Curiosa la estafa que publican en Spamloco.net con una web de lo más fraudulenta posible. Su objetivo es conseguir convencer a los usuarios que envíen un SMS, con su coste asociado, simulando ser un escaner de seguridad. La idea es similar a la de los rogue AV, pero mucho más sencilla. Cuando el usuario entra en ella, recibe información para hacer un escaneo de seguriad de su sistema, pero realmente no realiza nada. Es decir, no descarga nada malicoso, no instala un ActiveX ni nada similar. Símplemente simula hacer un escaneo.


Figura 1: Simulación del análisis de seguridad

Cuando termina, informa de que Internet Explorer no está actualiado y que se necesita enviar un mensaje SMS para obtener un código de descarga de la versión de Internet Explorer 8. Este código, como dicen en SpamLoco, se encuentra en el código fuente, pero el público objetivo de este tipo de estafas, por supuesto, no está preparado para analizar el código fuente de una página web.


Figura 2: Petición de envío de SMS

Al final, tras enviar el SMS, se recibe la descarga normal de Internet Explorer 8.

Soluciones

Desde luego, hay que andar con mil ojos e informar a los usuarios menos cualificados técnicamente para que no caigan en este tipo de estafas. Aquí no hay malware, no hay secuestro de archivos y, por supuesto, las herramientas antimalware no pueden hacer nada para evitar este tipo de estafas, ya que no hacen nada en el sistema. Sólo si son denunciadas las URLs, lo sistemas antimalware podrán bloquear el acceso a ellas.
 

A través de SpamLoco.Net es posible llegar a un artículo publicado en Xylibox en el que se publican los datos de una red dedicada a ganar dinero con los rogue AV. En este caso, esta red está distribuyendo activamente una herramienta rogue AV que simula ser la Malicious Software Removal Tool, que como se puede ver en la siguiente captura, no se parece en nada a la orginal.


Figura 1: El rogue AV que simular ser la Malicious Software Removal Tool

Por supuesto, el negocio de este mercado es conseguir que los usuarios confíen en la herramienta y se decidan a comprar las vacunas para todo el malware supuestamente detectado. Por supuesto, estas vacunas no son nada más que un desbloqueo de los ficheros que este malware secuestra con técnicas de ransomware.


Figura 2: La opción de compra de las vacunas

Lo realmente curioso es que todos los que se están encargando de realizar las infecciones colaboran con el creador del rogue AV, para hacer un reparto de beneficios al 50%, de tal manera que de cada infección que realiza compra, la persona que lo infectó consgiue unos beneficios que puede seguir en tiempo real a través de su cuenta en el portal.


Figura 3: El portal para los socios en la distribución

¿Y se gana mucho dinero? Pues bien, entre todas la imágenes que se pueden ver del portal en Xylibox, hay una que también ha seleccionado SpamLoco, en la que se ven las ganancias de un "activo comercial" que en 15 días había ganado más de 17.000 USD. ¿Rentable?

Figura 4: Ganancias de un usuario

Los falsos antivirus, tambien llamados fake AV o rogue AV, son programas malware que están pensados para, utilizando técnicas de ingeniería social y algunas veces haciendo uso de debilidades en la fortificación de los sistemas, colarse en las computadoras personales de sus víctimas simulando ser herramientas de sitema, seguridad y/o protección - algunos hasta burdos y cómicos como el AV de James Bond -. Una vez instalados, estos secuestran los archivos de los usuarios y solo son devueltos cuando estos pagan por las vacunas.

De este tipo de herramientas hemos visto como se copia Microsoft Security Essentials para ganar la confianza del usuario con la marca, creando réplicas casi iguales y otras, como Security Essentials 2010, menos parecidas. En esta ocasión, la víctima es el sistema de Windows Update de Microsoft.


Figura: falso sitio de Windows update. Visto en Nacked Security.

El usuario, cuando visita una página infectada, tal y como se hizo por ejemplo con la operación Lizamoon, se le dice que le falta una actualización de seguridad de Malicious Software Removal Tool, para estar más protegido, quedando, por el concrario, la víctima totalmente infectada.

Como medidas de protección contra este tipo de software, y no olvidemos que el Security Intelligence Report cifraba en más de 4 millones de falsos AV instalados en víctimas, se debe tener instaladda una solución Antimalware, como Microsoft Security Essentials 2.0, y nunca descargar un software de un prodcuto de una web que no sea la oficial.

Microsoft ha publicado el Security Intelligence Report 10 (SIR10), que recoge los datos relativos al Cibercrimen recogidos por los equipos de seguridad de Microsoft. El documento, de 64 páginas que detallan todo lo descubierto en cuanto a malware, spam, tendencias cibercriminales y herramientas utilizadas, puede descargarse en Español. Además, es posible obtener una versión de solo 9 páginas en PDF con las keyfindings.

Entre las cosas que más nos han llamado la atención se encuentran que los sistemas más modernos y en 64 bits se infectan menos, que los troyanos siguen siendo los reyes y que hay mucho falso antivirus.... demasiado. Los falsos Antivirus, o Fake AV / Rogue AV, se han expandido de manera brutal por Internet. Con sencillas preguntas como "¿quieres estar seguro?" consiguen que los usuarios confien en ellos y les den permiso de ejecución en el sistema.


Figura 1: Los troyanos son la peor amenaza

Una vez instalados, utilizan técnicas de secuestro de sistema y archivos, para obligar a los usuarios a pagar por falsas vacunas. Esta técnica se conoce como Ransomware. Para ello utilizan marcas que al usuario le recuerden a antivirus, incluso antivirus conocidos. Aquí hemos hablado de Security Essentials 2010 o del famoso Antivirus de James Bond.

Figura 2: Marcas utilizadas

El caso es que, según los datos relejados por el SIR 10 de Microsoft, se han detectado algo más de 4 millones de equipos infectados con Rogue AV en todo el mundo. Un lucrativo negocio para las mafias.


Figura 3: Número de Rogue AV detectados en este último trimestre

 

El otro día, en una conversación sobre el ataque Lizamoon o del falso Security Essentials [ y otra vez falso] o las herramientas falsas del sistema, un contertuliano se preguntaba en voz alta si es posible que de tanto dinero el negocio de los Rogue/Fake AV. Tras discuitir que sí, y que había de todos los tamaños y colores, me acordé de un Antivirus falso que había visto hace poco más de un año en SpanLoco.NET que me pareció lo más insultantemente divertido y descarado: El antivirus de James Bond.



Por supuesto el AV es falso y hay que tener cuidado con él pero... ¿dudas de que alguien se infectara? Pues estás equivocado, seguro que alguno se infectó con él. Así funciona el negocio de los grandes números. Siempre hay alguien dispuesto a confiar en el gran Bond, James Bond.