La cantidad mensual de malware del tipo rogue sigue manteniendo sus niveles de propagación en constante crecimiento; lo cual corrobora lo rentable que resulta para los creadores de códigos maliciosos el negocio de engañar a la victimas mediante técnicas de Ingeniería Social. Esta vez, compartiremos con ustedes el funcionamiento de una amenaza que se encuentra propagada por la web, para así puedan evitar ser víctimas de este engaño.

La distribución del rogue "Security Shield" se realiza mediante un re direccionamiento de páginas que previamente fueron comprometidas por el creador del malware a las cuales, se les inyectó código para direccionar a la victima a una página especialmente diseñada, tal como se muestra en la siguiente imagen:


Podemos observar que se trata de una página web, que realiza una simulación de un análisis a la maquina, el cual resulta ser totalmente falso. Una vez que se termina de realizar el supuesto análisis, se muestra como resultado varias amenazas “encontradas” en el sistema de la víctima, y luego se le ofrece al usuario limpiar estas, descargando un archivo ejecutable que sería una solución de seguridad:


Una vez que se descarga la falsa solución de seguridad llamada “Security Shield”, comienza un nuevo proceso de incitación en donde se le ofrece a la víctima mediante alertas de distintos tipos, la compra de una licencia con tarjeta de crédito:

Todas las alertas resultan ser bastante molestas para la víctima, como también lo es cuando se intenta ejecutar un programa, ya que el rogue se encarga de cerrar los procesos. Un ejemplo de esto es el intento de ejecución del navegador Internet Explorer, en donde podemos ver una alerta que le indica a la víctima, que el proceso se encuentra infectado por otro malware. Esta amenaza es detectada por ESET NOD32 antivirus como Win32/Kryptik.PDR troyano:

Todas estas alertas y cierres de aplicaciones tienen como único objetivo que la victima ingrese los datos de su tarjeta de crédito, para así continuar con este negocio criminal que se extiende cada vez más. Es importante recordar que Security Shield, fue reportado en el listado de programas se seguridad falsos que publicamos mensualmente desde el blog.

Claudio Cortés Cid
Especialista de Awareness & Research