News

El negocio de los falsos antivirus está vivito y coleando

Hemos notado que el número de falsos programas antivirus ha disminuido de forma notoria desde junio. En este momento observamos unos 10.000 intentos diarios de infectar a los usuarios con Trojan-FakeAV; en junio las cifras oscilaban entre 50.000 y 60.000.


Cantidad diaria de intentos de infección con Trojan-FakeAV durante los últimos 5 meses

Sin embargo, siguen apareciendo nuevas versiones de este programa malicioso. Como consecuencia, acabamos de añadir a la lista de programas maliciosos más comunes la nueva familia Trojan-FakeAV.Win32.OpenCloud.


Captura de pantalla de Trojan-FakeAV.Win32.OpenCloud.h en acción

Esta captura de pantalla nos muestra cómo un antivirus falso identificó como “maliciosos” algunos archivos estándar de Windows, incluyendo notepad, wmplayer, paint, calc, y explorer, entre otros. De esta manera el falso antivirus se delata a sí mismo. Resulta interesante que también mencione la protección en la nube, quizás tratando de aprovecharse de este nuevo concepto en boga. Si el usuario cae víctima del engaño y compra este falso software, le espera todavía otra estafa. En el centro de la pantalla, se anuncia un precio de 52,95$, pero en la letra pequeña, llega a costar 72,85$ por la llamada protección “de por vida”.


Ventana de pago de Trojan-FakeAV.Win32.OpenCloud.h

Hemos usado WireShark para monitorear el sitio de pago del falso antivirus. La siguiente captura de pantalla muestra que la información se envía a la URL ******online.com. Incluye información sobre el sistema operativo instalado (6.0.2900), la identidad del socio (8779) que recibirá su tajada, y otros datos.


Captura de pantalla de WireShark – ¡también una intercepción de tráfico!

Según el servicio Whois, el sitio de pago ******online.com. se registró en Rusia a nombre de Denis Verdanskiy, el 10 de mayo de este año.

Hemos descubierto un programa afiliado llamado “Money Racing AV” en la dirección IP que se especifica en la información sobre el servidor NS del alojamiento en cuestión. Mediante un motor de búsqueda, hemos encontrado alguna información sobre este programa afiliado en un foro clandestino ruso.


Un anuncio en ruso sobre el programa afiliado Money Racing AV

En este anuncio, los cibercriminales invitan a los usuarios a distribuir FAkeAV a cambio de 25$ por cada compra e instalación del falso antivirus que logren. El trato ofrecido representa un poco más de un tercio del precio que paga el usuario. El resto del dinero parece llegar a los bolsillos de los dueños del programa afiliado que proporciona el falso programa antivirus, la interfaz de pago online, y que gestiona la transacción.

Queda claro que bandas de cibercriminales siguen distribuyendo con éxito falsos programas antivirus, a pesar de que este mercado ha sufrido una aguda caída. Entonces, si al navegar en Internet te encuentras con notificaciones como “Error en Windows” o “sistema infectado”, debes proceder con mucho cuidado. No debes pagar por ninguna solución antivirus que de pronto aparezca en Internet, y asegúrate de contar con un programa de seguridad legítimo.

El negocio de los falsos antivirus está vivito y coleando

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada