YouTube se ha convertido en una verdadera fuente audiovisual tal que prácticamente ya no queda en la actualidad, usuario alguno que no haya pasado por su web y, como sucede con cada nueva tecnología que surge en forma masiva, es aprovechada como vector para la difusión de nuevas amenazas y nuevos códigos maliciosos.
Hace muy poco tiempo hemos advertido sobre la diseminación de malware a través de Wikipedia.
Y teniendo en cuenta esta situación, la tendencia parecería indicar que el aprovechamiento de los sitios de consulta masiva es uno de los tantos nuevos focos en los que se centran los diseminadores de códigos maliciosos.
En esta oportunidad, se trata de un troyano (Win32/Qhost.MO) que al activarse abre una ventana de Internet Explorer y la redirección hacia un video de YouTube.
Si bien parecería que no sucede nada extraño, que sólo nos invita a ver un “atractivo” video, no es así. En realidad realiza lo que se llama pharming local modificando la información contenida en el archivo “hosts” del sistema. En este post pueden leer un caso similar.
El archivo hosts es utilizado para resolver nombres de dominio a través de direcciones IP en forma local.
Como se ve en la imagen, el contenido del archivo hosts fue cambiado por varias direcciones web que apuntan todas a una misma dirección IP, entonces cuando se acceda a cualquiera de los sitios que figuran en el archivo, se redireccionará hacia la dirección IP establecida por el atacante.
Incluso, si hacemos un ping a cualquiera de las direcciones, nos mostrará esa dirección IP, tal como se puede observar en la siguiente captura:
Ahora bien, muchos se preguntarán para qué realiza esto, bueno, simplemente para dirigir un ataque de phishing a la entidad bancaria Banamex. Veámoslo a través de una imagen:
Como verán, los creadores de códigos maliciosos recurren a infinitas técnicas y metodologías que cada vez se perfeccionan para lograr sus objetivos: estafarnos y robarnos.
Jorge
