De vez en cuando aparecen campañas de infección que nos sorprenden por su "buen hacer" u originalidad. Hemos descubierto hoy una página que, si bien no es nada del otro mundo técnicamente, pretende simular una actualización del navegador de manera convincente. Se trata de hxxp://securebrowserupdate .com .

Según se visite con uno u otro navegador, muestra diferentes páginas muy personalizadas. Todos los navegadores tienen su SP1, SP2... incluso con antivirus incluido.

El ejecutable en sí simplemente instala un falso buscador en todos los navegadores, estableciéndolo además como página de inicio. El falso buscador en concreto es hxxp://ecostartpage .com/

El malware se copia a sí mismo en la carpeta temporal con el nombre de suicide.exe

El dominio fue dado de alta de día 16 de noviembre. No parece aprovechar ninguna vulnerabilidad. El que ha montado la web se ha olvidado de no mostrar abiertamente el índice de ficheros... hxxp://securebrowserupdate.com/js/

Cuando salió hace unos días era detectado por firmas por 7 motores, pero ahora ya lo detectan 22 .

Fuente: Hispasec