Estos sitios descargan falsos instaladores generados por herramientas similares a la comentada por nosotros en creador de falsos navegadores web y, si bien esta técnica es muy conocida, lo realmente peligroso en esta ocasión es que esta campaña de distribución ha sido orientada a distintos idiomas y, si el usuario proviene de Latinoamérica o España el sitio web mostrado, estará en español, como puede verse a continuación en este sitio falso de Emule:

Como si esto fuera poco, la campaña ha sido orientada a lograr posicionamiento web a través de los buscadores (SEO – Search Engine Optimization) y es posible llegar a los sitio falsos a través de cualquiera de ellos con búsquedas muy sencillas:

Es decir, cualquier usuario puede llegar a estos sitios y descargar la herramienta falsa. Lo extraño es que, al comenzar la instalación, se descarga el programa original desde el sitio oficial de la aplicación, pudiendo tardar varios minutos dependiendo del tamaño de la aplicación y de la velocidad de descarga. Por ejemplo, aquí se muestra la descarga del paquete de Open Office:

Pero, luego de dicha descarga y, debido a que los programas supuestamente son gratuitos, se solicita el envío de cierta cantidad de SMS (de 2 a 4) para proporcionar un supuesto número de instalación y finalizar la instalación. Este evento, que puede parecer aislado, da cierto sentido de frustración al usuario que, después del tiempo invertido en la descarga e instalacióndel programa, prefiere enviar los SMS que seguir perdiendo tiempo.

En este caso se muestra la solicitud del código al intentar instalar el falso Flash Player. El mensaje remarcado muestra la cantidad de mensajes y el costo de los mismos, que varía dependiendo del país en que nos encontremos:

Luego de enviar los SMS solicitados, por supuesto no se recibe respuesta y ya se ha perdido el dinero (en este caso 8 pesos). Además a partir de este momento se ha instalado una barra llamada Peer2Peer en el navegador y los delincuentes recibirán un monto determinado de dinero por cada búsqueda que se hace en ella. Es importante destacar que esta barra ha sido realizada a través de la empresa Conduit legal que ofrece este tipo de servicios para construir barras de búsquedas gratuitas (la cuenta fue creada en octubre de 2008).

Como comentario al margen y orientado a la cantidad de trabajo necesario para realizar esta campaña, en uno de estos dominios puede verse la cantidad de instaladores falsos en distintos idiomas creados para este engaño… los cuales alcanzar los 1899 en el momento de escribir esto:

Entonces, en esta campaña es importante destacar las siguientes consideraciones:

* el tiempo invertido en construir la gran cantidad de sitios falsos (registrados la mayoría de ellos en noviembre pasado)
* el tiempo invertido en crear la gran cantidad de instaladores falsos (repito, 1899)
* el tiempo invertido en crear los sitios y los instaladores en distintos idiomas
* simular el proceso de instalación completo, incluso descargando la herramienta verdadera
* el tiempo invertido en realizar la campaña de SEO que bajo ningún punto de vista es algo sencillo de llevar a cabo sobre los buscadores
* lograr el cobro de los SMS recibidos

Estos puntos dan una idea del tamaño de la campaña y del dinero que pueden recolectar estos delincuentes. ¿Queda alguna duda de la orientación económica de este tipo de engaños?

Actualización: al finalizar de escribir este post, la barra mencionada ha sido dada de baja por violar los términos de uso de la empresa que ofrece el servicio ya que fue utilizada para actividades fraudulentas.

FUENTE

El método al que recurren los cibercriminales es particularmente descarado: al buscar en los motores de búsqueda el término “flash player”, los usuarios encontrarán en primera posición un enlace directo a un sitio web que dice albergar una actualización para el popular reproductor, pero que en realidad se trata de la familia de malware Win32:Agent.

El peligro se agrava al poder confundirse con el lanzamiento de la versión 10 de Flash Player anunciada hace escasos días por Adobe, versión que, entre otras cosas, soluciona agujeros de seguridad de versiones anteriores. Por ello, la demanda actual de los usuarios es bastante alta, lo que puede provocar que muchos de ellos accedan al enlace fraudulento a través de Google, en lugar de a la actualización legítima de Adobe.

El método de los atacantes es sencillo y efectivo: gracias a anuncios específicos contratados en Google Ads, el sitio web trampa encabeza el ranking, mientras que el sitio web oficial de Adobe Flash Player cae varias posiciones por debajo. Muchas víctimas potenciales harán click probablemente en el primer resultado sin desconfiar, cayendo directamente en manos de los atacantes.

En consecuencia, los expertos de los laboratorios de seguridad de G Data recomiendan llevar a cabo dichas actualizaciones exclusivamente a través de los sitios web oficiales del fabricante y tomar otras precauciones adicionales en sus PC, tales como utilizar un filtro web capaz de detectar y bloquear el contenido malicioso antes de que produzca daño alguno.

FUENTE

Este engaño, a través de páginas de YouTube falsas, es parte de una creciente tendencia de los hackers de merodear los populares sitios de redes sociales en los cuales las personas comparten vínculos y programas.

“Estamos buscando herramientas como estas no solo para YouTube, sino para MySpace, Facebook, America Online”, dijo Jamz Yaneza, de Trend Micro. “Todos los sitios de redes sociales han sido atacados con alguna u otra página”.

Los ‘hackers’ que usan el ataque mediante YouTube envían a personas vínculos a supuestos videos divertidos del famoso sitio web de Google.

Pero los vínculos llevan a réplicas realistas de páginas de YouTube e indican que se necesita una actualización de programas para ver el video requerido.

Aceptar esta actualización permite al ‘hacker’ instalar programas malintencionados que podrían inutilizar teclas, robar datos o permitir tomar el control de la computadora afectada, explicó David Perry de Trend Micro.

Y las víctimas probablemente no se den cuenta ya que el programa pirata enviará luego al sitio real de YouTube y mostrará el video prometido.

Los hackers, en un reciente encuentro en Las Vegas, indicaron que las redes sociales son sitios estupendos para aprovechar la confianza de las personas.

Y es que aunque la gente suele estar alerta ante programas o vínculos enviados por correo por un extraño, en cambio abren estos vínculos cuando provienen de “amigos” de su comunidad virtual.

FUENTE

En el siguiente caso, el sitio web utilizado para alojar el malware consiste en una falsa web cuyo nombre es similar al del sitio web legítimo www.metropostales.com.

En principio, el correo se ve algo parecido al siguiente:

Sin embargo, cuando el usuario hace clic sobre el enlace, es redireccionado hacia una página falsa desde donde supuestamente podrá visualizar la postal prometida:

Lejos de esta situación, se intentará descargar un archivo ejecutable, el malware. De esta manera, el atacante pretende lograr que aquellos usuarios desatentos caigan en la trampa.

Es de vital importancia prestar atención en la dirección a la cual somos redirigidos al hacer clic en un enlace, como así también explorar los archivos descargados con un producto como ESET NOD32.

FUENTE

Como se ve en la imagen, al ingresar al sitio web que simula ser del servicio Yahoo Greetings, se intenta engañar al usuario para descargar una actualización de FlashPlayer. En realidad el archivo http://www3.yahoo.americangreetings.[dominio-falso]/ecards/get_new_flashplayer.exe es un troyano que ESET NOD32 detecta como Win32/Agent.NEQ.

[dominio-falso], pueden ser al menos 10 dominios que pueden contener la misma postal falsa y la misma amenaza. Este troyano es un backdoor capaz de conectarse a servidores SMTP para enviar más correo masivo, por lo que puede experimentarse una caída de velocidad en las conexiones de los equipos infectados.

Una vez más se debe estar alerta a este tipo de “servicios” y postales que tienen como objetivo infectar la mayor cantidad de usuarios para utilizarlos como zombies.

FUENTE