Inicio > Malware, Noticias > Elefantes que defecan malware (ejemplo práctico de envenenamiento de imágenes en Google)

Elefantes que defecan malware (ejemplo práctico de envenenamiento de imágenes en Google)

A mi hijo le gustan los elefantes. Los animales en general, pero los elefantes en particular desde que le enseñé el Libro de la Selva. De vez en cuando miramos imágenes en Google para pasar el rato. Esta mañana, buscando dibujos de estos animales, he acabado en una página que me invitaba a instalar malware. Hasta aquí normal, si no fuera porque he tenido la oportunidad de comprobar que un método detectado hace un año, sigue plenamente vigente. Dada la oportunidad, veamos un ejemplo práctico.
Si buscas “elefantes” en las imágenes de Google, aparece esta foto tan simpática ante la que ningún niño podría resistirse.

Después de pinchar… automáticamente soy redirigido a:

Donde se me invita a instalar un setup.exe. Por cierto, con una detección muy pobre por firmas: 5 de 42 motores.

Con un rápido análisis manual se comprueba que es un FakeAv “clásico”, con una interfaz muy trabajada.

Finalmente, como es normal, pide los datos de tarjeta para comprar. Al introducirlos (solo una vez, porque luego almacena en un servidor remoto quién ha picado) vuelve a pedirlos a través de una verificación falsa de Visa.

De vuelta a la redirección del elefante, hay que destacar que la imagen es inocente (y el elefante también). Está colgada originalmente aquí, uno de los servidores de Google.

A su vez, la web “original” que la contiene es esta:

http://www.hoogwaterlaagland.nl/elefantes-asiaticos&page=6

Que parece claramente comprometida, puesto que se han añadido imágenes (muchas) de elefantes bajo el texto.

El caso es que la web ha sido comprometida y se le ha añadido un script que genera este tipo de contenido (términos habitualmente buscados en Google) automáticamente. Así, comprobamos como en el código fuente de la web se observan imágenes y texto aleatorio sobre el término, con el único fin de ser indexado por Google y recibir visitas. Además, se le ha introducido un script previo que redirige o no a la página de malware según ciertas condiciones. Esto se comprueba visitando la web http://www.hoogwaterlaagland.nl/elefantes-asiaticos&page=6. No redirige a ningún punto sospechoso, sin embargo, desde Google sí. ¿Cómo? Evidentemente diferencia la IP o el referrer. Está comprometida con otro script que lo comprueba. Vamos a verlo. Visitamos la web con wget, y comprobamos que descargamos todo el código fuente:

Ahí descarga unos 16 ks (el contenido real). Sin embargo, si el referer contiene “Google.*” (da igual el país), lo que muestra es muy distinto. Solo 164 caracteres.

Lo abrimos y aquí tenemos el misterio.

El “if” siempre redirige a la página del malware, solo que se preocupa de hacerlo de una manera u otra dependiendo si está dentro de un iframe. O sea, si la imagen se encuentra en un iframe (primer caso del “if”, comprobando que no es la imagen “top”) lo que redirige hacia el malware es la página madre que aloja el marco (la “top”, en este caso la de Google que muestra diferentes iframes). Si no hiciera esta distinción, la redirección quedaría dentro del iframe. No sería “tan real”. En resumen, lo que pretende la comprobación de “si no es ventana “top”” es escapar de este frame (que es lo que se vería si la página no estuviese comprometida)

Como indico, es un método ya descubierto en su día por Denis Sinegubko, que escribió una extensión de Firefox para detectar las imágenes “envenenadas”… pero no se había vuelvo a hablar demasiado de ello, aunque evidentemente es una técnica que sigue activa.

Fuente: Hipasec

Anuncios
Categorías:Malware, Noticias Etiquetas:
  1. Aún no hay comentarios.
  1. No trackbacks yet.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s