Curiosa la estafa que publican en Spamloco.net con una web de lo más fraudulenta posible. Su objetivo es conseguir convencer a los usuarios que envíen un SMS, con su coste asociado, simulando ser un escaner de seguridad. La idea es similar a la de los rogue AV, pero mucho más sencilla. Cuando el usuario entra en ella, recibe información para hacer un escaneo de seguriad de su sistema, pero realmente no realiza nada. Es decir, no descarga nada malicoso, no instala un ActiveX ni nada similar. Símplemente simula hacer un escaneo.


Figura 1: Simulación del análisis de seguridad

Cuando termina, informa de que Internet Explorer no está actualiado y que se necesita enviar un mensaje SMS para obtener un código de descarga de la versión de Internet Explorer 8. Este código, como dicen en SpamLoco, se encuentra en el código fuente, pero el público objetivo de este tipo de estafas, por supuesto, no está preparado para analizar el código fuente de una página web.


Figura 2: Petición de envío de SMS

Al final, tras enviar el SMS, se recibe la descarga normal de Internet Explorer 8.

Soluciones

Desde luego, hay que andar con mil ojos e informar a los usuarios menos cualificados técnicamente para que no caigan en este tipo de estafas. Aquí no hay malware, no hay secuestro de archivos y, por supuesto, las herramientas antimalware no pueden hacer nada para evitar este tipo de estafas, ya que no hacen nada en el sistema. Sólo si son denunciadas las URLs, lo sistemas antimalware podrán bloquear el acceso a ellas.
 

Ya ha pasado algún tiempo desde que hablamos de un malware que suplantaba el proceso de activación de Windows para secuestrar los archivos de los usuarios y pedir un rescate en forma de licencia de Windows. Esto había sido descubierto por el equipo de seguridad de GFI, pero a día de hoy, es fácil descubrir por redes sociales a usuarios que se quejan de su aparición.


Figura 1: Foto a un malware de activación de Windows

Nunca introduzcas tu número de cuenta o tarjeta de crédito en un sitio de estos, ya que lo que menos puede sucederte es que te roben.
 

A través de SpamLoco.Net es posible llegar a un artículo publicado en Xylibox en el que se publican los datos de una red dedicada a ganar dinero con los rogue AV. En este caso, esta red está distribuyendo activamente una herramienta rogue AV que simula ser la Malicious Software Removal Tool, que como se puede ver en la siguiente captura, no se parece en nada a la orginal.


Figura 1: El rogue AV que simular ser la Malicious Software Removal Tool

Por supuesto, el negocio de este mercado es conseguir que los usuarios confíen en la herramienta y se decidan a comprar las vacunas para todo el malware supuestamente detectado. Por supuesto, estas vacunas no son nada más que un desbloqueo de los ficheros que este malware secuestra con técnicas de ransomware.


Figura 2: La opción de compra de las vacunas

Lo realmente curioso es que todos los que se están encargando de realizar las infecciones colaboran con el creador del rogue AV, para hacer un reparto de beneficios al 50%, de tal manera que de cada infección que realiza compra, la persona que lo infectó consgiue unos beneficios que puede seguir en tiempo real a través de su cuenta en el portal.


Figura 3: El portal para los socios en la distribución

¿Y se gana mucho dinero? Pues bien, entre todas la imágenes que se pueden ver del portal en Xylibox, hay una que también ha seleccionado SpamLoco, en la que se ven las ganancias de un "activo comercial" que en 15 días había ganado más de 17.000 USD. ¿Rentable?

Figura 4: Ganancias de un usuario

Los falsos antivirus, tambien llamados fake AV o rogue AV, son programas malware que están pensados para, utilizando técnicas de ingeniería social y algunas veces haciendo uso de debilidades en la fortificación de los sistemas, colarse en las computadoras personales de sus víctimas simulando ser herramientas de sitema, seguridad y/o protección - algunos hasta burdos y cómicos como el AV de James Bond -. Una vez instalados, estos secuestran los archivos de los usuarios y solo son devueltos cuando estos pagan por las vacunas.

De este tipo de herramientas hemos visto como se copia Microsoft Security Essentials para ganar la confianza del usuario con la marca, creando réplicas casi iguales y otras, como Security Essentials 2010, menos parecidas. En esta ocasión, la víctima es el sistema de Windows Update de Microsoft.


Figura: falso sitio de Windows update. Visto en Nacked Security.

El usuario, cuando visita una página infectada, tal y como se hizo por ejemplo con la operación Lizamoon, se le dice que le falta una actualización de seguridad de Malicious Software Removal Tool, para estar más protegido, quedando, por el concrario, la víctima totalmente infectada.

Como medidas de protección contra este tipo de software, y no olvidemos que el Security Intelligence Report cifraba en más de 4 millones de falsos AV instalados en víctimas, se debe tener instaladda una solución Antimalware, como Microsoft Security Essentials 2.0, y nunca descargar un software de un prodcuto de una web que no sea la oficial.

Por cuarto año consecutivo, Informática 64 en colaboración con la Universidad Europea de Madrid, realizará el IV Curso de Verano de Seguridad y Auditoría Informática. Esta cuarta edición se realizará los días 28, 29 y 30 de Junio en el Campus de Villaviciosa de Odón de Madrid de la Universidad Europea de Madrid, dentro de las acciones relativas al Master Universitario de Seguridad en las Tecnologías de la Información y las Comunicaciones.



Entre la agenda de ponentes se encuentran profesionales de renombre como José Selvi de S21Sec, Alejandro Ramos de Security By Default, Chema Alonso, Juan Garrido, Pedro Sánchez de Bitdefender, Juan Luís G. Rambla, Rubén Alonso, Jorge Ramió de Criptored, Sergio de los Santos de Hispasec Sistemas, José Picó de Taddong Security, Rubén Santamarta, Fernando Guillot de Microsoft, Miguel López de Smartaccess o Alejandro Martín Bailón de Informatica64. Profesionales todos ellos que desempeñan su actividad laboral en el mundo de la Seguridad y la Auditoría Informática.

El registro en este curso cuenta con 3 tramos, permitiendo que los registros más tempranos disfruten de un descuento económico. Además, todos los alumnos de la Universidad Europea de Madria podrán disponer de un descuento especial, que les permitirá acceder a una plaza a un coste de solo 60 € en el primer tramo de registro, que termina el próximo día 10 de Junio.

La información detallada de la agenda, la información de registro y los precios puede ser consultada directamete desde la página web del IV Curso de Verano de Seguridad y Auditoría Informática.