El software de seguridad fraudulento es una forma de software malicioso y fraude en Internet que engaña a los usuarios haciéndoles creer que hay un virus en su computadora y tiene como objetivo convencerlos de que paguen por una herramienta de eliminación de malware falso que realmente instala malware en su computadora. Es una forma de scareware que manipula a los usuarios a través del miedo y una forma de ransomware . [1] El software de seguridad fraudulento ha sido una seria amenaza a la seguridad en la computación de escritorio desde 2008. [2] Dos de los primeros ejemplos en ganar infamia fueron BraveSentry y SpySheriff .
Propagación
El software de seguridad fraudulento se basa principalmente en la ingeniería social ( fraude ) para vencer la seguridad integrada en el sistema operativo moderno y el software del navegador e instalarse en las computadoras de las víctimas. [2] Un sitio web puede, por ejemplo, mostrar un cuadro de diálogo de advertencia ficticio que indica que la máquina de alguien está infectada con un virus informático , y alentarlo mediante la manipulación a instalar o comprar software de protección con la creencia de que está comprando software antivirus genuino .
La mayoría tiene un componente de caballo de Troya , cuya instalación engaña a los usuarios. El troyano puede disfrazarse como:
- Un complemento o extensión del navegador (normalmente una barra de herramientas)
- Una imagen, protector de pantalla o fichero de archivo adjunto a un correo electrónico de mensajes
- Se requiere un códec multimedia para reproducir un determinado videoclip
- Software compartido en peer-to-peer redes [3]
- Un servicio gratuito de escaneo de malware en línea [4]
Sin embargo, algunos software de seguridad fraudulentos se propagan a las computadoras de los usuarios como descargas no autorizadas que aprovechan las vulnerabilidades de seguridad en los navegadores web, visores de PDF o clientes de correo electrónico para instalarse sin ninguna interacción manual. [3] [5]
Más recientemente, los distribuidores de malware han estado utilizando técnicas de envenenamiento de SEO al colocar las URL infectadas en la parte superior de los resultados de los motores de búsqueda sobre noticias recientes. Las personas que buscan artículos sobre tales eventos en un motor de búsqueda pueden encontrar resultados que, al hacer clic, se redirigen a través de una serie de sitios [6] antes de llegar a una página de destino que dice que su máquina está infectada y envía una descarga a un "juicio" del programa deshonesto. [7] [8] Un estudio de 2010 de Google encontró 11.000 dominios que alojaban software antivirus falso, lo que representa el 50% de todo el malware entregado a través de publicidad en Internet. [9]
Las llamadas en frío también se han convertido en un vector para la distribución de este tipo de malware, y las personas que llaman a menudo afirman ser del "Soporte de Microsoft" u otra organización legítima. [10]
Vectores de infección común
SEO de sombrero negro
La optimización de motores de búsqueda (SEO) de Black Hat es una técnica que se utiliza para engañar a los motores de búsqueda para que muestren URL maliciosas en los resultados de búsqueda. Las páginas web maliciosas están llenas de palabras clave populares para lograr una clasificación más alta en los resultados de búsqueda. Cuando el usuario final busca en la web, se devuelve una de estas páginas web infectadas. Por lo general, las palabras clave más populares de servicios como Google Trends se utilizan para generar páginas web a través de scripts PHP colocados en el sitio web comprometido. Estos scripts PHP luego monitorearán los rastreadores de los motores de búsqueda y los alimentarán con páginas web especialmente diseñadas que luego se enumeran en los resultados de búsqueda. Luego, cuando el usuario busque su palabra clave o imágenes y haga clic en el enlace malicioso, será redirigido a la carga útil del software de seguridad Rogue. [11] [12]
Malvertising
La mayoría de los sitios web suelen emplear servicios de terceros para la publicidad en sus páginas web. Si uno de estos servicios publicitarios se ve comprometido, pueden terminar infectando inadvertidamente todos los sitios web que utilizan su servicio mediante la publicidad de software de seguridad fraudulento. [12]
Campañas de spam
Los mensajes de spam que incluyen archivos adjuntos maliciosos, enlaces a archivos binarios y sitios de descarga no autorizados son otro mecanismo común para distribuir software de seguridad fraudulento. Los correos electrónicos no deseados a menudo se envían con contenido asociado con las actividades diarias típicas, como entregas de paquetes o documentos fiscales, diseñados para atraer a los usuarios a hacer clic en enlaces o ejecutar archivos adjuntos. Cuando los usuarios sucumben a este tipo de trucos de ingeniería social, se infectan rápidamente, ya sea directamente a través del archivo adjunto o indirectamente a través de un sitio web malicioso. Esto se conoce como descarga automática. Por lo general, en los ataques de descarga automática, el malware se instala en la máquina de la víctima sin ninguna interacción o conocimiento y se produce simplemente visitando el sitio web. [12]
Operación
Una vez instalado, el software de seguridad fraudulento puede intentar atraer al usuario para que compre un servicio o software adicional mediante:
- Alerta al usuario con la detección falsa o simulada de malware o pornografía . [13]
- Visualización de una animación que simula un bloqueo y reinicio del sistema. [2]
- Deshabilitar selectivamente partes del sistema para evitar que el usuario desinstale el malware. Algunos también pueden evitar la ejecución de programas anti-malware, deshabilitar las actualizaciones automáticas del software del sistema y bloquear el acceso a los sitios web de los proveedores de anti-malware.
- Instalar malware real en la computadora y luego alertar al usuario después de "detectarlo". Este método es menos común ya que es probable que el malware sea detectado por programas anti-malware legítimos .
- Alterar los registros del sistema y la configuración de seguridad, luego "alertar" al usuario.
Los desarrolladores de software de seguridad fraudulento también pueden incitar a las personas a que compren su producto al afirmar que donan una parte de sus ventas a una causa benéfica. El pícaro antivirus Green, por ejemplo, afirma donar $ 2 a un programa de cuidado del medio ambiente por cada venta realizada.
Algunos softwares de seguridad fraudulentos se superponen en función con scareware al también:
- Presentar ofertas para solucionar problemas urgentes de rendimiento o realizar tareas de limpieza esenciales en la computadora. [13]
- Asustar al usuario presentando advertencias emergentes y alertas de seguridad de apariencia auténtica, que pueden imitar avisos reales del sistema. [14] Estos están destinados a utilizar la confianza que el usuario tiene en los proveedores de software de seguridad legítimo. [2]
La sanción de la FTC y la creciente eficacia de las herramientas anti-malware desde 2006 han dificultado que las redes de distribución de spyware y adware , ya complejas para empezar [15], funcionen de manera rentable. [16] Los proveedores de software malicioso han optado por el modelo de negocio más simple y rentable de software de seguridad fraudulento, que está dirigido directamente a los usuarios de computadoras de escritorio . [17]
El software de seguridad fraudulento a menudo se distribuye a través de redes afiliadas muy lucrativas , en las que los afiliados que reciben kits de troyanos para el software reciben una tarifa por cada instalación exitosa y una comisión por las compras resultantes. Luego, los afiliados se hacen responsables de configurar los vectores de infección y la infraestructura de distribución del software. [18] Una investigación realizada por investigadores de seguridad sobre el software de seguridad fraudulento Antivirus XP 2008 encontró una red de afiliados de este tipo, en la que los miembros ganaban comisiones superiores a 150.000 dólares estadounidenses durante 10 días, a partir de decenas de miles de instalaciones exitosas. [19]
Contramedidas
Esfuerzos privados
La aplicación de la ley y la legislación de todos los países tardan en reaccionar ante la aparición de software de seguridad fraudulento. Por el contrario, varias iniciativas privadas que proporcionan foros de discusión y listas de productos peligrosos se fundaron poco después de la aparición del primer software de seguridad fraudulento. Algunos proveedores de renombre, como Kaspersky, [20] también comenzaron a proporcionar listas de software de seguridad fraudulento. En 2005, se fundó Anti-Spyware Coalition , una coalición de empresas de software anti-spyware, académicos y grupos de consumidores.
Muchas de las iniciativas privadas fueron inicialmente discusiones informales en foros generales de Internet , pero algunas fueron iniciadas o incluso llevadas a cabo en su totalidad por personas individuales. El quizás más famoso y extenso es la lista Spyware Warrior de productos y sitios web antispyware sospechosos / fraudulentos de Eric Howes, [21] que, sin embargo, no se ha actualizado desde mayo de 2007. El sitio web recomienda consultar los siguientes sitios web en busca de nuevos antispyware fraudulentos. programas, la mayoría de los cuales no son realmente nuevos y son "simplemente clones de marca nueva e imitaciones de las mismas aplicaciones maliciosas que han existido durante años". [22]
Esfuerzos gubernamentales
En diciembre de 2008, el Tribunal de Distrito de los EE. UU. Para Maryland , a solicitud de la FTC, emitió una orden de restricción contra Innovative Marketing Inc, una empresa con sede en Kiev que produce y comercializa los productos de software de seguridad maliciosos WinFixer , WinAntivirus , DriveCleaner , ErrorSafe y XP Antivirus . [23] La empresa y su proveedor de alojamiento web con sede en EE. UU., ByteHosting Internet Hosting Services LLC, tenían sus activos congelados, se les prohibió el uso de nombres de dominio asociados con esos productos y cualquier otro anuncio o representación falsa. [24]
La aplicación de la ley también ha ejercido presión sobre los bancos para que cierren las puertas de enlace comerciales involucradas en el procesamiento de compras de software de seguridad fraudulentas. En algunos casos, el alto volumen de devoluciones de cargo de tarjetas de crédito generadas por tales compras también ha llevado a los procesadores a tomar medidas contra los proveedores de software de seguridad fraudulentos. [25]
Ver también
- Antivirus
- Lista de software de seguridad fraudulento
- Espantapájaros
- Estafa de soporte técnico
- Winwebsec
Referencias
- ^ "Informe de Symantec sobre software de seguridad falso" (PDF) . Symantec. 2009-10-28 . Consultado el 15 de abril de 2010 .
- ^ a b c d "Informe de inteligencia de seguridad de Microsoft volumen 6 (julio - diciembre de 2008)" . Microsoft . 2009-04-08. pag. 92 . Consultado el 2 de mayo de 2009 .
- ^ a b Doshi, Nishant (19 de enero de 2009), Aplicaciones engañosas: ¡Muéstrame el dinero! , Symantec , consultado el 22 de marzo de 2016
- ^ Doshi, Nishant (21 de enero de 2009), Aplicaciones engañosas: ¡Muéstrame el dinero! (Parte 2) , Symantec , consultado el 22 de marzo de 2016
- ^ "Novedades Adobe Reader y Acrobat Vulnerability" . blogs.adobe.com . Consultado el 25 de noviembre de 2010 .
- ^ Chu, Kian; Hong, Choon (2009-09-30), Samoa Earthquake News Leads To Rogue AV , F-Secure , consultado el 16 de enero de 2010
- ^ Hines, Matthew (2009-10-08), Malware Distributors Mastering News SEO , eWeek , consultado el 16 de enero de 2010
- ^ Raywood, Dan (2010-01-15), antivirus malicioso que prevalece en los enlaces relacionados con el terremoto de Haití, ya que se anima a los donantes a buscar con cuidado sitios auténticos , SC Magazine , consultado el 16 de enero de 2010
- ^ Moheeb Abu Rajab y Luca Ballard (13 de abril de 2010). "El efecto Nocebo en la Web: un análisis de la distribución de antivirus falsos" (PDF) . Consultado el 18 de noviembre de 2010 . Cite journal requiere
|journal=
( ayuda ) - ^ "Advertencia sobre llamadas en frío antivirus a los usuarios de Internet del Reino Unido" . BBC News . 2010-11-15 . Consultado el 7 de marzo de 2012 .
- ^ "Artículos técnicos de Sophos - Sophos SEO Insights" . sophos.com .
- ^ a b c "Sophos Fake Antivirus Journey de Trojan tpna" (PDF) .
- ^ a b "Free Security Scan" podría costar tiempo y dinero , Comisión Federal de Comercio , 2008-12-10 , consultado el 2009-05-02
- ^ "SAP en una encrucijada después de perder el veredicto de 1.300 millones de dólares" . Yahoo! Noticias . 24 de noviembre de 2010 . Consultado el 25 de noviembre de 2010 .
- ^ Testimonio de Ari Schwartz sobre "Spyware" (PDF) , Comité Senatorial de Comercio, Ciencia y Transporte , 2005-05-11
- ^ Leyden, John (11 de abril de 2009). "Zango se vuelve loco: fin del mercado del adware de escritorio" . El registro . Consultado el 5 de mayo de 2009 .
- ^ Cole, Dave (2006-07-03), Deceptonomics: Una mirada al modelo de negocio aplicación engañosa , Symantec , recuperada 03/22/2016
- ^ Doshi, Nishant (27-01-2009), Aplicaciones engañosas: ¡Muéstrame el dinero! (Parte 3) , Symantec , consultado el 22 de marzo de 2016
- ^ Stewart, Joe. "Rogue Antivirus diseccionado - Parte 2" . Secureworks.com . SecureWorks . Consultado el 9 de marzo de 2016 .
- ^ "Seguridad 101" . support.kaspersky.com . Consultado el 11 de noviembre de 2018 .
- ^ "Spyware Warrior: sitios web y productos antispyware sospechosos o no autorizados" . spywarewarrior.com .
- ^ "Guías de eliminación de virus, spyware y malware" . BleepingComputer .
- ^ Orden de restricción temporal ex parte RDB08CV3233 (PDF) , Tribunal de distrito de los Estados Unidos para el distrito de Maryland , 2008-12-03 , consultado el 2009-05-02
- ^ Lordan, Betsy (2008-12-10), Court Halts Bogus Computer Scans , Comisión Federal de Comercio , consultado el 2009-05-02
- ^ Krebs, Brian (2009-03-20), "Rogue Antivirus Distribution Network Dismantled" , Washington Post , consultado el 2009-05-02
enlaces externos
- Medios relacionados con el software Rogue en Wikimedia Commons