Un nuevo estilo de adware se encuentra propagándose por Internet. Detectado por ESET NOD32 bajo el nombre de Win32/BHO.NQT, se trata de un código malicioso que posee las características propias de un adware, pero que agrega un componente extra: el pedido de una recompensa para ocultar las publicidades mostradas, una característica que se asemeja a ciertos aspectos del ransomware.
Por un lado, el adware se encarga de desplegar publicidad no solicitada, y por el otro, modifica las configuraciones del navegador del usuario para obtener un rédito de índole económico a cambio de su arreglo.
En este caso, se trata de un servicio denominado Kerlofost que permite a los programadores de malware incorporar un módulo adware a través de un archivo del tipo DLL, que luego emitirá publicidad en el navegador de los usuarios. Esta se despliega en la parte inferior del navegador:
Por intermedio de un componente BHO (Browser Halper Object) se inserta automáticamente un banner en el navegador cada vez que el usuario abre una sesión de este. Es importante destacar que ningún sitio sitio web es modificado, sino que el usuario verá el banner en cada página abierta en el navegador, debido a que su sistema ha sido comprometido.
A través de este banner el usuario recibirá publicidad de forma constante, y en caso de querer ocultar o eliminar la publicidad, el mismo es redireccionado hacia una página perteneciente a una supuesta compañía rusa, solicitando el envío de un SMS a determinado número. La siguiente imagen muestra un ejemplo.
Una vez enviado el mensaje, cuyo valor es de 3 dólares (el costo de la recompensa), el usuario recibe un código que luego debe ingresar en un formulario para poder dar de baja el supuesto servicio.
De esta manera, a través del adware el desarrollador se asegura de emitir publicidad de la cual recibirá dinero por cada clic que el usuario haga sobre ella y a la vez percibe otro ingreso económico por medio de la tecnología SMS.
Jorge
