En varias oportunidades, hemos discutido sobre diversos casos de rogue, es decir, amenazas informáticas cuyo fin es asustar al usuario simulando falsas detecciones de códigos maliciosos. De este modo, los atacantes amedrentan a la víctima para que adquiera una licencia que supuestamente, desinfectará la computadora. ¿Qué pasa si una persona, en un intento de desesperación, cae en el engaño y compra una licencia?
Es evidente que hacer eso no solo contribuye a que los ciberdelincuentes continúen desarrollando este tipo de amenazas, sino que también no existe ninguna garantía que la información entregada por el usuario como su tarjeta de crédito, sea manejada con seriedad y cuidado. Para realizar este procedimiento, utilizamos un rogue bautizado por sus autores como Windows Custom Management y que es detectado proactivamente por ESET NOD32 Antivirus como una variante de Win32/Adware.WintionalityChecker.AF. Como en la mayoría de los casos de este tipo, WintionalityChecker detecta falsamente códigos maliciosos, y de forma reiterativa, alerta al usuario que ciertas aplicaciones están infectadas y que compre el “producto” para proceder a la remoción.
Como puede observarse en la captura anterior, esta amenaza muestra cuatro detecciones falsas. Si el usuario ingresa cualquier número de serie, el rogue rechaza la licencia:
Para poder determinar números de licencias válidos, se procedió a realizar un análisis estático para evitar contribuir a este negocio ilícito. Una vez concluida esta etapa, pudimos encontrar una que funciona:
Tras hacer clic en el botón "Register", la interfaz gráfica de la amenaza cambia para reflejar tanto verbal como visualmente, que el usuario a partir de ese momento, sí está supuestamente protegido. Posterior a eso y tras algunos segundos, se le muestra a la víctima que esas cuatro amenazas anteriormente detectadas, son removidas satisfactoriamente del sistema. Para que dicha acción luzca legítima, las detecciones falsas son eliminadas lentamente y de forma individual. Por otro lado, todos los mensajes invasivos que alertaban al usuario de programas "infectados", son omitidos de modo que la persona no vea interrumpido su trabajo una vez que adquiere la licencia y cae en el fraude.
Por lo tanto, pudimos determinar que lo único que sucede cuando se adquiere una licencia para un rogue, son falsas animaciones que aparecen en pantalla y que buscan engañar al usuario para tranquilizarlo sobre el estado de su sistema. Al ser todas estas detecciones falsas, la remoción obviamente es un montaje visual y en ningún caso, se remueve un código malicioso. Contar con una solución de seguridad antivirus con capacidad de detección proactiva ayuda a evitar este tipo de malware y otras amenazas informáticas. En casos de rogue más persistentes cuya desinfección es difícil, ESET Rogue Applications Remover permite eliminarlos completamente del sistema.
André Goujon
Especialista de Awareness & Research
