Hasta ahora, Trend Micro ha descubierto un sitio malicioso con un nombre de dominio que copia la web oficial de la UEFA Euro 2012 y las páginas web que dirigen a sitios de estafas de encuestas y páginas de seguimiento de anuncios.
Dominios maliciosos que alojan múltiples amenazas
Mientras se llevaba a cabo una investigación proactiva, el equipo de Trend Micro se fijó en un sitio que trataba de imitar la página oficial de la UEFA, www.uefa.com Tras la investigación se ha concluido que este site actualmente aloja varias modalidades de malware, uno de ellos es la variante de un falso antivirus FAKEAV-, TROJ_FAKEAV.HUU. Una vez ejecutado en el sistema, este código malicioso muestra un resultado del escaneo y análisis del supuesto sistema infectado. Esto puedo solicitar a los usuarios la compra del programa antivirus falso y activación de dicho producto.
La página de activación de FAKEAV es en realidad una página de phishing diseñada para engañar a los usuarios con el fin de que faciliten información sensible. TROJ_FAKEAV.HUU también se ha encontrado para desactivar los navegadores web (Internet Explorer, Mozilla Firefox y Google Chrome).
Este dominio también aloja el archivo TROJ_DLOADR.BGV, que conecta a tres URLs diferentes para descargar una variante de ZBOT conocida como TSPY_ZBOT.JMO. Las variaciones de ZBOT son conocidos ladrones de información especializados en el robo de credenciales de registro de banca online. Para saber más sobre las variantes de ZBOT/ZeuS, puede consultar la investigación publicada por Trend Micro Zeus: A Persistent Criminal Enterprise.
Blackhat SEO sigue con su racha
Los cibercriminales también han utilizado el partido jugado entre las selecciones de Portugal y República Checa el pasado día 21 como su táctica de ingeniería social para Blackhat Search Engine Optimization (BHSEO).
Cuando los usuarios buscaban palabras clave como Ver Portugal vs República Checa en directo, el site malicioso aparecía como uno de los primeros resultados de la búsqueda. En el momento en que los usuarios accedían a él, eran redireccionados a una página de ofertas de vídeo en lugar de a la retransmisión del vídeo del partido. Si los usuarios eligen la oferta, sin saberlo, van a acceder a páginas afiliadas a dicho site que se dedican al rastreo de la ubicación del usuario y de su dirección IP. De este modo, los estafadores pueden ganar dinero con tan sólo utilizar detalles como la página de visitas a sus anuncios.
Otro ataque similar aprovechó el partido que Italia e Inglaterra jugaron el día 24 de junio. El site {BLOCKED} glandvsitalylivestreameuro2012online.com redirige a los usuarios a www.{BLOCKED}og.com que supuestamente ofrece la retransmisión en directo del evento. En realidad, la página sólo conduce al usuarios a una web de estafa mediante encuestas que, finalmente, dirige a sitios para abonados y de rastreo.
Extensión de la Web de laUEFA 2012, Facebook Clicjacking o secuestros de clic en Facebook
También se ha encontrado otra extensión falsa alojada en Chrome Web Store. Sobre la base del análisis de Trend Micro, una vez que los usuarios añaden éste al navegador y lo ponen en marcha sólo redirige al site malicioso www.{BLOCKED}linetv.biz también conduce a sitios de rastreo de anuncios y abonados.
Lamentablemente los usuarios de Facebook no se han librado de esta amenaza, tal y como advierte Trend Micro, que ha descubierto publicaciones en varios muros que supuestamente dirigen a una página de streaming de vídeo para el evento. Sin embargo, como la extensión de la web falsa, la página también conduce a sitios de abonados que permiten a los delincuentes ganar dinero con las visitas de los usuarios.
La Eurocopa 2012 también atrae a sitios de medicamentos falsos
Rik Ferguson, Director de Investigación de Trend Micro, indica que se han encontrado mensajes de spam que utilizan los resultados de los marcadores de los equipos que participan en la Eurocopa 2012, tal y como se muestra a continuación:
A los usuarios que hayan recibido algún correo electrónico similar al de la imagen de arriba se les advierte de no hacer clic en el enlace que conduce a páginas de farmacias canadienses que venden medicamentos falsificados.
Trend Micro protege a los usuarios de estas amenazas
Los usuarios de Trend Micro ya están protegidos de estas amenazas a través de Smart Protection Network, que bloquea estas URLs maliciosas y detecta aquellas que están relacionadas con malware. Utilizar los eventos deportivos como la Eurocopa 2012 como cebo para crear sitios maliciosos es una técnica de ingeniería social muy popular, por lo que los usuarios deberían tener cuidado al visitar y marcar las web fiables en base a la última revisión de la UEFA. Si desea tener más información sobre las amenazas web que afectan a los aficionados del deporte, puede consultar el documento Deporte como cebo: los cibercriminales juegan a ganar.
