Creación de páginas falsas para propagar malware con codecs falsos

Con el ánimo de concienciar y desmitificar el miedo hacia los códigos maliciosos (debemos tenerle respeto, no miedo), nuestro Laboratorio viene alertando hace un tiempo sobre la aparición de determinados aplicativos que permiten crear y diseminar malware de una manera tan sencilla e intuitiva que resulta prácticamente una diversión para los usuarios que deciden hacer uso de las mismas.

Lo expuesto con la campaña masiva de sitios falsos, la creación automatizada de falsos instaladores, las técnicas maliciosas anti-análisis, los generadores de malware y la creación de falsos YouTube son sólo algunos de los ejemplos que muestran sólo una pequeña porción de la inmensa cantidad de aplicativos de este estilo que día a día inundan la red.

En este caso, la técnica consiste en la clásica descarga de un supuesto codec necesario para la visualización de un video que en ambos casos es falso. Si el falso codec no es ejecutado no pasa absolutamente nada, pero si por el contrario el mismo es ejecutado, el usuario habrá infectado su sistema con un malware.

Codec falso

Este tipo de contenidos son realizados con herramientas automatizadas que permiten generar las falsas páginas. La herramienta que recientemente hemos detectado está constituida por un archivo HTML que tiene la ruta al archivo ejecutable dañino. Lo único necesario para completar el proceso de propagación, es que el usuario malicioso modifique las líneas correspondientes a la descarga del malware que desee.

Carpetas

Entre otras opciones, el aplicativo también permite insertar una etiqueta iframe (para realizar Drive-by-Download) y un video.

Esta técnica está siendo empleada masivamente y uno de los últimos casos encontrados por nuestro Laboratorio fue la diseminación del código malicioso que ESET NOD32 detecta como Win32/Injector.HY. Por lo tanto, no está de más recomendar el empleo de programas de seguridad antivirus como los ofrecidos por ESET y, quienes necesiten descargar codecs, deben hacerlo desde sitios oficiales o confiables.

Jorge

Autor , ESET

Síguenos