Nueva campaña de propagación de scareware

El software de seguridad falso (también conocido como scareware) es una de las amenazas mas propagadas en los últimos meses. Usan la ingeniería social para asustar a los usuarios desprotegidos y hacer que se instalen sus programas que, en realidad, de poco sirven para protegerlos contra los códigos maliciosos puesto que esos programas ya son malware en sí mismos.

Las técnicas para propagar este tipo de falsos antivirus son variadas pero, desde hace unos días, se viene usando una que utiliza el posicionamiento de las webs en los principales motores de búsqueda para redirigir a los usuarios para que descarguen este malware.

Este último ataque ha creado automáticamente decenas de miles de blogs falsos que, utilizando técnicas de posicionamiento blackhat aparecen en primer lugar al hacer cierto tipo de búsquedas:

Al ser creados de forma automática, todos los blogs tienen un diseño muy similar, basados principalmente en imágenes al azar. A continuación podemos ver dos ejemplos:

Si el usuario accede a uno de estos blogs con un navegador con la configuración por defecto y permitiendo el uso de javascript, se ejecutará un script que viene incluido en el código fuente de estas webs:

Hay que destacar que este tipo de código se puede encontrar también en webs legítimas que no tienen nada que ver con las generadas de forma automática. Esto es posible debido a que muchos usuarios olvidan parchear sus webs o las albergan en servidores con vulnerabilidades.

Cuando el usuario es redirigido desde la web infectada, se nos muestra una ventana de alerta indicando que nuestro sistema se encuentra en riesgo.

Seguidamente, se ejecuta un supuesto análisis de sus sistema, finalizando este en apenas unos segundos.

Hay que destacar que esta acción analizará carpetas del sistema Windows aunque estemos usando otro sistema operativo como GNU/Linux o Mac OS/X lo cual demuestra que tan solo se trata de una imagen animada y que ningún análisis ha sido llevado a cabo. Una vez finalizado el análisis, se mostrara el resultado, con una cantidad importante de amenazas detectadas y se nos instará a descargar e instalar el fichero Inst_58s6.exe que es el códgio malicioso en sí. Si lo ejecutamos en nuestro sistema, se nos instalará un falso antivirus que no parará de mostrarnos alertas falsas y pedirá que paguemos por la versión completa para poder eliminar las amenazas detectadas.

Como ya hemos dicho, el scareware es una de las amenazas mas recurrentes en los últimos meses y se está renovando constantemente para ofrecer versiones “actualizadas” e intentar engañar a los usuarios para que descarguen sus productos usando técnicas cada vez mas novedosas como la que hemos mostrado aquí.

Para evitar caer en las garras de los ciber-delincuentes que crean y se lucran con estos programas, desconfie siempre de este tipo de llamativos software de seguridad e instale productos con una amplia experiencia demostrable en el mundo de la seguridad informática.

Josep Albors

Un comentario
  1. Avatar

Comentar

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Acerca de las cookies en este sitio

Este sitio web utiliza cookies propias y de terceros para mejorar tu experiencia de usuario y obtener información estadística. Para poder seguir navegando pulsa en "Sí, estoy de acuerdo". Podrás retirar este consentimiento en cualquier momento a través de las funciones de tu navegador. Ver nuestra política de cookies..