Trend Micro, líder global en seguridad de contenido de Internet, alerta a los usuarios respecto de una nueva amenaza informática que clona páginas de YouTube, el famoso sitio en el que se comparten videos.
La amenaza, que insta a los usuarios a descargar un programa adicional para poder ver videos y luego de cuya instalación roba datos de la PC infectada, forma parte de kits de herramientas que ofrecen una guía sencilla para la creación de este malware, incluso para los usuarios no técnicos. “Normalmente estos kits no sólo se venden con una guía sencilla que explica el paso a paso para crear estas amenazas informáticas, sino que además pueden ser adquiridos a precios bajos –en vista de lo que logran robar- en el orden de 700 a 3,000 dólares”, explica Maximiliano Cittadini, Tem Leader de Servicios de Trend Argentina.
“El esfuerzo de crear un kit de herramientas tan completo para permitir un ataque como éste, se sustenta en la revolución que han tenido en el último tiempo los medios sociales, y la popularidad que éstos poseen en la vida diaria de los internautas”, completa Cittadini.
Más información técnica acerca de la amenaza
YouTube Fake Creator apareció por primera vez en los foros subterráneos. Al ejecutar el kit de herramientas se despliega una GUI (Graphical User Interface, artefacto tecnológico de un sistema interactivo que posibilita, a través del uso y la representación del lenguaje visual, una interacción amigable con un sistema informático) escrita en español que contiene cuadros para completar y menús de cascada. Estas opciones le permiten al atacante especificar la ubicación del servidor, la barra de títulos y el texto del título de la ventana, el título y descripción del video, e incluso los elementos para hacer comentarios. La GUI del kit de herramientas incluso le pide al atacante especificar cuánto tiempo debe desplegarse la página de error. Asimismo, le permite modificar el código fuente de cierto index.html y error.html. Después de anotar las especificaciones, el kit crea los dos archivos html mencionados.
El ataque se realiza de la siguiente manera:
1. El archivo index.html es la página falsa de YouTube, que requiere que el usuario descargue un plugin para ver los videos de la página. Los atacantes pueden enviar enlaces a través de diferentes vectores de infección.
2. Por desgracia, esta es una treta común y los usuarios que den clic a la barra amarilla de la página falsa descargarán sin darse cuenta el archivo que el atacante especificó. Este archivo, por supuesto, puede incluir un troyano, un script o un keylogger. Se ejecuta automáticamente en el sistema sin que el usuario lo sepa.
3. Para parecer más convincente, el ataque despliega un segundo archivo, error.html, posiblemente para evitar sospechas.
