Hoy me llegaron dos correos con imágenes exactamente iguales que parecían ser los correos que envía CNN denominados “The daily top 10”.

La primera parte que está sombreada en azul apunta al mismo sitio en cada correo. Es decir, cualquier liga a la que se le dé clic lleva al mismo lugar.

Sin embargo, cada correo apunta a distintos dominios.

La segunda parte apunta al sitio real de CNN en Estados Unidos a su respectiva liga:

– Privacy guidelines

– Contact us

– Manage settings

Al sitio que llevan las ligas falsas. Muestran una página con fondo negro y un logo mal colocado de CNN donde supuestamente se reproduciría un video.

Pero inmediatamente aparece una ventana que emula una ventana que podría desplegar el reproductor de Flash solicitando se actualice la versión para poder reproducir el video.

Esa actualización de Flash no es tal sino un troyano:

Trojan-Downloader.JS.Psyme.ake

Si uno no acepta la descarga vuelve a aparecer una ventana, esta vez de JavaScript con el mensaje:

“You need to download proper Codec to play this movie. Click ‘OK’ to start download.”

Presionas cancelar y luego aparece el mensaje

“Please install proper Codec.”

Regresando al mensaje original que finalmente obliga o a cerrar la ventana o a cerrar el navegador ya que no deja hacer nada más.

Otro mensaje que llegó el día de hoy es también de CNN pero es sólo un mail alert. En él sólo la liga que es de la historia completa “Full Story” es la que lleva al sitio falso que busca descargar el Troyano (Trojan-Downloader.Win32.Exchanger.la) y esta vez está en Rusia.

Aquí ya se empeñaron un poquito más en poner el fondo blanco para que el logo se viera mejor y una cantidad considerable de links y rellenos maquillados para hacerlo parecer más real. Lo que parece sin lugar a dudas más real es la Pop-up que indica que la versión de Flash es incorrecta.

En el caso del navegador que uso: Opera, la ventana de JavaScript tiene una opción donde uno puede desactivar la ejecución de los Scripts para casos como éste donde el sitio es fraudulento o cuando está mal programado.

Nuevamente, Kaspersky Internet Security 2009, frenó el ataque en su módulo “Web Traffic” e indicó  oportunamente la presencia del Troyano.

Aquí lo puedes descargar

Saludos