Tratando de comprender las tendencias actuales en el ecosistema de los antivirus fraudulentos y scareware

Los grupos cibercriminales que crean y distribuyen infecciones causadas por antivirus falsos (scareware y rogueware) se han topado con grandes obstáculos en los últimos años, pero aún hay mucho más que ver.

Las autoridades han arrestado a algunos grupos criminales. Otras veces han interrumpido sus operaciones y desconectado por completo sus centros de ayuda maliciosos.

Algunos grupos atrajeron demasiada atención, atacaron a las presas más fáciles y abandonaron sus redes zombi.

En algunos casos, los grupos no tenían conocimientos suficientes para desarrollar técnicas eficientes para burlar los antivirus, los SEO maliciosos y la distribución de malware. No pudieron ni quisieron (en inglés) ponerse al día con los cambios en las tecnologías antivirus y desaparecieron del mapa.

Pero algunos grupos de distribución de scareware superaron los obstáculos y desarrollaron instaladores difíciles de detectar y componentes de ayuda difíciles de eliminar. Como resultado, las últimas versiones de estos componentes de malware incluyen algunos de los primeros componentes ITW de 64 bits que hay que tomar en serio. Pero en la mayoría de los casos el programa scareware en sí mismo sigue igual. Los cibercriminales continúan modificando y haciendo evolucionar sus creaciones con el propósito de evadir las soluciones antivirus y ayudar a coaccionar a los usuarios para que paguen por un producto falso que incluye componentes de ayuda y rootkit como TDSS (y sus extremas complejidades) o el más reciente Black Internet (también conocido como “Trojan-Clicker.Win32.Cycler”). Estos agentes de infección Mbr y otros componentes de rootkit diseñados para mantener los scareware estafadores en el sistema son signos del intenso esfuerzo de los usuarios maliciosos por desarrollar este tipo de ataques.

Los exploits que los grupos cibercriminales utilizan para distribuir sus programas fraudulentos no se han vuelto más complejos. Al contrario, algunas de las herramientas más simples como Eleonore y Phoenix han desplazado y erradicado a otras de las más complejas disponibles en tiendas en línea. La mayoría de sus tecnologías de explotación, shellcode, codificación y evasión siguen siendo básicas y estáticas. Y un buen porcentaje de la distribución de malware utiliza la tecnología de una forma muy básica, como la ingeniería social, en vez de crear nuevas tecnologías. La ingeniería social, tan popular hoy en día, es en esencia el ataque a un entorno para convencer a un usuario de que instale un ejecutable malicioso en su sistema.

¿Qué significa todo esto? Que en su mayoría, las técnicas más simples y baratas son las más efectivas para propagar e instalar malware en el sistema de los usuarios. Esto nos demuestra lo siguiente:

1. Los usuarios no parchan sus sistemas.
2. Las vulnerabilidades no se conocen ni parchan con la premura necesaria, o las herramientas de actualización automática no están actuando con prontitud suficiente.
3. Demasiados usuarios todavía siguen ejecutando sus sistemas sin tener protección efectiva.

¿Por qué? Existen muchas posibles razones para ello. Algunos usuarios rechazan los consejos de seguridad de forma racional: piensan que no vale la pena esforzarse en mantenerse informado y mantener sus sistemas parchados para evitar el riesgo de ser infectado o comprometido (aunque cuando trabajas con los dueños de sistemas infectados, el “rechazo racional” no parece tan racional después de todo). También podría ser por las políticas de redes impuestas por departamentos de informática y otros grupos. O tal vez ignorancia sobre las necesidades de seguridad existentes y las formas de mantener los programas organizados y actualizados. Por último, algunos productos de seguridad no hacen un muy buen trabajo alejando a los programas maliciosos de los sistemas de sus usuarios. Lo más probable es que el problema sea en realidad una mezcla de todas estas razones.

Los cibercriminales hacen que su programa sea más complejo cuando lo necesitan, el hecho de que aumenten la complejidad de sus “herramientas de apoyo” como componentes rootkit mientras simplifican los métodos de distribución demuestra que no se están empleando de la mejor manera las soluciones para prevenir ataques “drive-by” e infecciones de malware.

La presa más fácil casi siempre es la primera en ser atacada.