de/pagead/iclk?sa=l&ai=XXX&num=XXX&adurl=www.sitio-dañino.com
Como puede observarse, es una simple URL de Google pero que en realidad utiliza ciertos modificadores para redireccionar al buscador a otro sitio dañino. En condiciones normales, cualquier usuario no sospecharía de esa URL ni del buscador.
Sin embargo y como preveíamos, en las últimas horas hemos detectado un incremento de correo no deseado utilizando esta "facilidad" para engañar a los usuarios y descargar malware. En este caso se trata de una postal como la siguiente:
Al hacer clic sobre la postal se redirecciona al usuario hacia la descarga un archivo yahoo.exe, con la siguiente URL:
Este archivo es detectado por ESET NOD32 como TrojanDownloader.Banload.LHK el cual es un troyano que permite la descarga de otros malware.
Es importante remarcar que esta técnica puede ser utilizada en cualquier otro buscador que no utilice filtros apropiados en sus URLs.
Actualización 17:00 hs: en este momento la amenaza se sigue propagando, en aquellos equipos no protegidos, debido a que los dominios donde se encuentran los archivos ejecutables continúan activos y el buscador sigue redireccionando hacia esos sitios.
Actualización 04/06/2008: Google ha corregido el problema pero ahora el mismo se encuentra en DoubleClick.
Cristian
