Mucho se habla de la seguridad que ofrece estar navegando bajo el cifrado HTTPS, catalogado como un sitio seguro, pero desde hace dos años un grupo de cibercriminales logró infectar a aproximadamente un millón de equipos mediante un malware que secuestra los resultados de búsqueda, incluso cuando las conexiones son realizadas bajo el protocolo de seguridad HTTPS.
La firma de seguridad Bitdefender explica este hecho, se trata de un botnet que se inicia cuando el usuario hace click sobre un anuncio que se muestran comúnmente en los sitios web, los propietarios del sitio web son los que ganan dinero gracias al programa AdSense de Google. Este programa de afiliados está dirigido a los propietarios de sitios web, permite a los administradores del sitio introducir un motor de búsqueda personalizado para generar ingresos cuando los usuarios hacen click sobre los anuncios generados por el buscador dentro del sitio.
Aquí es cuando el problema comienza, los cibercriminales operando la botnet eran capaces de interceptar las búsquedas de Google, Bing y Yahoo realizadas por los usuarios desde sus equipos. ¿Cómo? Mediante la utilización de un malware llamado Redirector.Paco, este programa es capaz de interceptar las comunicaciones y reemplazar los resultados legítimos por otros, generados por el malware, que por supuesto conducen a sitios maliciosos.
Redirector.Paco viene operando desde el año 2014 y dentro de sus logros se encuentra la cifra de 900.000 equipos infectados en todo el mundo, donde destacan países como India, Malasia, Estados Unidos, Italia, Paquistán, Brasil y Algeria. El método de infección del malware es muy variado, ya que tiene varias posibilidades a su alcance, se distribuye principalmente por falsos instaladores modificados de programas conocidos como, WinRAR, Connectify, Youtube Downloader, Stardock Star8 y KMSPico. Cuando la víctima instala uno de estos programas mediante estos falsos instaladores en realidad está alojando Redirector.Paco en su equipo, una vez alojado modifica la configuración de Internet y utiliza un proxy web configurado por los cibercriminales, todo gracias a un fichero de configuración automática de proxy, que les permite hacerlo sin tener que manipular nada.
En cuanto al proxy, hay dos tipos de variante para que el resultado de las búsquedas maliciosas tenga el efecto deseado. Uno de ellos es que el fichero de configuración automática de proxy se encuentre alojado en el servidor de los cibercriminales y sea detectado por el usuario, esto se logró descubrir porque al realizar búsquedas aparecía un texto “esperando al túnel de proxy”. La segunda variante es la instalación de un proxy man-in-the-middle escrito en .NET en el equipo de la víctima, para ello se utiliza el software FiddleCore para interceptar las conexiones HTTPS. Para cualquiera de los dos casos, el malware busca instalar sus propios certificados de seguridad para los motores de búsqueda Google, Bing y Yahoo, que deberán ser aceptados cuando la víctima abre su navegador web.
Este tipo de ataque man-in-the-middle es un tanto diferente a los que estamos acostumbrados a escuchar, ya que el usuario realiza una búsqueda normal y corriente en su buscador de preferencia, para que después el malware intercepte la búsqueda y modifique los resultados en base a sus propios certificados para mostrarle al usuario los sitios que los cibercriminales crean conveniente.
Como la víctima aceptó los certificados una vez que alojó el malware en su equipo e inició el navegador, no se verá ningún tipo de comportamiento extraño por parte del usuario, ni por ningún programa antimalware.
¿Recuerdas el caso de Lenovo y Superfish? El popular incidente entre la firma Lenovo y la instalación de un malware de fábrica sin el consentimiento del usuario, que según ellos, decían que era para registrar la actividad en la web y ofrecerte publicidad relacionada con tus intereses. Pero en realidad no parecía ser tan así, ya que se podría estar robando datos confidenciales de los usuarios. Aquí Redirector.Paco nos hace recordar a grandes rasgos en caso de Superfish, instalando certificados en el equipo, interceptando las comunicaciones y redirigiendo las búsquedas a otro sitio.
Si hay algo seguro es que Redirector.Paco únicamente instala certificados que se pueden utilizar en un solo equipo, esto quiere decir que los certificados no pueden ser extraídos de un equipo infectado para enviar ataques man-in-the-middle contra otras víctimas.