Un atacante ha añadido una instrucción para descargar un ejecutable, a través de un código JavaScript aparentemente inofensivo, que manipula el tamaño de las fuentes de la página de noticias TCSDaily. El número de sistemas expuestos al ataque aumentó repentinamente cuando en Reddit apareció un enlace que conducía hacia el peligroso artículo del TCSDaily.
El JavaScript malicioso fuerza al navegador del usuario a descargar y ejecutar un troyano (detectado por BitDefender como Trojan.Downloader.Small.BIB) que se encuentra hospedado en una página China, de alto nivel de peligrosidad.
“Se trata de una simple pieza de malware, pero debido a su ofuscación, la mayoría de antivirus no pueden detectarlo. El proceso que fuerza la instalación del malware es el siguiente: al principio, uno se infecta con algo que es aparentemente inofensivo, pero en realidad muy sigiloso, el tipo de cosas que el software antivirus normalmente tiende a ignorar. Pero una vez el sistema se ha infectado, todo es posible.” Han declarado analistas del Laboratorio de BitDefender. “Estamos siguiendo la pista y encontrando nuevo malware allá por donde analizamos. Es como estar buceando en grutas, siempre encuentras un nuevo rincón que se convierte en un pasaje hacia otra gruta.”
El trojan downloader empieza a descargar cuatro tipos de malware: un backdooor, un adware, un programa dedicado a robar contraseñas y otro troyano, conocidos respectivamente como Backdoor.Poisonivy.M, Adware.Bho.WOX, Trojan.Pws.OnlineGames.AUD y Trojan.Agent.ADL. Este último descarga todavía más malware (detectado por BitDefender como Backdoor.Hupigon.YEO) a través de una segunda página web.
