News

Servicio Técnico: no siempre del lado bueno

Hemos escrito un par de veces sobre antivirus fraudulentos explicando cómo los cibercriminales han utilizado técnicas maliciosas de Optimización de Motores de Búsqueda (SEO) para redirigir a los navegadores a sitios web que ofrecen antivirus fraudulentos.

Hace poco notamos que estos antivirus también cuentan con un botón de ‘Asistencia Técnica’. Vean la esquina superior derecha:

Al pulsar en ‘Ayuda’, apareces en un sitio donde puedes chatear en vivo con un empleado del servicio técnico del antivirus. Nos preguntábamos si este “empleado” no era en realidad un programa robot que respondía preguntas basándose en palabras clave, pero ¡era una persona real!

Aprendimos que ofrecen servicio técnico por chat, por teléfono y por correo electrónico. El correo es mucho más útil si no hablas inglés. El chat en vivo te dice (en inglés) que puedes enviar un mensaje en cualquier idioma a una dirección de correo electrónico para recibir asistencia en tu propio idioma:

Si estás infectado con un antivirus fraudulento que se descargó mientras instalabas un motor de búsqueda (SEO malicioso otra vez), y te contactas con su servicio técnico, te preguntarán con qué antivirus necesitas ayuda.

Cuando les respondas, te entregarán una “versión de prueba” gratuita que eliminará las infecciones que encontró el primer programa (todos tienen nombres muy similares).

Esta es la versión de prueba:

Existen algunas diferencias en el nombre, pero este programa tiene la misma interfaz que el anterior: ambos incluyen el mismo botón de “Asistencia Técnica”.

El antivirus fraudulento utiliza el idioma de tu sistema operativo. Por ejemplo, si utilizas Windows XP en francés, el interfaz del antivirus fraudulento también estará en francés, lo que lo hace aún más convincente.

Mientras hablábamos con la gente del supuesto servicio técnico, descubrimos que el primer antivirus es sólo un “escáner gratuito”, mientras que la “versión de prueba” es un producto completo. Pero el periodo de prueba es de un sólo día. Además, la versión de prueba no elimina el primer producto, pero existe un producto especial que lo hace:

Este es el “Removedor”. Tienen uno para cada producto. Estos programas eliminan el antivirus fraudulento del ordenador, al menos en parte. Algunos removedores dejan algunos archivos en el ordenador, lo que permite que terceras personas lo vuelvan a instalar. El ordenador no vuelve a su estado original después de la limpieza, algunos de los cambios en el registro siguen presentes.

E l programa dirige a un sitio de Internet para que respondas a una encuesta cuando acabas de limpiar tu ordenador:

Parece que estos muchachos toman la opinión de sus clientes en serio y hacen todo lo posible para proveer los mejores productos y servicios

Parece que estos muchachos toman la opinión de sus clientes en serio y hacen todo lo posible para proveer los mejores productos y servicios

Queríamos localizar a la gente que operaba el servicio de asistencia técnica, y creemos que lo más probable es que se encuentren en Ucrania.

Descubrimos una forma divertida de comprobar que no estábamos chateando con un robot.

No es nada del otro mundo, pero me gustaría compartirlo con ustedes porque confirma nuestras sospechas.

Le pedí que me mandaran un emoticón para discernir entre los usuarios reales y los robots:

Sabía que iba a enviarme una carita feliz común, así que le pedí un emoticón largo, por una razón especial.

Mis colegas de Kaspersky Lab me comentaron que en Rusia (y también en Ucrania, según algunas búsquedas en redes sociales), muchos de los usuarios no incluyen los ojos en sus caras felices “:”.

Esto es algo que no he visto en ningún otro lugar. Entonces, si pides una cara feliz larga, esperarías algo como “:))))”, pero en los países que omiten los ojos escribirían algo como “))))”. Esto confirma nuestra hipótesis sobre su ubicación:

Esos “))))” son los emoticones largos que le pedí. Como pueden ver, el emoticón no tiene ojos, justo como lo esperaba. Esto confirma que esta persona está en la región que pensábamos.

Resumen:

Los del servicio técnico del antivirus fraudulento me atendieron a las 4am, lo que prueba que en realidad trabajan todo el día, todos los días. Ofrecen ayuda por correo electrónico, chat y teléfono, y están muy bien organizados. Se pueden conseguir Removedores para variantes antiguas de sus productos y versiones de prueba para sus productos más recientes. Los nuevos productos “limpian” el equipo, a diferencia de los anteriores. Grabé un par de sesiones, así que pueden echarles un vistazo

Servicio Técnico: no siempre del lado bueno

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada