El black hat SEO es la técnica más utilizada y efectiva para propagar falsos antivirus. Los atacantes infectan sitios para aprovechar su poder de posicionamiento y así obtener visitas en sus páginas falsas.
En el siguiente ejemplo reportado ayer en el foro, todo comienza con una simple búsqueda en Google Imágenes:
La búsqueda simplemente es el nombre de una modelo. Hasta aquí todo normal, sin embargo una de estas fotos se encuentra publicada en un sitio infectado.
Al hacerle clic para verla más grande los visitantes son redireccionados hacia una página falsa que simula un análisis del sistema:
El diseño imita el entorno de Windows para confundir. Si la víctima cree que las alertas son reales terminará descargando un antivirus falso que infectará su equipo.
Un análisis hecho en VirusTotal arrojó este ejecutable: freesystemscan.exe (7/43)
Una vez que se ejecuta, se muestra una ventana falsa que se parece a una alerta del antivirus de Microsoft; resulta muy convincente sobre todo si realmente se tiene el antivirus instalado y este no detecta el malware.
Segundos después comienza la instalación del programa falso como si MSE lo estuviera recomendando: en este caso se llama Windows Safeguard Utility.
Al igual que otras utilidades falsas, la aplicación simula detectar todo tipo de errores para que la víctima finalmente termine comprando una licencia. La ventana de compra también es falsa, parece ser una página segura abierta en el navegador, pero no lo es; al introducir los datos de la tarjeta terminan en las manos de los ciberdelincuentes.
En esta dirección pueden observar todo este proceso, con imágenes y recomendaciones para eliminar el malware:
SpamLoco
No hay comentarios:
Publicar un comentario