La cuestión, como todas las que atañen a la ciberseguridad, no es baladí. Al parecer, un grupo de ciberdelincuentes podría haber infectado hasta un millón de ordenadores en todo el mundo durante los últimos dos años. ¿Su arma? Un malware que secuestra las páginas de resultados usando un proxy local. El descubrimiento es obra de Bitdefender, la empresa de ciberseguridad rumana, quienes revelaron la presencia de este botnet masivo que utiliza la técnica del fraude por clic. El malware en cuestión se conoce como Redirector.Paco.
Para los profanos en materia, los botnets son redes de ordenadores infectados con un malware que está diseñado para tomar el control del sistema infectado sin el conocimiento del propietario, lo que podría ser utilizado para el lanzamiento de ataques de denegación de servicio contra sitios web.
Redirector.Paco infecta a los usuarios cuando descargan e instalan versiones corrompidas de software popular (WinRAR, YouTube Downloader, KMSPico…). Una vez infectado el sistema, modifica las claves de registro local del equipo y añade dos nuevas entradas disfrazadas de actualizaciones de Adobe Flash para asegurarse de que el malware se inicia después de cada proceso de arranque del ordenador.
Paco luego realiza sniffing de todo el tráfico web procedente del ordenador infectado y busca las consultas realizadas en Google, Bing o Yahoo! y reemplaza los resultados reales con las páginas web falsas, imitando a su interfaz de usuario real. Una vez conseguido esto, ya tienen a su presa a su merced, pues el usuario con su sistema infectado estará interactuando con páginas controladas por los ciberdelincuentes.
A pesar de que el malware intenta hacer que los resultados de búsqueda resulten auténticos, algunos marcadores pueden levantar sospechas, como muestran los mensajes «Esperando túnel proxy» o «Descarga de script de proxy» en la barra de estado de su navegador web.
Además, el motor de búsqueda funciona más lento de lo habitual para cargar los resultados, y no se muestran los caracteres amarillos típicos ‘O’ en Google por encima de los números de página, por ejemplo. Todos estos aspectos son claves para poder determinar si nuestro sistema ha sido infectado.
Según Bitdefender, la mayoría de las víctimas son de la India, Malasia, Grecia, Estados Unidos, Italia, Pakistán, Brasil y Argelia, aunque en realidad se reparten por todo el mundo.
Desde The Security Sentinel no nos cansaremos de repetir que la primera medida de ciberseguridad recae en el propio usuario y en su sensatez. Tomar medidas tales como mantener su sistema y antivirus al día, y siempre mantener la sospecha ante cualquier irregularidad son acciones que pueden ahorrarnos más de un disgusto.
