Diseccionando un ataque
En el laboratorio de Ontinet.com analizamos varios malware a diario y, en ocasiones, lo que al principio parece algo sencillo, termina desembocando en algo que no es lo que parece a primera vista.
El malware que vamos a analizar a continuación nos llegó en forma de correo electrónico a nuestro buzón de correo. En él se nos indicaba que se había detectado un ataque desde Internet hacia nuestro sistema y que era recomendable realizar un análisis con una herramienta que podríamos descargar desde el enlace proporcionado.
En el instante de abrir ese correo como una página web, el antivirus nos bloqueaba el intento de acceso a una web desde la cual descargaríamos la falsa herramienta de desinfección.
Incluso si ponemos el cursor sobre el enlace, vemos la dirección a la que apunta y lo que descarga. Hasta aquí todo normal ya que son los pasos de infección que siguen habitualmente los falsos antivirus para hacer que el usuario los instale en su sistema.
No obstante, si pulsamos sobre el enlace para descargar el archivo setup.zip al que hacía referencia, vemos como el navegador nos dirige a una página que nada tiene que ver con los enlaces mostrados anteriormente. Se trata de una web dedicada a la venta de monedas de coleccionistas que no tiene relación con la propagación de malware y tampoco contiene código malicioso en ella.
Nos encontramos en un punto muerto de la investigación así que decidimos deshacer nuestros pasos y seguir buscando en otra dirección. Si recordamos el aviso del antivirus, se nos indicaba una página web desde la cual se intentaba lanzar un ataque, así que decidimos investigar en esa dirección. Sin más dilación, decidimos acceder a la web www.removeonline.com para comprobar si realmente se intenta descargar malware.
En esa web comprobamos como se nos ofrece una herramienta para eliminar códigos maliciosos. Los cabos empieza a atarse y la situación se asemeja de nuevo a la descarga de un falso antivirus.
No obstante, el archivo que nos descargamos no es la aplicación en sí, si no un instalador que se comunica con un servidor y que descarga la aplicación SpyNoMore en nuestro sistema.
Esta aplicación descargada es un fichero ejecutable que instala, esta vez sí, un falso antivirus en el ordenador. Esta aplicación es detectada por varios antivirus y se desaconseja encarecidamente su instalación en nuestro sistema.
El porqué este falso antivirus resulta más complejo de descargar que otras variantes es un misterio. Lo sencillo hubiera sido que el enlace que proporcionaba el correo electrónico descargara directamente el instalador, en lugar de dirigirnos hacia una web que nada tiene que ver con la finalidad de la amenaza y que no descarga ningún tipo de malware.
No obstante, puede que los creadores de este código malicioso decidieran hacer que su creación pareciese mas autentica y abortaron la descarga directa desde el enlace, prefiriendo que el usuario fuera dirigido a una web para que no desconfiara tanto. La inclusión del instalador también puede ser un síntoma de este intento por ganarse la confianza del usuario.
Como vemos, las estrategias usadas para infectar a los usuarios son muchas y variadas. Algunas, como en este caso, se abortan y se decide optar por otras que pudieran ser mas efectivas. Es por ello que no debemos bajar la guardia y desconfiar de cualquier descarga sospechosa, revisando los archivos con un antivirus o enviándolos a servicios de análisis como Virustotal.
Josep Albors
Related Posts
Sobre el Autor
Josep
Director de Investigación y Concienciación de ESET España. Apasionado de la tecnología, los videojuegos y trabajando en el mundo de la seguridad informática desde 2005. Siempre dispuesto a aprender y a compartir conocimientos para concienciar a los usuarios y así disfrutar de la tecnología de forma segura.