El malware toma formas muy diversas, eso ha ocurrido siempre. Se han hecho pasar por archivos de texto, imágenes, ejecutables, herramienta de seguridad... y, en los últimos años, como actualizaciones de software. Lo que apenas se había visto hasta ahora era que se hicieran pasar, con bastante realismo, por alertas de certificados de seguridad. Se ha detectado durante las últimas semanas.
Kaspersky ha detectado que visitantes de sitios webs infectados, páginas que van desde la de un zoológico a la de un concesionario, reciben una supuesta alerta de un certificado de seguridad que ha expirado. El aspecto de este aviso, como podemos ver en la captura de pantalla difundida, engaña.
Un disfraz muy bien confeccionado
Mokes y Buerak, los nombres de los dos programas maliciosos que han sido detectados por la firma de ciberseguridad rusa haciéndose pasar por este tipo de alertas, tratan de instalarse solicitando con urgencia a los usuarios instalar una actualización del certificado de seguridad que supuestamente se ha caducado.
Para asegurar el éxito de infección de los equipos de las potenciales víctimas, la falsa alerta aparece en pantalla a través de un iframe, con lo que la dirección de la página web legítima aparece sin modificación en el navegador con la intención de que los usuarios no sospechen nada.
Si los usuarios pulsan sobre el botón Instalar, que además aparece señalado como opción recomendada, se inicia la descarga de un ejecutable que no es más que malware. Al instalarse, la víctima quedará infectada con un troyano, bien sea Mokes o Buerak, capaz de ejecutar código, manipular procesos en ejecución, robar información, hacer capturas de pantalla, audio o vídeo, instalar una puerta trasera en el equipo e incluso utilizar un fuerte cifrado para camuflar su actividad.
Las primera infecciones a través de esta técnica, explican desde Kaspersky, se remontan al 16 de enero de este mismo año.
Ver 1 comentarios