Este malware se comunica con sus creadores a través de comentarios en vídeos de YouTube

Si eres un habitual de YouTube sabrás la enorme cantidad de comentarios chorras y poco productivos que podemos encontrarnos en cada uno de los vídeos. Pero a veces entre esos comentarios podemos encontrarnos algunos mensajes que, pese a su aparente inocencia, pueden esconder comandos que pongan en peligro la seguridad de nuestros equipos.

Esto es lo que aseguran los miembros de la firma de seguridad F-Secure tras descubrir que el grupo de atacantes detrás del troyano Janicab, que afecta tanto a los usuarios de Windows como a los de Mac, está utilizando simples comentarios en YouTube para controlar las acciones de su malware una vez este ha conseguido infectar a sus víctimas.

Un vistazo a…
14 Trucos para aprovechar al máximo Youtube

Janicab, el troyano Youtuber

Janicab es un troyano que fue descubierto en julio del 2013 por F-Secure, Webroot y Avast, y que conseguía infectar los equipos utilizando el carácter U+202E , un carácter unicode especial que es conocido como una anulación de derecha a izquierda capaz de hacer que un archivo ejecutable se nos muestre como un simple PDF.

Una vez infectados los equipos entran en juego los comentarios del tipo "our 49741276945318th psy anniversary" que podemos ver tanto en algunos vídeos de YouTube como también en post de Google+. Aunque parezcan simple spam, esos números representan direcciones IP que el troyano reconoce y a las que envía la información sustraída de los equipos infectados.

Las direcciones IP son obtenidas por Janicab dividiendo y convirtiendo los números publicados en los comentarios, y después de recibirlas, antes de enviar la información que sustrae, el troyano realiza capturas de pantalla y analiza los procesos ejecutados por el sistema para saber si se está utilizando algún antivirus o si está siendo ejecutado en máquinas virtuales como VirtualBox.

Afortunadamente, una vez que descubierto este mecanismo es sólo cuestión de tiempo que las grandes webs en las que se publican los mensajes empiecen a tomar cartas en el asunto y a implementar sistemas para borrar automáticamente esos mensajes o las cuentas desde las que se publican, que es lo que hizo Twitter en su día cuando se encontró ante una situación idéntica.

Vía | Motherboard
En Genbeta | Cuidado con el porno que ves en Facebook, un nuevo troyano podría estar al acecho

Ver todos los comentarios en https://www.genbeta.com

VER 7 Comentarios

Portada de Genbeta