News

Una rara campaña de publicidad para antivirus fraudulentos

Los dominios .co.cc, que durante los últimos meses han estado repletos de subdominios maliciosos con páginas de exploits y applets de java maliciosos, ahora están alojando páginas del antivirus fraudulento “BestAntivirus2011.exe”.

While the FakeAv rotation through .co.cc is not a shocker to security researchers at this point, one interesting domain popped out from the tens of thousands of .co.cc sub domain fakeav hits over the past day…”antispyware-macbook(dot)co(dot)cc”. This marketing quirk is odd, even for these guys. Does this domain suggest that another Apple based malware is in the works? Possibly. For now, I doubt it, because the Windows platform continues to be the dominant player, and this malware distributor seems to be very persistent at targeting the Windows platform. But it is very odd that this group is marketing “Fast Windows Antivirus 2011” from “macbook” domains.
Los dominios .co.cc, que durante los últimos meses han estado repletos de subdominios maliciosos con páginas de exploits y applets de java maliciosos, ahora están alojando páginas del antivirus fraudulento “BestAntivirus2011.exe”.

El hecho de que el antivirus fraudulento esté dando vueltas en el dominio .co.cc no sorprende a los analistas de seguridad, pero un dominio bastante interesante resaltó entre los miles de subdominios .co.cc que el antivirus visitó el último día: “antispyware-macbook(dot)co(dot)cc”. Este tipo de publicidad es rara hasta para estos cibercriminales. ¿Puede este dominio sugerir que se está preparando un programa malicioso para Apple? Es posible. Por ahora lo dudo, porque la plataforma Windows sigue siendo dominante, y este distribuidor de malware parece ser muy persistente al atacarla. Pero es muy extraño que este grupo esté ofreciendo “Fast Windows Antivirus 2011” desde dominios “macbook”.

Sin importar qué grupo esté usando estos dominios, deben haber tenido mucho éxito estafando grandes redes de publicidad para que alberguen sus anuncios y redirijan a los sitios .co.cc. Uno sólo puede especular sobre lo que vayan a desarrollar en el futuro. Desde ayer hay una breve lista de los términos que se usan en los subdominios que propagan “Bestantivirus2011.exe” desde estos accesibles y baratos dominios .co.cc. Cuando los usuarios visitan páginas en estos sitios, aparece el típico mensaje “¡Su ordenador está infectado!” para asustar a los usuarios, y la estafa “Windows Security ha encontrado una infección en tu sistema y realizará un análisis rápido de sus archivos”:antispyware-companies

antispyware-shqip

antispyware-sw

antispyware-review

antispyware-trends

antispyware-sdk

antispyware-sweep

antispyware-programmer

antispyware-information

antispyware-sdat

antispyware-palsu

antispyware-ansav

antispyware-rogue

antispyware-advanced

antispyware-antivir

antispyware-trend

antispyware-sentry

antispyware-sales

antispyware-troyano

antispyware-seller

antispyware-ranking

antispyware-gpl

antispyware-priority

antispyware-com

antispyware-market

antispyware-telefon

antispyware-keys

Detectamos estas páginas como “Hoax.HTML.Fakeantivirus.y”, pero las variantes han estado cambiando con frecuencia los últimos meses. No parece que las páginas estén relacionadas con “Lizamoon” (aunque puede haber algún cruce), y hay rumores de que el programa afiliado ya no está funcionando. Por ahora, este antivirus fraudulento se está distribuyendo de forma activa. Los analistas pueden notar que los escritores incluyeron la referencia a Harry Potter “BOMBARDAMAXIMUM” en un argumento de línea cmd.

Una rara campaña de publicidad para antivirus fraudulentos

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada