Se ha detectado un gusano de Twitter que se expande rápidamente y que usa el servicio de redirección de goo.gl de Google para impulsar los usuarios incautos a una notoria campaña de scareware (falso anti-virus).

La búsqueda en Twitter muestra los miles de mensajes dejados en este servicio que continúan expandiendo el gusano.

De acuerdo a los cazadores de malware que dan seguimiento a la amenaza, la cadena generada por el gusano encamina a los usuarios a una página Web que sirve el antivirus falso «Security Shield”. La página utiliza técnicas de ofuscación que incluyen una aplicación de la criptografía RSA en JavaScript para ocultar el código de la página.

Según un investigador de malwares, los enlaces originales de «goo.gl» en los mensajes de Twitter están redirigiendo a los usuarios a dominios diferentes con una página «m28sx.html». Esa página redirige a un dominio estático con una dirección de nivel superior en Ukraina.

Como si no fuera suficiente, este dominio encamina al usuario a otra dirección IP que en el pasado se ha vinculado a las distribuciones de un falso anti-virus. «Esta dirección de IP realizará la redirección final, que conduce al actual sitio del falso antivirus»

Una vez que una sesión del navegador del usuario es redirigida al sitio malicioso, un mensaje de advertencia afirma que el equipo está ejecutando aplicaciones sospechosas, y anima al usuario a realizar una exploración. Como es costumbre, el resultado es que la máquina está infectada con diversas amenazas y la estafa consiste en engañar al usuario para que descargue una herramienta de desinfección falsa.
Fuente