Los enlaces, enmascarados mediante el acortador de URL goo.gl de Google, dirigen a través de una serie de URL antes de llevar al usuario a un dominio de máximo nivel de Ucrania que, a su vez, le redirige a una dirección IP asociada a otras estafas de software antivirus, según explica Nicolas Brulez de Kaspersky Lab en un blog corporativo.

Las víctimas que llegan a la página del falso software antivirus son animadas a escanear sus ordenadores. Si aceptan realizar el análisis, la página les preguntará a continuación si desean eliminar las supuestas amenazas encontradas en sus ordenadores y, de ser así, se empezará a descargar un falso programa de seguridad denominado “Security Shield”.

Estos falsos antivirus, también conocidos como scareware, constituyen un difundido problema para Internet, con cientos de variantes. Su objetivo son los usuarios Windows y el software descargado a menudo se instala con el fin de explotar las vulnerabilidades existentes en el equipo. Una vez instalado, el scareware pide a los usuarios que paguen para conseguir la versión completa del programa. En la mayoría de los casos, resulta totalmente inútil para la eliminación real del malware de los PC de las víctimas.

Del Harvey, máximo responsable del equipo Trust and Sefety de Twitter, ha escrito en su cuenta Twitter que la compañía está trabajando “para eliminar los enlaces malware y reinicializar las contraseñas de las cuentas comprometidas”. Además, advierte que si se sigue un link goo.gl cuyo destino es una página donde se anima a instalar Security Shield, no debe aceptarse la invitación.

Aunque Brulez ha clasificado el ataque como un gusano, lo que implica que se difunde de cuenta a cuenta, Harvey mantiene que no está relacionado con ningún gusano.