domingo, 25 de enero de 2009

Paginas e instaladores falsos en español

Se Encontraron una gran cantidad de sitios web falsos y que simulan descargar distintos instaladores de herramientas muy conocidas como WinRar, WinZip, EMule, Torrent, Azureus, MSN Messenger, Zone-Alarm, Open Office, Opera, Firefox, Microsoft Internet Explorer, DirectX, RegCleaner y muchos otros.



Estos sitios descargan falsos instaladores generados por herramientas similares a la comentada por nosotros en creador de falsos navegadores web y, si bien esta técnica es muy conocida, lo realmente peligroso en esta ocasión es que esta campaña de distribución ha sido orientada a distintos idiomas y, si el usuario proviene de Latinoamérica o España el sitio web mostrado, estará en español, como puede verse a continuación en este sitio falso de Emule:


Como si esto fuera poco, la campaña ha sido orientada a lograr posicionamiento web a través de los buscadores (SEO - Search Engine Optimization) y es posible llegar a los sitio falsos a través de cualquiera de ellos con búsquedas muy sencillas:


Es decir, cualquier usuario puede llegar a estos sitios y descargar la herramienta falsa. Lo extraño es que, al comenzar la instalación, se descarga el programa original desde el sitio oficial de la aplicación, pudiendo tardar varios minutos dependiendo del tamaño de la aplicación y de la velocidad de descarga. Por ejemplo, aquí se muestra la descarga del paquete de Open Office:


Pero, luego de dicha descarga y, debido a que los programas supuestamente son gratuitos, se solicita el envío de cierta cantidad de SMS (de 2 a 4) para proporcionar un supuesto número de instalación y finalizar la instalación. Este evento, que puede parecer aislado, da cierto sentido de frustración al usuario que, después del tiempo invertido en la descarga e instalacióndel programa, prefiere enviar los SMS que seguir perdiendo tiempo.

En este caso se muestra la solicitud del código al intentar instalar el falso Flash Player. El mensaje remarcado muestra la cantidad de mensajes y el costo de los mismos, que varía dependiendo del país en que nos encontremos:


Luego de enviar los SMS solicitados, por supuesto no se recibe respuesta y ya se ha perdido el dinero (en este caso 8 pesos). Además a partir de este momento se ha instalado una barra llamada Peer2Peer en el navegador y los delincuentes recibirán un monto determinado de dinero por cada búsqueda que se hace en ella. Es importante destacar que esta barra ha sido realizada a través de la empresa Conduit legal que ofrece este tipo de servicios para construir barras de búsquedas gratuitas (la cuenta fue creada en octubre de 2008).

Como comentario al margen y orientado a la cantidad de trabajo necesario para realizar esta campaña, en uno de estos dominios puede verse la cantidad de instaladores falsos en distintos idiomas creados para este engaño… los cuales alcanzar los 1899 en el momento de escribir esto:


Entonces, en esta campaña es importante destacar las siguientes consideraciones:

* el tiempo invertido en construir la gran cantidad de sitios falsos (registrados la mayoría de ellos en noviembre pasado)
* el tiempo invertido en crear la gran cantidad de instaladores falsos (repito, 1899)
* el tiempo invertido en crear los sitios y los instaladores en distintos idiomas
* simular el proceso de instalación completo, incluso descargando la herramienta verdadera
* el tiempo invertido en realizar la campaña de SEO que bajo ningún punto de vista es algo sencillo de llevar a cabo sobre los buscadores
* lograr el cobro de los SMS recibidos

Estos puntos dan una idea del tamaño de la campaña y del dinero que pueden recolectar estos delincuentes. ¿Queda alguna duda de la orientación económica de este tipo de engaños?

Actualización: al finalizar de escribir este post, la barra mencionada ha sido dada de baja por violar los términos de uso de la empresa que ofrece el servicio ya que fue utilizada para actividades fraudulentas.

**SMS gratis

En los día de hoy se detecto una nueva campaña para engañar e infectar usuarios: se trata de correos y sitios web en donde se ofrece la posibilidad de enviar mensajes SMS en forma gratuita:

Por supuesto se trata de un engaño. Supuestamente para utilizar la herramienta se debe descargar una aplicación para actualizar Java, pero en realidad se termina descargando el archivo Java_update.exe que es un programa dañino detectado como Win32/IRCBot.ALD por ESET NOD32.

Lamentablemente en la actualidad este tipo de prácticas son muy comunes por parte de las personas que buscan infectarnos ya que muchas veces nos dejamos llevar por las palabras Gratis o Free, sin pensar en las consecuencias que ello puede acarrear.

Tickets para obtener servicios gratis

Al igual que sucede con el sitio web falso de Claro e iPhone que propaga malware, se encontro un sitio que simula regalar tickets a través de un software que permite el acceso gratuitos a distintos sitios, en los cuales normalmente hay que pagar para acceder a su contenido:

Por supuesto se trata de un engaño y, al descargar el programa, ESET NOD32 detecta el mismo una variante del troyano Win32/TrojanDownloader.Obfuscated.

**Pagina Falsa de Claro e iPhone propaga malware

En las últimas horas, se ha descubierto la propagación de un código malicioso a través de un sitio web falso que pretende ser de una conocida empresa de telefonía móvil.

La estrategia de engaño consiste en simular que el sitio web pertenece a la empresa Claro promocionando como premio un iPhone; donde, para poder participar, es necesario descargar un supuesto formulario de inscripción.


Sin embargo, al intentar obtener el formulario, lo que se descarga es un código malicioso que es detectado por heurística por ESET NOD32 bajo el nombre de Win32/Packer.Themida.

Debemos navegar con mucha cautela y no creer en todo lo que se ve en Internet. También debemos confiar en nuestro antivirus,Para estar constantemente protegidos de estas amenazas.

No está de más recordar que nada es gratis y nada es lo que parece en Internet.

**Gogle Code Usado Por Spammers

Spamhaus, una conocida empresa que publica estadísticas del spam mundial cada día, ha reportado que las aplicaciones de Google están siendo utilizadas por spammers para realizar sus promociones, al igual que sucede con sitios de Live MSN como ha sido detectado desde ESET hace unos días.

Intentando comprobar este informe se realizo una sencilla búsqueda en Google y, a través de ella, llegamos a sitios ilegales alojados Google Code, la plataforma de Google para alojar proyectos de programación:

Al ingresar a cualquiera de estos sitios, se muestra un supuesto reproductor de video que es un GIF animado, al igual que el mostrado en la pornografía y el malware y, si el usuario hace clic sobre el mismo se lo redirige a un sitio con la promoción del producto que se trate o a sitios con rogue:


Nota: En este momento los sitios, si bien siguen apareciendo en el buscador, están conduciendo al Login de Google, por lo que parece que la empresa está controlando el ataque.

Esta es una muestra más de que cualquier herramienta puede ser utilizada por los delincuentes informáticos y que estas amenazas deben ser tenidas en cuenta por los usuarios, siendo la educación al navegar lo más importante.

Saludos De su Amigo Tonky

No hay comentarios:

Publicar un comentario