Desde el Laboratorio de Análisis e Investigación de ESET Latinoamérica hemos detectado una importante campaña de infección a través de la red de microblogging Twitter y buscadores, mediante la cual se intenta propagar distintos códigos maliciosos.

En el primer caso, la estrategia consiste en utilizar perfiles maliciosos de Twitter para publicar direcciones web supuestamente relacionadas con los atentados en los trenes de Moscú. Cada una de las direcciones publicadas (utilizando acortadores de URL como bit.ly) redirecciona hacia una página que dice mostrar un video en streaming. Sin embargo, a los pocos segundos se advierte, a través de un popup, que se necesita un supuesto códec y ofrece la descarga del mismo (un malware):

Página maliciosa

Todas las páginas maliciosas que descargan el archivo dañino se encuentran alojadas en una misma dirección IP de un servidor en Israel, señalado como servidor de spam y malware.

Sobre este caso ya hemos detectado más de 1.000 enlaces maliciosos en perfiles de Twitter que están siendo utilizados y por eso desde ESET Latinoamérica estamos trabajando activamente para denunciar y dar de baja esos perfiles.

Esta campaña guarda relación directa con la otra, llevada a cabo a través de técnicas SEO Poisoning o BlackHat SEO. A continuación se muestra una búsqueda relacionada al suceso en Moscú y que lleva a sitios dañinos:

BlackHat SEO

Esto demuestra que puede utilizarse cualquier vector de ataque para propagar malware y lamentablemente las técnicas explicadas constituyen un patrón habitual.

Los archivos descargados en ambos casos serán detectados en forma proactiva por ESET NOD32 como parte de la familia Win32/Kryptic. Por eso, alertamos a los usuarios sobre evitar hacer clic en los mensajes sospechosos de las redes sociales y en los resultados de las búsquedas pero, sobre todo, que mantengan actualizado su ESET NOD32 Antivirus.

Jorge Mieres
Analista de Seguridad