Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

viernes, 13 de marzo de 2009

Campaña de infección scareware a través de falso explorador de Windows

Las estrategias de engaño son la principal característica que emplea el scareware para generar temor en el usuario y lograr la ejecución de su instalador. Si bien las excusas que se emplean para los engaños son muchas, algunas más llamativas que otras, cada vez se percibe más un claro aumento de los esfuerzos por idear y crear estrategias más sofisticadas.

En este caso, el engaño se encuentra focalizado en presentar un scaneo online del equipo que siempre termina encontrando problemas de infección, ofreciendo la descarga de la supuesta herramienta de seguridad que solucionará los problemas. Todo completamente falso.

Cuando el usuario accede por primera vez a la página maliciosa, una alerta advierte sobre la potencial posibilidad de que nuestro equipo haya sido víctima de códigos maliciosos.

En este momento se produce la simulación de un scaneo del equipo que es representado a través de un falso explorador de windows y un gif animado que muestra la barra de progreso indicando el avance del scan, para luego desplegar una ventana emergente con la nomenclatura de las supuestas amenazas encontradas en el sistema.

Esta imagen, que ofrece dos opciones ("Remove all" y "Cancel") constituye otra capa del engaño, ya que sin importar en que sector de la imagen se haga clic, produce el mismo efecto: descarga el instalador del malware. Un archivo llamado install.exe cuyo MD5 es 8eed59709de00e8862d6ce3d5e19cb4a.

Algunas de las direcciones web que se encuentran activamente explotando esta actividad maliciosa son:

stabilityaudit.com (209.44.126.22)

websscan.com
goscanbay.com (78.159.101.27)

goanyscan.com
goscanever.com
goscanfuse.com

goscanit.com

goscanonly.com

goscanslot.com

gowayscan.com

in4co.com

in4ik.com

megascan4.com

www.goscanonly.com

www.homescan4.com

easywinscanner17.com (209.249.222.48)

fast-antimalware-scanner.com (194.165.4.7)

fastantimalwarescan.com (78.47.91.153)


Sin embargo, el profesionalismo que buscan sus creadores se va perfeccionando intentando cubrir la mayor cantidad de "público" posible desplegando la estrategia de infección en varios idiomas.

Incluso, descargando variantes del mismo malware. De esta manera, los creadores del scareware intentan cubrir los dos idiomas más empleados a nivel mundial como lo son el inglés y el español.

Ver más