Hemos hallado una gran cantidad de sitios web falsos y que simulan descargar distintos instaladores de herramientas muy conocidas como WinRar, WinZip, EMule, Torrent, Azureus, MSN Messenger, Zone-Alarm, Open Office, Opera, Firefox, Microsoft Internet Explorer, DirectX, RegCleaner y muchos otros.

Estos sitios descargan falsos instaladores generados por herramientas similares a la comentada por nosotros en creador de falsos navegadores web y, si bien esta técnica es muy conocida, lo realmente peligroso en esta ocasión es que esta campaña de distribución ha sido orientada a distintos idiomas y, si el usuario proviene de Latinoamérica o España el sitio web mostrado, estará en español, como puede verse a continuación en este sitio falso de Emule:

Como si esto fuera poco, la campaña ha sido orientada a lograr posicionamiento web a través de los buscadores (SEO – Search Engine Optimization) y es posible llegar a los sitio falsos a través de cualquiera de ellos con búsquedas muy sencillas:

Es decir, cualquier usuario puede llegar a estos sitios y descargar la herramienta falsa. Lo extraño es que, al comenzar la instalación, se descarga el programa original desde el sitio oficial de la aplicación, pudiendo tardar varios minutos dependiendo del tamaño de la aplicación y de la velocidad de descarga. Por ejemplo, aquí se muestra la descarga del paquete de Open Office:

Pero, luego de dicha descarga y, debido a que los programas supuestamente son gratuitos, se solicita el envío de cierta cantidad de SMS (de 2 a 4) para proporcionar un supuesto número de instalación y finalizar la instalación. Este evento, que puede parecer aislado, da cierto sentido de frustración al usuario que, después del tiempo invertido en la descarga e instalacióndel programa, prefiere enviar los SMS que seguir perdiendo tiempo.

En este caso se muestra la solicitud del código al intentar instalar el falso Flash Player. El mensaje remarcado muestra la cantidad de mensajes y el costo de los mismos, que varía dependiendo del país en que nos encontremos:

Luego de enviar los SMS solicitados, por supuesto no se recibe respuesta y ya se ha perdido el dinero (en este caso 8 pesos). Además a partir de este momento se ha instalado una barra llamada Peer2Peer en el navegador y los delincuentes recibirán un monto determinado de dinero por cada búsqueda que se hace en ella. Es importante destacar que esta barra ha sido realizada a través de la empresa Conduit legal que ofrece este tipo de servicios para construir barras de búsquedas gratuitas (la cuenta fue creada en octubre de 2008).

Como comentario al margen y orientado a la cantidad de trabajo necesario para realizar esta campaña, en uno de estos dominios puede verse la cantidad de instaladores falsos en distintos idiomas creados para este engaño… los cuales alcanzar los 1899 en el momento de escribir esto:

Entonces, en esta campaña es importante destacar las siguientes consideraciones:

• el tiempo invertido en construir la gran cantidad de sitios falsos (registrados la mayoría de ellos en noviembre pasado)
• el tiempo invertido en crear la gran cantidad de instaladores falsos (repito, 1899)
• el tiempo invertido en crear los sitios y los instaladores en distintos idiomas
• simular el proceso de instalación completo, incluso descargando la herramienta verdadera
• el tiempo invertido en realizar la campaña de SEO que bajo ningún punto de vista es algo sencillo de llevar a  cabo sobre los buscadores
• lograr el cobro de los SMS recibidos

Estos puntos dan una idea del tamaño de la campaña y del dinero que pueden recolectar estos delincuentes. ¿Queda alguna duda de la orientación económica de este tipo de engaños?

Actualización: al finalizar de escribir este post, la barra mencionada ha sido dada de baja por violar los términos de uso de la empresa que ofrece el servicio ya que fue utilizada para actividades fraudulentas.

Cristian

• Software conocido en sitios falsos
• ¿Qué es SMS Scam?
• Reporte de amenazas de Enero

Categorias: Alertas, Malware
10 Comentarios »