El servicio de Google es utilizado para propagar distintos códigos maliciosos a través de grupos con contenido pornográfico, según informa la compañÃa desarrolladora de ESET NOD32 Antivirus.
ESET advierte sobre la utilización del servicio “Google Groups” para propagar códigos maliciosos a través de grupos relacionados con la pornografÃa.
Las amenazas propagadas a través de esta técnica son fundamentalmente las que descargan otros programas dañinos al equipo infectado sin que el usuario se percate de ello. Esto proporciona a los creadores del malware la posibilidad de cambiar el fichero malicioso que se descarga, aumentando las posibilidades de causar daños.
El servicio de grupos de Google es un reflejo (a través de páginas web) del servicio de noticias USENET empleado desde hace muchos años en distintos servidores. A través del protocolo NNTP (similar al utilizado para el correo electrónico), los usuarios pueden debatir, discutir y opinar sobre cualquier tema posible que los vincule. Existen miles de grupos creados con temáticas muy diversas relacionadas con el deporte, la educación, la tecnologÃa o la polÃtica entre muchas otras.
El servicio USENET, usado desde los años 80, ha sido un canal de infecciones vÃricas clásico, pero entró en decadencia al utilizarse otro tipo de sistemas de comunicación, como los foros web. Sin embargo, tras la compra por parte de Google de un sistema de lectura de noticias USENET a través de web, muchos usuarios lo han redescubierto y ha tomado un nuevo auge. Es interesante destacar que el primer mensaje considerado spam no fue a través del correo electrónico, sino a través de USENET en 1994.
Precisamente este auge es el que aprovechan los creadores de código malicioso, reactivando un canal de ataque que se suponÃa en decadencia. Los grupos de noticias USENET y replicados por Google en los que ha sido detectado el malware son algunos de los dedicados a la pornografÃa y en ellos se incluyen imágenes y supuestos videos que descargan distintos códigos maliciosos y violan las “Condiciones del Servicio” establecidas por Google, donde se prohÃbe la distribución de malware. Sin embargo, el código puede provenir de un servidor absolutamente ajeno a Google, replicado de manera automática.
El uso de sitios pornográficos es bastante habitual para distribuir malware, ya que, según Fernando de la Cuadra, director de Educación de Ontinet, “en caso de resultar infectado un usuario, procurará no hacerlo público y tratar de disimularlo, ya que no suele ser habitual reconocer abiertamente que se ha visitado un sitio pornográfico”.
Cuando un usuario navega por la página web mostrada por Google Groups del grupo en cuestión (imagen de los sistemas replicados en cientos de servidores), encuentra imágenes y enlaces a supuestos videos. Al hacer clic sobre cualquiera de ellos, se descargan distintos códigos maliciosos entre los que se destacan, principalmente, Win32/TrojanDownloader.Zlob, un troyano que descarga otros tipos de malware, y Win32/TrojanClicker.Agent.F, un troyano que realiza clics automáticamente en otros sitios para beneficiarlos.
Fuente: Hispasec