Ayer hubo sesión futbolera internacional, en concreto, muchas selecciones se estaban jugando el billete al mundial de Brasil en varias 'repescas'. Personalmente me interesaban mucho más otros partidos que no se emitían por televisión y decidí visualizarlos en el conocido portal 'RojaDirecta'.
Normalmente estoy bastante acostumbrado a la publicidad que suelen insertar las páginas que enlaza rojadirecta, que si 'has ganado un Iphone', 'Eres el visitante 1.000.000' y otra suerte de publicidad que, groso modo, me resulta hasta simpática.
Sin embargo, ayer, mientras veía el emocionante Francia - Ukrania me apareció una 'publicidad' encubierta que por unos instantes me hizo dudar de si era real o no
'Por favor instale el HD Player para continuar (Obligatorio)' insertado en la parte de abajo y también en un lateral
La verdad es que suena convincente y estoy seguro que un gran número de personas habrán picado el anzuelo.
Si hacemos 'click' sobre el anuncio, depende del User-Agent que le llegue al servidor mostrará una cosa u otra, si usas un sistema no windows, te lleva a una página tal que así
En teoría hay que introducir un número de teléfono, aunque la publicidad es claramente engañosa, el destino final es relativamente inocuo.
El problema es qué, si hacemos 'click' desde ese anuncio en un sistema Windows, el resultado es notablemente diferente, ya que llegamos a una URL ofuscada
http://ttb.proplayersetup.com/download/request/51ed59775f1c1e7116000003/gHubmWPD?pixelid=DSfHH7UrVSlizXlq0K_X_NdMdogneF3FR6wmEUBHF_Q5i63nSZ9vn0gZzPW2PtlARnM0JO-zXh_SZqFVe-EMrtlEav6iug4U4NZLz2IXgcv70TeIMZu_tS6c0CpEXABVOlrD7vuJT5tN4CDoyi-ZtOuFGQ3fnQ4z8rvr_t0M5F-IuKq70WZQLw0vd6A-cT7OH1L0OY62NErj09sTeetQ0HFZeZnO5bkhOH3QShX3BeY2jCgxShboUFi2ox9-K0g-Dco1AXyPIL8i1P88D-40GhsalXdnMl6MmyGzKhbDZ3EMOS2AeR7ALI_ALjQmTEY297jieh0MyyU9cUmAOjoRHEAwHYP9WFs9pHFbYVUl0OfpksrzUgVyjH9C5e1XtvFqJd2AhNyTSIO1eQOV
Y esta, termina en la descarga de un ejecutable llamado 'Player_Setup.exe' que, si lo hacemos llegar a Virustotal, nos muestra que ha sido clasificado por 11 motores de antivirus como peligroso
Un vistazo muy muy preliminar al ejecutable muestra acciones en el registro, procesos, privilegios del usuario ...
Obviamente entiendo que para RojaDirecta es complejo controlar este tipo de cosas y desde ya, les doy un voto de confianza, el problema son los enlaces a las páginas que pueden estar controladas por desaprensivos.
