descarga oculta de troyano = BlackHat SEO + Java vulnerable
Son multiples las formas en que Java es utilizado para infectar por eso es de suma importancia mantenerlo actualizado o bien no tenerlo instalado si es algo que no se suela usar. En relación a esto, el siguiente es un ejemplo de ataque BlackHat SEO que aprovecha Java para instalar un troyano.
Todo comienza con la búsqueda de una imagen en Google, al hacerle clic para verla más grande los usuarios son redireccionados a una página que intenta infectar sus equipos:
Al hacer clic en la imagen se termina en la siguiente página:
La página carga un exploit que aprovecha una vulnerabilidad conocida de Java (CVE-2010-0840), si la versión instalada es vieja el exploit puede descargar y ejecutar cualquier archivo de forma oculta. En este caso la descarga es un troyano que permite controlar el equipo de forma remota.
Las víctimas lo único que ven es un falso error en la página y las más atentas notarán que Java se está ejecutando mientras la página está abierta, lo cual sumado al redireccionamiento anterior es demasiado extraño.
Esto sucede porque el sitio legítimo donde se encuentra la imagen fue vulnerado, los atacantes colocaron códigos para redireccionar a todos los visitantes que acceden desde un buscador como Google. Ocurre con todas las páginas e imágenes que están alojadas en el sitio, si se accede directamente no sucede nada y en equipos diferentes a Windows la redirección apunta a un sitio de citas.
La proxima vez que te salga 404 error not found por las dudas hacete un chequeo del equipo
