Software de seguridad fraudulento

Forma de software malicioso

El software de seguridad fraudulento es una forma de software malicioso y fraude de Internet que engaña a los usuarios haciéndoles creer que hay un virus en su computadora y tiene como objetivo convencerlos de que paguen por una herramienta de eliminación de malware falsa que en realidad instala malware en su computadora. ^[1] Es una forma de scareware que manipula a los usuarios a través del miedo y una forma de ransomware . ^[2] El software de seguridad fraudulento ha sido una amenaza grave para la seguridad en la informática de escritorio desde 2008. ^[3] Un ejemplo temprano que ganó infamia fue SpySheriff y sus clones, ^[a] como Nava Shield.

Con el aumento de los ciberdelincuentes y un mercado negro con miles de organizaciones e individuos que intercambian exploits, malware, activos virtuales y credenciales, el software de seguridad fraudulento se ha convertido en una de las operaciones delictivas más lucrativas.

Propagación

El software de seguridad fraudulento se basa principalmente en la ingeniería social ( fraude ) para vencer la seguridad incorporada en el sistema operativo moderno y el software del navegador e instalarse en las computadoras de las víctimas. ^[3] Un sitio web puede, por ejemplo, mostrar un cuadro de diálogo de advertencia ficticio que indica que la máquina de alguien está infectada con un virus informático y alentarlos a través de la manipulación a instalar o comprar scareware con la creencia de que están comprando software antivirus genuino .

La mayoría de ellos tienen un componente troyano que los usuarios instalan de forma errónea. El troyano puede estar camuflado en:

• Un complemento o extensión del navegador (normalmente una barra de herramientas)
• Una imagen, protector de pantalla o archivo adjunto a un mensaje de correo electrónico
• Códec multimedia necesario para reproducir un determinado videoclip
• Software compartido en redes peer to peer ^[4]
• Un servicio gratuito de escaneo de malware en línea ^[5]

Sin embargo, algunos programas de seguridad maliciosos se propagan en las computadoras de los usuarios como descargas automáticas que explotan vulnerabilidades de seguridad en navegadores web, visores de PDF o clientes de correo electrónico para instalarse sin ninguna interacción manual. ^{[4] [6]}

Más recientemente, los distribuidores de malware han estado utilizando técnicas de envenenamiento SEO al colocar URL infectadas en la parte superior de los resultados de los motores de búsqueda sobre eventos noticiosos recientes. Las personas que buscan artículos sobre tales eventos en un motor de búsqueda pueden encontrar resultados que, al hacer clic, son redirigidos a través de una serie de sitios ^[7] antes de llegar a una página de destino que dice que su máquina está infectada y envía una descarga a una "versión de prueba" del programa malicioso. ^{[8] [9]} Un estudio de 2010 realizado por Google encontró 11.000 dominios que alojaban software antivirus falso, lo que representa el 50% de todo el malware distribuido a través de publicidad en Internet. ^[10]

Las llamadas en frío también se han convertido en un vector para la distribución de este tipo de malware, y los que llaman a menudo afirman ser del "Soporte técnico de Microsoft" u otra organización legítima. ^[11]

Vectores de infección comunes

SEO de sombrero negro

La optimización de motores de búsqueda (SEO) de Black Hat es una técnica utilizada para engañar a los motores de búsqueda para que muestren URL maliciosas en los resultados de búsqueda. Las páginas web maliciosas se llenan de palabras clave populares para lograr una clasificación más alta en los resultados de búsqueda. Cuando el usuario final busca en la web, se devuelve una de estas páginas web infectadas. Por lo general, las palabras clave más populares de servicios como Google Trends se utilizan para generar páginas web a través de scripts PHP colocados en el sitio web comprometido. Estos scripts PHP monitorearán los rastreadores de motores de búsqueda y los alimentarán con páginas web especialmente diseñadas que luego se enumeran en los resultados de búsqueda. Luego, cuando el usuario busca su palabra clave o imágenes y hace clic en el enlace malicioso, será redirigido a la carga útil del software de seguridad falso. ^{[12] [13]}

Publicidad maliciosa

La mayoría de los sitios web suelen emplear servicios de terceros para la publicidad en sus páginas web. Si uno de estos servicios de publicidad se ve comprometido, pueden acabar infectando sin darse cuenta todos los sitios web que utilizan su servicio mediante la publicidad de software de seguridad fraudulento. ^[13]

Campañas de spam

Los mensajes de spam que incluyen archivos adjuntos maliciosos, enlaces a archivos binarios y sitios de descarga automática son otro mecanismo común para distribuir software de seguridad fraudulento. Los correos electrónicos de spam suelen enviarse con contenido asociado a actividades cotidianas típicas, como entregas de paquetes o documentos tributarios, diseñados para incitar a los usuarios a hacer clic en enlaces o ejecutar archivos adjuntos. Cuando los usuarios sucumben a este tipo de trucos de ingeniería social, se infectan rápidamente, ya sea directamente a través del archivo adjunto o indirectamente a través de un sitio web malicioso. Esto se conoce como descarga automática. Por lo general, en los ataques de descarga automática, el malware se instala en la máquina de la víctima sin ninguna interacción o conocimiento y se activa simplemente al visitar el sitio web. ^[13]

Operación

Una vez instalado, el software de seguridad fraudulento puede intentar tentar al usuario para que compre un servicio o software adicional mediante:

• Alertar al usuario sobre la detección falsa o simulada de malware o pornografía . ^[14]
• Se muestra una animación que simula un bloqueo y reinicio del sistema. ^[3]
• Deshabilitar de forma selectiva partes del sistema para evitar que el usuario desinstale el malware. Algunas también pueden impedir que se ejecuten programas anti-malware, deshabilitar las actualizaciones automáticas del software del sistema y bloquear el acceso a sitios web de proveedores de anti-malware.
• Instalar malware real en el equipo y luego alertar al usuario después de "detectarlo". Este método es menos común, ya que es probable que el malware sea detectado por programas antimalware legítimos .
• Alterar los registros del sistema y las configuraciones de seguridad para luego "alertar" al usuario.

Los desarrolladores de software de seguridad fraudulento también pueden incitar a la gente a comprar su producto al afirmar que donarán una parte de sus ventas a una causa benéfica. El antivirus fraudulento Green, por ejemplo, afirma donar 2 dólares a un programa de cuidado del medio ambiente por cada venta realizada.

Algunos programas de seguridad fraudulentos se superponen en sus funciones con el scareware también porque:

• Presentar ofertas para solucionar problemas urgentes de rendimiento o realizar mantenimiento esencial en la computadora. ^[14]
• Asustar al usuario mediante la presentación de advertencias emergentes y alertas de seguridad de apariencia auténtica, que pueden imitar avisos reales del sistema. ^[15] El objetivo de estas advertencias es aprovechar la confianza que el usuario tiene en los proveedores de software de seguridad legítimo. ^[3]

La aprobación de la FTC y la creciente eficacia de las herramientas anti-malware desde 2006 han dificultado que las redes de distribución de spyware y adware (ya de por sí complejas ^[16] ) operen de manera rentable. ^[17] Los vendedores de malware han recurrido en cambio al modelo de negocio más simple y rentable del software de seguridad fraudulento, que está dirigido directamente a los usuarios de computadoras de escritorio . ^[18]

El software de seguridad fraudulento se distribuye a menudo a través de redes de afiliados muy lucrativas , en las que los afiliados a los que se les suministran kits de troyanos para el software reciben un pago por cada instalación exitosa y una comisión por las compras resultantes. Los afiliados se vuelven entonces responsables de configurar los vectores de infección y la infraestructura de distribución para el software. ^[19] Una investigación realizada por investigadores de seguridad sobre el software de seguridad fraudulento Antivirus XP 2008 encontró precisamente una red de afiliados de ese tipo, en la que los miembros estaban obteniendo comisiones de más de 150.000 dólares estadounidenses en 10 días, por decenas de miles de instalaciones exitosas. ^[20]

A pesar de utilizar técnicas anticuadas y poco sofisticadas, el software de seguridad fraudulento se ha convertido en una amenaza de seguridad significativa, debido al tamaño de las poblaciones afectadas, la cantidad de variantes diferentes que se han desatado (más de 250) y las ganancias que han obtenido los ciberdelincuentes (más de $300.000 al mes). ^[21]

Contramedidas

Esfuerzos privados

Las autoridades y legisladores de todos los países reaccionan con lentitud ante la aparición de software de seguridad fraudulento. Por el contrario, poco después de la aparición del primer software de seguridad fraudulento se fundaron varias iniciativas privadas que ofrecían foros de debate y listas de productos peligrosos. Algunos proveedores de renombre, como Kaspersky ^[22] , también empezaron a proporcionar listas de software de seguridad fraudulento. En 2005 se fundó la Anti-Spyware Coalition, una coalición de empresas de software antispyware, académicos y grupos de consumidores.

Muchas de las iniciativas privadas fueron inicialmente discusiones informales en foros generales de Internet , pero algunas fueron iniciadas o incluso llevadas a cabo por personas individuales. La más famosa y extensa es la lista Spyware Warrior de productos y sitios web antispyware sospechosos o fraudulentos, elaborada por Eric Howes ^[23] , que sin embargo no se ha actualizado desde mayo de 2007. El sitio web recomienda consultar los siguientes sitios web en busca de nuevos programas antispyware fraudulentos, la mayoría de los cuales no son realmente nuevos y son "simplemente clones y copias rebautizadas de las mismas aplicaciones fraudulentas que han existido durante años". ^[24]

Esfuerzos del gobierno

En diciembre de 2008, el Tribunal de Distrito de los Estados Unidos para Maryland —a petición de la FTC— emitió una orden de restricción contra Innovative Marketing Inc, una empresa con sede en Kiev que produce y comercializa los productos de software de seguridad fraudulentos WinFixer , WinAntivirus , DriveCleaner , ErrorSafe y XP Antivirus . ^[25] La empresa y su proveedor de alojamiento web con sede en los Estados Unidos, ByteHosting Internet Hosting Services LLC, vieron congelados sus activos y se les prohibió utilizar nombres de dominio asociados con esos productos y cualquier otra publicidad o representación falsa. ^[26]

Las autoridades también han presionado a los bancos para que cierren las pasarelas comerciales implicadas en el procesamiento de compras de software de seguridad fraudulento. En algunos casos, el alto volumen de devoluciones de cargos de tarjetas de crédito generadas por dichas compras también ha llevado a los procesadores a tomar medidas contra los proveedores de software de seguridad fraudulento. ^[27]

Véase también

• Antivirus
• Privacidad
• Scareware
• Estafa de soporte técnico
• Seguridad Web de Windows

Notas

1. Los clones de SpySheriff son BraveSentry, Pest Trap, SpyTrooper, Adware Sheriff, SpywareNo, SpyLocked, SpywareQuake, SpyDawn, AntiVirGear, SpyDemolisher, System Security, SpywareStrike, SpyShredder, Alpha Cleaner, SpyMarshal, Adware Alert, Malware Stopper, Mr. Antispy, Spycrush, SpyAxe, MalwareAlarm, VirusBurst, VirusBursters, DIARemover, AntiVirus Gold, Antivirus Golden, SpyFalcon y TheSpyBot/SpywareBot.

Referencias

1. "Software de seguridad fraudulento» BUMC Information Technology | Boston University". www.bumc.bu.edu . Consultado el 13 de noviembre de 2021 .
2. "Informe de Symantec sobre software de seguridad fraudulento" (PDF) . Symantec. 28 de octubre de 2009. Archivado desde el original (PDF) el 15 de mayo de 2012. Consultado el 15 de abril de 2010 .
3. "Microsoft Security Intelligence Report volumen 6 (julio - diciembre de 2008)". Microsoft . 8 de abril de 2009. pág. 92. Consultado el 2 de mayo de 2009 .
4. Doshi, Nishant (19 de enero de 2009), Aplicaciones engañosas: ¡Muéstrenme el dinero!, Symantec , consultado el 22 de marzo de 2016
5. Doshi, Nishant (21 de enero de 2009), Aplicaciones engañosas: ¡Muéstrenme el dinero! (Parte 2), Symantec , consultado el 22 de marzo de 2016
6. "Noticias sobre vulnerabilidades en Adobe Reader y Acrobat". blogs.adobe.com . Consultado el 25 de noviembre de 2010 .
7. Chu, Kian; Hong, Choon (30 de septiembre de 2009), Samoa Earthquake News conduce a Rogue AV, F-Secure , consultado el 16 de enero de 2010
8. Hines, Matthew (8 de octubre de 2009), Los distribuidores de malware dominan el SEO de las noticias, eWeek , archivado desde el original el 21 de diciembre de 2009 , consultado el 16 de enero de 2010
9. Raywood, Dan (15 de enero de 2010), Antivirus fraudulentos prevalecen en enlaces relacionados con el terremoto de Haití, mientras se alienta a los donantes a buscar cuidadosamente sitios genuinos, SC Magazine , consultado el 16 de enero de 2010
10. Moheeb Abu Rajab y Luca Ballard (13 de abril de 2010). "El efecto nocebo en la Web: un análisis de la distribución de antivirus falsos" (PDF) . Consultado el 18 de noviembre de 2010 . {{cite journal}}: Requiere citar revista |journal=( ayuda )
11. "Advertencia sobre llamadas en frío de antivirus a usuarios de Internet del Reino Unido". BBC News . 15 de noviembre de 2010 . Consultado el 7 de marzo de 2012 .
12. "Documentos técnicos de Sophos - Sophos SEO Insights". sophos.com .
13. "El falso antivirus de Sophos viaja desde el troyano tpna" (PDF) .
14. "Free Security Scan" podría costar tiempo y dinero, Comisión Federal de Comercio , 2008-12-10 , consultado el 2009-05-02
15. "SAP en una encrucijada tras perder un veredicto de 1.300 millones de dólares". Yahoo! News . 24 de noviembre de 2010 . Consultado el 25 de noviembre de 2010 .
16. Testimonio de Ari Schwartz sobre el "software espía" (PDF) , Comité Senatorial de Comercio, Ciencia y Transporte , 11 de mayo de 2005
17. Leyden, John (11 de abril de 2009). "Zango se va al traste: el fin del mercado de adware para escritorio". The Register . Consultado el 5 de mayo de 2009 .
18. Cole, Dave (3 de julio de 2006), Deceptonomics: una mirada al engañoso modelo de negocio de las aplicaciones, Symantec , consultado el 22 de marzo de 2016
19. Doshi, Nishant (27 de enero de 2009), Aplicaciones engañosas: ¡Muéstrenme el dinero! (Parte 3), Symantec , consultado el 22 de marzo de 2016
20. Stewart, Joe. "Antivirus falso analizado - Parte 2". Secureworks.com . SecureWorks . Consultado el 9 de marzo de 2016 .
21. Cova, Marco; Leita, Corrado; Thonnard, Olivier; Keromitis, Angelos; Dacier, Marc (2009). Gone Rogue: un análisis de campañas de software de seguridad fraudulentas. págs. 1–3. doi :10.1109/EC2ND.2009.8. ISBN 978-1-4244-6049-6. Recuperado el 9 de febrero de 2024 .
22. "Seguridad 101". support.kaspersky.com . Consultado el 11 de noviembre de 2018 .
23. "Spyware Warrior: Productos anti-spyware y sitios web sospechosos o fraudulentos". spywarewarrior.com .
24. "Guías de eliminación de virus, spyware y malware". BleepingComputer .
25. Orden de restricción temporal ex parte RDB08CV3233 (PDF) , Tribunal de Distrito de los Estados Unidos para el Distrito de Maryland , 2008-12-03 , consultado el 2009-05-02
26. Lordan, Betsy (10 de diciembre de 2008), Tribunal detiene escaneos informáticos falsos, Comisión Federal de Comercio , consultado el 2 de mayo de 2009
27. Krebs, Brian (20 de marzo de 2009), "Rogue Antivirus Distribution Network Dismantled", Washington Post , archivado desde el original el 23 de julio de 2012 , consultado el 2 de mayo de 2009

Enlaces externos

• Medios relacionados con software malicioso en Wikimedia Commons