Un gusano o “worm” se está diseminando rápidamente a través de la red social de microblogging haciendo que los vínculos compartidos mediante el servicio de acortamiento de links goo.gl (propiedad de Google) sean redireccionados hacia una página fraudulenta.
De esta forma, cualquier usuario que cliquee en un vínculo de goo.gl será llevado a una campaña de malware que utiliza la fachada de un antivirus falso que revisará el sistema.
De acuerdo con el sitio ZdNet, el analista de Karspersky Labs Nicolas Brulez indicó que todos los mensajes de twitter “infectados” están redireccionando hacia diferentes dominios que poseen una página llamada “m28sx.html”. Esta página se encarga de redireccionar, a su vez, a un dominio estático de Ucrania.
Allí no termina todo. Este dominio vuelve a redireccionar al usuario hacia otra dirección IP, la cual ya había sido linkeada en otros ataques a falsas distribuciones de antivirus. “Esta dirección IP hará entonces la redirección final, que lleva al actual sitio falso de antivirus”, explica Brulez.
Una vez en el sitio malicioso, un mensaje avisa que la computadora está ejecutando aplicaciones sospechosas y aconseja al usuario a correr un antivirus falso. Como es usual, la máquina termina siendo infectada con sofware malicioso y el scaneo del antivirus es un truco para descargar una herramienta de desinfección falsa.
Esta no es la primera vez que un gusano ataca a Goo.gl, pues en diciembre pasado ocurrió un ataque similar. Además, a principio de año, un miembro de seguridad del staff de la red social expuso por error a los usuarios a una amenaza que hacía que los usuarios sean víctimas de un gusano cuyos equipos fueron infectados simplemente por pasar el mouse por encima de los tweets que contenían palabras subrayadas con puntos, carácteres bloqueados y palabras coloreadas.