La caída de los antivirus falsos expone nuevos métodos de cyberataques
26 Agosto 2014


El software antivirus falso ha formado parte del ecosistema de malware desde hace muchos años —Win32/SpySheriff y Win32/FakeRean datan del 2007—. Ese software falso, y todos los demás que le han seguido a lo largo de los años, por lo general engañan y asustan a los usuarios para que paguen una tarifa por “eliminar” detecciones falsas que el software asegura haber encontrado en la máquina. Con frecuencia utilizan docenas de combinaciones diferentes de marcas y nombres en un intento por ocultar, borrar sus huellas y evitar nuestras detecciones, todo para que los desarrolladores de software antivirus falso continúen ganando dinero.

Últimamente hemos visto una tendencia a la baja en la telemetría de algunas de las familias de software antivirus falso más prevalentes, tales como Win32/Winwebsec, Win32/OneScan, Win32/FakeXPA, Win32/FakePAV. La Figura 1 muestra dicha tendencia a la baja en el último año.

Figura 1: Telemetría mensual de las principales familias de software antivirus falso


Esa tendencia a la baja también se observa en las 10 principales familias de software antivirus falso en diferentes regiones, entre ellas, Latinoamérica.

Figura 2: 10 principales familias de software antivirus falso en la región de Latinoamérica


Es probable que esto haya sucedido debido a la intensa lucha de la industria antimalware en contra de esas familias falsas en nuestros productos y a un mejor conocimiento y prácticas de seguridad por parte de los usuarios finales. En particular, una mayor información sobre las técnicas de ingeniería social que el software falso utiliza y la gran cantidad de productos antivirus legítimos gratuitos que están disponibles en el mercado parecen haber tenido un impacto en la disposición de los usuarios a dejar de pagar por esas pestes.  

No obstante, puesto que los “jugadores” más grandes del malware están teniendo problemas para aprovecharse de los usuarios que antes pagaban por productos de seguridad falsos y que ahora se están alejando de ese tipo de ingeniería social, estamos viendo a otros participantes que están dispuestos a llenar ese espacio vacío —por fortuna, con un impacto mínimo—.

En el pasado hemos visto software antivirus falso que utiliza el archivo del huésped para bloquear el acceso a los sitios web de productos de seguridad legítimos con el fin de impedir que los usuarios obtengan protección en contra de la amenaza.

Rogue:Win32/Defru emplea una táctica diferente y más sencilla para engañar al usuario y aprovecharse económicamente de él. Básicamente, impide que el usuario utilice el Internet al mostrarle una copia digital falsa de los diferentes sitios web que visita.

Cuando el usuario navega por el Internet, el software antivirus falso utilizará el archivo del huésped para redirigir los enlaces a un conocido sitio web falso, pcdefender.<removed> IP 82.146.<removed>.21), que el malware antivirus falso por lo general utiliza en la ingeniería social.

El mecanismo se muestra en la siguiente imagen cuando el usuario accede a Bing. Observe la manera en que el usuario seguirá viendo el nombre del sitio al que está intentando acceder en la barra de direcciones.

Figura 3: La página del navegador a la cual es usuario es redirigido cuando accede a Bing


El software antivirus falso con frecuencia se diseña para regiones o países específicos. Defru parece estar dirigido a los hablantes de ruso, como lo demuestra tanto sus advertencias como su telemetría de infecciones:

Figura 4: Infecciones causadas por el antivirus falso Rogue:Win32/Defru en agosto del 2014


El primer mensaje intenta imitar un mensaje de Windows Security que dice (traducido del ruso):

"Se ha detectado software dañino en su computadora que bloquea el acceso a ciertos recursos de Internet. Para proteger sus datos de autenticación en contra de los intrusos, el sistema de defensa Windows Security ®  se vio obligado a intervenir".

El sitio web promete limpieza del sistema, acceso a todas las páginas web, actualizaciones diarias y acceso a "Windows Security" y "Windows Defender", tal y como se muestra en la siguiente imagen:

Figura 5: Página falsa traducida


Ese mensaje aparecerá constantemente cada vez que el usuario intente acceder al sitio web de su elección. Contamos con una lista de todos los sitios web a los cuales está dirigido en la descripción de Rogue:Win32/Defru  —la lista contiene más de 300 entradas—.

Un usuario desprevenido, después de recibir esa advertencia varias veces mientras navega por el Internet, quizá se sienta inclinado a pulsar en "Pagar ahora". Eso lo llevará a un portal de pago llamado "Payeer" (payeer.com) que mostrará la información de pago. Ese portal está enlazado a galafinance.com, un sitio web que muestra la frase "Temporalmente ocupado" al entrar en él y que ya se encuentra fuera de línea.

Figura 6: El servicio de pago utilizado por Win32/Defru


Desde luego, incluso si el usuario paga, el sistema no se limpiará.

Win32/Defru está dirigido a los usuarios de habla rusa principalmente de Rusia, Ucrania y Kazakstán.

El software antivirus falso está escrito en PHP, emplea un compilador PHP EXE (Bambalam) y se copiará en %appdata%\w1ndows_<4chars>.exe (Ej., "w1ndows_33a0.exe"). Persiste en el arranque del sistema porque se agrega en la clave de registro HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run con el valor "w1ndows_<4chars>".

Una vez instalado, entabla comunicación con el servidor y este responde con un simple "ok" para informar que la conexión sigue activa.

El usuario puede limpiar su sistema al eliminar el valor de entrada de la clave de registro "run", eliminar el archivo del disco y borrar las entradas agregadas del archivo del huésped.

Le recordamos nuevamente que existen soluciones de seguridad gratuitas como Microsoft Security Essentials. Antes de pagar un producto (ya sea de seguridad o de cualquier otro tipo), realice una investigación minuciosa para asegurarse de que sea legítimo y no un producto falso o una copia de uno gratuito.


Daniel Chipiristeanu
MMPC

Read More: