El software de seguridad fraudulento es una forma de software malicioso y fraude en internet que engaña a los usuarios haciéndoles creer que hay un virus en su computadora y pretende convencerlos de que paguen por una herramienta falsa de eliminación de malware que en realidad instala malware en su computadora. [ 1 ] Es una forma de scareware que manipula a los usuarios a través del miedo y una forma de ransomware . [ 2 ] El software de seguridad fraudulento ha sido una seria amenaza para la seguridad en la informática de escritorio desde 2008. [ 3 ] Un ejemplo temprano que se hizo tristemente célebre fue SpySheriff y sus clones, [ a ] como Nava Shield.
Propagación
El software de seguridad malicioso se basa principalmente en la ingeniería social ( fraude ) para burlar la seguridad integrada en los sistemas operativos y navegadores modernos e instalarse en los ordenadores de las víctimas. [ 3 ] Un sitio web puede, por ejemplo, mostrar un cuadro de diálogo de advertencia ficticio que indica que el ordenador de alguien está infectado con un virus informático y animarle a instalar o comprar scareware haciéndole creer que está comprando un software antivirus auténtico .
La mayoría contiene un componente troyano que los usuarios son inducidos a instalar mediante engaño. El troyano puede estar disfrazado como:
- Un complemento o extensión del navegador (normalmente una barra de herramientas).
- Una imagen, un protector de pantalla o un archivo adjunto a un mensaje de correo electrónico .
- Códec multimedia necesario para reproducir un determinado vídeo.
- Software compartido en redes peer-to-peer [ 4 ]
- Un servicio gratuito de escaneo de malware en línea [ 5 ]
Sin embargo, algunos programas de seguridad maliciosos se propagan a los ordenadores de los usuarios mediante descargas automáticas que explotan vulnerabilidades de seguridad en navegadores web, visores de PDF o clientes de correo electrónico para instalarse sin interacción manual. [ 4 ] [ 6 ]
Más recientemente, los distribuidores de malware han estado utilizando técnicas de envenenamiento SEO al colocar URL infectadas en los primeros puestos de los resultados de búsqueda sobre noticias recientes. Las personas que buscan artículos sobre dichos eventos en un motor de búsqueda pueden encontrar resultados que, al hacer clic, son redirigidos a través de una serie de sitios [ 7 ] antes de llegar a una página de destino que indica que su máquina está infectada y les ofrece la descarga de una "versión de prueba" del programa malicioso. [ 8 ] [ 9 ] Un estudio de Google de 2010 encontró 11.000 dominios que alojaban software antivirus falso, lo que representa el 50% de todo el malware distribuido a través de publicidad en internet. [ 10 ]
Las llamadas no solicitadas también se han convertido en un vector para la distribución de este tipo de malware, y quienes llaman a menudo afirman ser de "Microsoft Support" u otra organización legítima. [ 11 ]
Vectores de infección comunes
SEO de sombrero negro
La optimización de motores de búsqueda (SEO) de sombrero negro es una técnica utilizada para engañar a los motores de búsqueda y lograr que muestren URL maliciosas en los resultados de búsqueda. Las páginas web maliciosas se llenan de palabras clave populares para obtener una mejor posición en los resultados de búsqueda. Cuando el usuario realiza una búsqueda en la web, se le devuelve una de estas páginas web infectadas. Generalmente, se utilizan las palabras clave más populares de servicios como Google Trends para generar páginas web mediante scripts PHP ubicados en el sitio web comprometido. Estos scripts PHP monitorean los rastreadores de los motores de búsqueda y les proporcionan páginas web especialmente diseñadas que luego se muestran en los resultados de búsqueda. Posteriormente, cuando el usuario busca su palabra clave o imágenes y hace clic en el enlace malicioso, se le redirige al software de seguridad fraudulento. [ 12 ] [ 13 ]
Publicidad maliciosa
La mayoría de los sitios web suelen emplear servicios de terceros para la publicidad en sus páginas. Si uno de estos servicios publicitarios se ve comprometido, puede infectar inadvertidamente a todos los sitios web que utilizan su servicio mediante la publicidad de software de seguridad malicioso. [ 13 ]
Campañas de spam
Los mensajes de spam que incluyen archivos adjuntos maliciosos, enlaces a archivos binarios y sitios de descarga automática son otro mecanismo común para distribuir software de seguridad fraudulento. Los correos electrónicos de spam suelen enviarse con contenido relacionado con actividades cotidianas, como la entrega de paquetes o documentos fiscales, con el objetivo de incitar a los usuarios a hacer clic en enlaces o ejecutar archivos adjuntos. Cuando los usuarios caen en este tipo de trampas de ingeniería social, se infectan rápidamente, ya sea directamente a través del archivo adjunto o indirectamente a través de un sitio web malicioso. Esto se conoce como descarga automática. Generalmente, en los ataques de descarga automática, el malware se instala en el equipo de la víctima sin ninguna interacción ni conocimiento, simplemente al visitar el sitio web. [ 13 ]
Operación
Una vez instalado, el software de seguridad malicioso puede intentar persuadir al usuario para que compre un servicio o software adicional mediante:
- Alertar al usuario con la detección falsa o simulada de malware o pornografía . [ 14 ]
- Mostrar una animación que simula un fallo y reinicio del sistema. [ 3 ]
- Deshabilitan selectivamente partes del sistema para impedir que el usuario desinstale el malware. Algunos también pueden impedir la ejecución de programas antivirus, deshabilitar las actualizaciones automáticas del software del sistema y bloquear el acceso a los sitios web de los proveedores de software antivirus.
- Instalar malware real en el ordenador y luego alertar al usuario tras "detectarlo". Este método es menos común, ya que es probable que el malware sea detectado por programas antivirus legítimos que ya estén instalados en el equipo.
- Modificar los registros del sistema y la configuración de seguridad, y luego "alertar" al usuario.
Los desarrolladores de software de seguridad fraudulento también pueden atraer a la gente a comprar su producto afirmando que donarán una parte de sus ventas a una causa benéfica. El antivirus fraudulento Green, por ejemplo, afirma donar 2 dólares a un programa de protección del medio ambiente por cada venta realizada.
Algunos programas de seguridad fraudulentos se solapan en función con el scareware , ya que también:
- Presentar ofertas para solucionar problemas urgentes de rendimiento o realizar mantenimiento esencial en el ordenador. [ 14 ]
- Asustar al usuario mediante la presentación de advertencias emergentes y alertas de seguridad de apariencia auténtica, que pueden imitar avisos reales del sistema o del software de seguridad. [ 15 ] Estas tienen como objetivo aprovechar la confianza que el usuario tiene en los proveedores de software de seguridad legítimo. [ 3 ]
Las sanciones de la FTC y la creciente eficacia de las herramientas antimalware desde 2006 han dificultado que las redes de distribución de spyware y adware —que ya eran complejas de por sí [ 16 ] — operen de forma rentable. [ 17 ] Los proveedores de malware han optado por el modelo de negocio más sencillo y rentable del software de seguridad fraudulento, dirigido directamente a los usuarios de ordenadores de escritorio . [ 18 ]
El software de seguridad malicioso suele distribuirse a través de lucrativas redes de afiliados , en las que los afiliados que reciben kits de troyanos para el software cobran una tarifa por cada instalación exitosa y una comisión por las compras resultantes. Posteriormente, los afiliados se hacen responsables de configurar los vectores de infección y la infraestructura de distribución del software. [ 19 ] Una investigación realizada por expertos en seguridad sobre el software de seguridad malicioso Antivirus XP 2008 descubrió una red de afiliados de este tipo, en la que los miembros obtenían comisiones superiores a los 150 000 USD en 10 días, gracias a decenas de miles de instalaciones exitosas. [ 20 ]
A pesar de emplear técnicas anticuadas y poco sofisticadas, el software de seguridad malicioso se ha convertido en una importante amenaza para la seguridad, debido al tamaño de las poblaciones afectadas, la cantidad de variantes diferentes (más de 250) y las ganancias obtenidas (más de 300 000 dólares al mes). [ 21 ]
Contramedidas
Esfuerzos privados
Las fuerzas del orden y la legislación en todos los países tardan en reaccionar ante la aparición de software de seguridad malicioso. En contraste, varias iniciativas privadas que ofrecían foros de discusión y listas de productos peligrosos surgieron poco después de la aparición del primer software de seguridad malicioso. Algunos proveedores de renombre, como Kaspersky, [ 22 ] también comenzaron a proporcionar listas de software de seguridad malicioso. En 2005, se fundó la Coalición Anti-Spyware, una coalición de empresas de software anti-spyware, académicos y grupos de consumidores.
Muchas de las iniciativas privadas fueron inicialmente discusiones informales en foros generales de Internet , pero algunas fueron iniciadas o incluso llevadas a cabo íntegramente por particulares. La más famosa y extensa es quizás la lista Spyware Warrior de productos y sitios web antispyware fraudulentos o sospechosos, elaborada por Eric Howes, [ 23 ] que, sin embargo, no se ha actualizado desde mayo de 2007. El sitio web recomienda consultar los siguientes sitios web en busca de nuevos programas antispyware fraudulentos, la mayoría de los cuales no son realmente nuevos y son simplemente clones y copias con otra marca de las mismas aplicaciones fraudulentas que llevan años circulando. [ 24 ]
Esfuerzos del gobierno
En diciembre de 2008, el Tribunal de Distrito de los Estados Unidos para Maryland —a petición de la Comisión Federal de Comercio de los Estados Unidos (FTC) — emitió una orden de restricción contra Innovative Marketing Inc., una empresa con sede en Kiev que producía y comercializaba los productos de software de seguridad fraudulentos WinFixer , WinAntivirus , DriveCleaner , ErrorSafe y XP Antivirus . [ 25 ] La empresa y su proveedor de alojamiento web con sede en los Estados Unidos, ByteHosting Internet Hosting Services LLC, vieron congelados sus activos y se les prohibió usar nombres de dominio asociados con esos productos, así como cualquier otra publicidad o declaración falsa. [ 26 ]
Las fuerzas del orden también han presionado a los bancos para que cierren las plataformas de pago que procesan compras fraudulentas de software de seguridad. En algunos casos, el elevado volumen de contracargos generados por dichas compras también ha llevado a los procesadores a tomar medidas contra los proveedores fraudulentos de software de seguridad. [ 27 ]
Véase también
Notas
- ↑ Los clones de SpySheriff son BraveSentry, Pest Trap, SpyTrooper, Adware Sheriff, SpywareNo, SpyLocked, SpywareQuake, SpyDawn, AntiVirGear, SpyDemolisher, System Security, SpywareStrike, SpyShredder, Alpha Cleaner, SpyMarshal, Adware Alert, Malware Stopper, Mr. Antispy, Spycrush, SpyAxe, MalwareAlarm, VirusBurst, VirusBursters, DIARemover, AntiVirus Gold, Antivirus Golden, SpyFalcon y TheSpyBot/SpywareBot.
Referencias
- ↑ "Software de seguridad malicioso » Tecnología de la información de BUMC | Universidad de Boston" . www.bumc.bu.edu . Archivado del original el 13 de noviembre de 2021. Consultado el 13 de noviembre de 2021 .
- ↑ "Informe de Symantec sobre software de seguridad malicioso" (PDF) . Symantec. 28 de octubre de 2009. Archivado del original (PDF) el 15 de mayo de 2012. Consultado el 15 de abril de 2010 .
- 1 2 3 4 "Informe de inteligencia de seguridad de Microsoft, volumen 6 (julio-diciembre de 2008)" . Microsoft . 8 de abril de 2009. pág. 92. Archivado del original el 5 de julio de 2012. Consultado el 2 de mayo de 2009 .
- 1 2 Doshi, Nishant (19 de enero de 2009), Aplicaciones engañosas: ¡Muéstrame el dinero!, Symantec , consultado el 22 de marzo de 2016
- ↑ Doshi, Nishant (21/01/2009), Aplicaciones engañosas: ¡Muéstrame el dinero! (Parte 2) , Symantec , consultado el 22/03/2016
- ↑ "Noticias sobre la vulnerabilidad de Adobe Reader y Acrobat" . blogs.adobe.com. Archivado del original el 20 de junio de 2012. Consultado el 25 de noviembre de 2010 .
- ↑ Chu, Kian; Hong, Choon (30 de septiembre de 2009), Noticias sobre el terremoto de Samoa provocan la aparición de antivirus fraudulentos , F-Secure , archivado del original el 29 de octubre de 2014 , consultado el 16 de enero de 2010.
- ↑ Hines, Matthew (8 de octubre de 2009), Distribuidores de malware dominan el SEO de noticias , eWeek , archivado del original el 21 de diciembre de 2009 , consultado el 16 de enero de 2010.
- ↑ Raywood, Dan (15 de enero de 2010), Antivirus maliciosos frecuentes en enlaces relacionados con el terremoto de Haití, mientras se anima a los donantes a buscar cuidadosamente sitios web auténticos , SC Magazine, archivado del original el 29 de octubre de 2014 , consultado el 16 de enero de 2010.
- ↑ Rajab, Moheeb Abu y Ballard, Luca (13 de abril de 2010). "El efecto nocebo en la web: un análisis de la distribución de antivirus falsos" (PDF) . Krebson Security . Archivado (PDF) del original el 20 de febrero de 2019. Recuperado el 18 de noviembre de 2010 .
- ↑ "Advertencia sobre llamadas no solicitadas de empresas antivirus a usuarios de internet en el Reino Unido" . BBC News . 15 de noviembre de 2010. Archivado del original el 12 de diciembre de 2011. Consultado el 7 de marzo de 2012 .
- ↑ "Documentos técnicos de Sophos – Perspectivas de SEO de Sophos" . sophos.com . Archivado del original el 22 de enero de 2015. Consultado el 5 de octubre de 2015 .
- 1 2 3 "Sophos Fake Antivirus Journey from Trojan tpna" (PDF) . Archivado (PDF) del original el 17-01-2016 . Recuperado el 05-10-2015 .
- 1 2 El "escaneo de seguridad gratuito" podría costar tiempo y dinero , Comisión Federal de Comercio , 10 de diciembre de 2008, archivado del original el 15 de noviembre de 2012 , consultado el 2 de mayo de 2009.
- ↑ "SAP en una encrucijada tras perder un veredicto de 1.300 millones de dólares" . Yahoo! Noticias . 24 de noviembre de 2010. Archivado del original el 22 de agosto de 2016. Consultado el 25 de noviembre de 2010 .
- ↑ Testimonio de Ari Schwartz sobre "software espía" (PDF) , Comité del Senado de Comercio, Ciencia y Transporte , 11 de mayo de 2005, archivado (PDF) del original el 27 de noviembre de 2008 , consultado el 5 de mayo de 2009.
- ↑ Leyden, John (11 de abril de 2009). "Zango se va al garete: Fin del mercado del adware de escritorio" . The Register . Archivado del original el 15 de agosto de 2012. Consultado el 5 de mayo de 2009 .
- ↑ Cole, Dave (3 de julio de 2006), Deceptonomics: Una mirada al engañoso modelo de negocio de las aplicaciones , Symantec , archivado del original el 3 de agosto de 2020 , consultado el 22 de marzo de 2016.
- ↑ Doshi, Nishant (27/01/2009), Aplicaciones engañosas: ¡Muéstrame el dinero! (Parte 3) , Symantec , archivado del original el 03/08/2020 , consultado el 22/03/2016
- ↑ Stewart, Joe. "Análisis de un antivirus malicioso: Parte 2" . Secureworks.com . SecureWorks. Archivado del original el 5 de marzo de 2016. Consultado el 9 de marzo de 2016 .
- ↑ Cova, Marco; Leita, Corrado; Thonnard, Olivier; Keromitis, Angelos; Dacier, Marc (2009). Gone Rogue: un análisis de campañas de software de seguridad fraudulentas . págs. 1– 3. doi : 10.1109/EC2ND.2009.8 . ISBN 978-1-4244-6049-6.
- ↑ "Seguridad 101" . support.kaspersky.com . Archivado del original el 17 de agosto de 2017. Consultado el 11 de noviembre de 2018 .
- ↑ "Spyware Warrior: Productos y sitios web antispyware fraudulentos/sospechosos" . spywarewarrior.com . Archivado del original el 22/09/2018 . Consultado el 11/10/2006 .
- ↑ "Guías para eliminar virus, spyware y malware" . BleepingComputer . Archivado del original el 11 de septiembre de 2009. Consultado el 17 de agosto de 2009 .
- ↑ Orden de restricción temporal ex parte RDB08CV3233 (PDF) , Tribunal de Distrito de los Estados Unidos para el Distrito de Maryland , 3 de diciembre de 2008, archivado (PDF) del original el 11 de mayo de 2009 , consultado el 2 de mayo de 2009.
- ↑ Lordan, Betsy (10 de diciembre de 2008), Tribunal detiene escaneos informáticos fraudulentos , Comisión Federal de Comercio , archivado del original el 11 de mayo de 2009 , consultado el 2 de mayo de 2009.
- ↑ Krebs, Brian (2009-03-20), "Desmantelada la red de distribución de antivirus no autorizados" , Washington Post , consultado el 2009-05-02
{{citation}}: CS1 maint: servicio de archivado obsoleto ( enlace )
Enlaces externos
Contenido multimedia relacionado con el software malicioso en Wikimedia Commons.
- Software de seguridad fraudulento
- Tipos de malware
- violaciones de seguridad
- Ingeniería social (seguridad)