Botnet adultera resultados de búsqueda realizados a través de HTTPS

Un-botnet-que-secuestra-HTTPS-ha-afectado-a-1-millón-de-computadoras

Desde hace dos años, un grupo de cibercrimnales ha infectado a casi un millón de computadoras a través de un malware que secuestra los resultados de búsqueda, incluso cuando las conexiones son realizadas a través de HTTPS.

Según informan desde Bitdefender, el botnet se inicia a través de un clic de ratón sobre un anuncio que se puede encontrar en los sitios web, y ha permitido a sus creadores ganar dinero a través del programa AdSense para Búsqueda de Google. El programa de afiliados, destinado a los propietarios de sitios web, permite a estos últimos colocar un motor de búsqueda personalizado para generar ingresos cuando los usuarios hacen clic sobre los anuncios mostrados en los resultados de búsqueda.

En vez de realizar lo descrito en el párrafo anterior, los operadores del botnet interceptaban búsquedas de Google, Bing y Yahoo realizadas por los usuarios desde sus propias computadoras, reemplazando los resultados legítimos por otros generados por el motor de búsqueda de los atacantes, utilizando para ello un malware llamado Redirector.Paco.

Redirector.Paco ha estado activo desde mediados de 2014 y ha infectado a unas 900.000 computadoras en todo el mundo, siendo los países más afectados India, Malasia, Estados Unidos, Italia, Paquistán, Brasil y Algeria. El malware se ha distribuido a través de instaladores modificados de aplicaciones conocidas, como WinRAR, Connectify, YouTube Downloader, Stardock Start8 y KMSPico. Una vez instalado, Redirector.Paco modifica la configuración de Internet y utiliza un proxy web establecido por los atacantes a través de un fichero de Configuración Automática de Proxy (PAC).

Es importante mencionar que hay dos variantes de este malware. En la primera el fichero PAC está alojado en el servidor y puede ser detectado por el usuario, ya que a veces los resultados de las búsquedas se retrasan y podrá ver un mensaje de tipo "esperando al túnel de proxy"; mientras que la segunda está escrita en .NET e instala un proxy man-in-the-middle en el ordenador de la víctima, utilizando el software de terceros FiddlerCore para interceptar las conexiones HTTPS. En ambos casos se dedica a instalar certificados propios para Google, Yahoo y Bing, que tendrían que ser aceptados una vez que la víctima abre su navegador web.

Básicamente estamos ante un caso de ataque man-in-the-middle, en el cual el usuario realiza una conexión correcta y legítima con su buscador favorito, pero luego el malware reemplaza los resultados a través sus propios certificados y los sirve al usuario. Debido a que la víctima aceptó los certificados no verá ningún comportamiento extraño ni posiblemente salte el antimalware que esté empleando.

Este caso recuerda mucho al de Superfish, gran referente de este tipo de ataque man-in-the-middle. Sin embargo, es importante tener en cuenta que Redirector.Paco instala certificados únicos por cada computadora, haciendo que los certificados no puedan ser extraídos de una computadora infectada para lanzar ataques man-in-the-middle contra otros.

Fuente | CSO Online