{"id":248,"date":"2016-05-23T14:34:01","date_gmt":"2016-05-23T14:34:01","guid":{"rendered":"http:\/\/blog.alvarconsultores.com.uy\/?p=248"},"modified":"2016-05-23T14:34:01","modified_gmt":"2016-05-23T14:34:01","slug":"botnet-interfiere-en-resultados-de-busqueda-mediante-https","status":"publish","type":"post","link":"https:\/\/blog.alvarconsultores.com.uy\/?p=248","title":{"rendered":"Botnet interfiere en resultados de b\u00fasqueda mediante HTTPS."},"content":{"rendered":"<p style=\"text-align: center;\"><a href=\"https:\/\/blog.alvarconsultores.com.uy\/wp-content\/uploads\/2016\/05\/54545.png\"><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-full wp-image-249\" src=\"https:\/\/blog.alvarconsultores.com.uy\/wp-content\/uploads\/2016\/05\/54545.png\" alt=\"54545\" width=\"287\" height=\"204\" \/><\/a><\/p>\n<p>Mucho se habla de la seguridad que ofrece estar navegando bajo el cifrado HTTPS, catalogado como un sitio seguro, pero desde hace dos a\u00f1os un grupo de cibercriminales logr\u00f3 infectar a aproximadamente un mill\u00f3n de equipos mediante un malware que secuestra los resultados de b\u00fasqueda, incluso cuando las conexiones son realizadas bajo el protocolo de seguridad HTTPS.<\/p>\n<p>La firma de seguridad Bitdefender explica este hecho, se trata de un botnet que se inicia cuando el usuario hace click sobre un anuncio que se muestran com\u00fanmente en los sitios web, los propietarios del sitio web son los que ganan dinero gracias al programa AdSense de Google. Este programa de afiliados est\u00e1 dirigido a los propietarios de sitios web, permite a los administradores del sitio introducir un motor de b\u00fasqueda personalizado para generar ingresos cuando los usuarios hacen click sobre los anuncios generados por el buscador dentro del sitio.<\/p>\n<p>Aqu\u00ed es cuando el problema comienza, los cibercriminales operando la botnet eran capaces de interceptar las b\u00fasquedas de Google, Bing y Yahoo realizadas por los usuarios desde sus equipos. \u00bfC\u00f3mo? Mediante la utilizaci\u00f3n de un malware llamado Redirector.Paco, este programa es capaz de interceptar las comunicaciones y reemplazar los resultados leg\u00edtimos por otros, generados por el malware, que por supuesto conducen a sitios maliciosos.<\/p>\n<p>Redirector.Paco viene operando desde el a\u00f1o 2014 y dentro de sus logros se encuentra la cifra de 900.000 equipos infectados en todo el mundo, donde destacan pa\u00edses como India, Malasia, Estados Unidos, Italia, Paquist\u00e1n, Brasil y Algeria. El m\u00e9todo de infecci\u00f3n del malware es muy variado, ya que tiene varias posibilidades a su alcance, se distribuye principalmente por falsos instaladores modificados de programas conocidos como, WinRAR, Connectify, Youtube Downloader, Stardock Star8 y KMSPico. Cuando la v\u00edctima instala uno de estos programas mediante estos falsos instaladores en realidad est\u00e1 alojando Redirector.Paco en su equipo, una vez alojado modifica la configuraci\u00f3n de Internet y utiliza un proxy web configurado por los cibercriminales, todo gracias a un fichero de configuraci\u00f3n autom\u00e1tica de proxy, que les permite hacerlo sin tener que manipular nada.<\/p>\n<p>En cuanto al proxy, hay dos tipos de variante para que el resultado de las b\u00fasquedas maliciosas tenga el efecto deseado. Uno de ellos es que el fichero de configuraci\u00f3n autom\u00e1tica de proxy se encuentre alojado en el servidor de los cibercriminales y sea detectado por el usuario, esto se logr\u00f3 descubrir porque al realizar b\u00fasquedas aparec\u00eda un texto \u201cesperando al t\u00fanel de proxy\u201d. La segunda variante es la instalaci\u00f3n de un proxy man-in-the-middle escrito en .NET en el equipo de la v\u00edctima, para ello se utiliza el software FiddleCore para interceptar las conexiones HTTPS. Para cualquiera de los dos casos, el malware busca instalar sus propios certificados de seguridad para los motores de b\u00fasqueda Google, Bing y Yahoo, que deber\u00e1n ser aceptados cuando la v\u00edctima abre su navegador web.<\/p>\n<p>Este tipo de ataque man-in-the-middle es un tanto diferente a los que estamos acostumbrados a escuchar, ya que el usuario realiza una b\u00fasqueda normal y corriente en su buscador de preferencia, para que despu\u00e9s el malware intercepte la b\u00fasqueda y modifique los resultados en base a sus propios certificados para mostrarle al usuario los sitios que los cibercriminales crean conveniente.<\/p>\n<p>Como la v\u00edctima acept\u00f3 los certificados una vez que aloj\u00f3 el malware en su equipo e inici\u00f3 el navegador, no se ver\u00e1 ning\u00fan tipo de comportamiento extra\u00f1o por parte del usuario, ni por ning\u00fan programa antimalware.<\/p>\n<p>\u00bfRecuerdas el caso de Lenovo y Superfish? El popular incidente entre la firma Lenovo y la instalaci\u00f3n de un malware de f\u00e1brica sin el consentimiento del usuario, que seg\u00fan ellos, dec\u00edan que era para registrar la actividad en la web y ofrecerte publicidad relacionada con tus intereses. Pero en realidad no parec\u00eda ser tan as\u00ed, ya que se podr\u00eda estar robando datos confidenciales de los usuarios. Aqu\u00ed Redirector.Paco nos hace recordar a grandes rasgos en caso de Superfish, instalando certificados en el equipo, interceptando las comunicaciones y redirigiendo las b\u00fasquedas a otro sitio.<\/p>\n<p>Si hay algo seguro es que Redirector.Paco \u00fanicamente instala certificados que se pueden utilizar en un solo equipo, esto quiere decir que los certificados no pueden ser extra\u00eddos de un equipo infectado para enviar ataques man-in-the-middle contra otras v\u00edctimas.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Mucho se habla de la seguridad que ofrece estar navegando bajo el cifrado HTTPS, catalogado como un sitio seguro, pero desde hace dos a\u00f1os un grupo de cibercriminales logr\u00f3 infectar a aproximadamente un mill\u00f3n de equipos mediante un malware que secuestra los resultados de b\u00fasqueda, incluso cuando las conexiones son realizadas bajo el protocolo de [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-248","post","type-post","status-publish","format-standard","hentry","category-sin-categoria"],"_links":{"self":[{"href":"https:\/\/blog.alvarconsultores.com.uy\/index.php?rest_route=\/wp\/v2\/posts\/248","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.alvarconsultores.com.uy\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.alvarconsultores.com.uy\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.alvarconsultores.com.uy\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.alvarconsultores.com.uy\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=248"}],"version-history":[{"count":1,"href":"https:\/\/blog.alvarconsultores.com.uy\/index.php?rest_route=\/wp\/v2\/posts\/248\/revisions"}],"predecessor-version":[{"id":250,"href":"https:\/\/blog.alvarconsultores.com.uy\/index.php?rest_route=\/wp\/v2\/posts\/248\/revisions\/250"}],"wp:attachment":[{"href":"https:\/\/blog.alvarconsultores.com.uy\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=248"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.alvarconsultores.com.uy\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=248"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.alvarconsultores.com.uy\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=248"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}