Desde nuestro Partner Autorizado Habeas Data (HD) México, nos llegó al laboratorio una muestra que se clasifica dentro de los códigos maliciosos tipo rogue, es decir, programas que reportan infecciones o problemas inexistentes a cambio que el usuario adquiera una licencia.

Para lograr que la persona acceda a comprar el software, los ciberdelincuentes emplean una táctica conocida como scareware, la que consiste en amedrentar a la víctima con amenazas falsas como que si no compra determinado programa, perderá toda su información, o exagerando de forma desmedida, reportes de infección o problemas en general.

En este caso se trata de XP Antispyware 2012, un supuesto programa anti espía que ofrece funcionalidades extras como cortafuego personal y un módulo de protección proactiva. Cuando es instalado, finge realizar un análisis al sistema en el que muestra varias amenazas detectadas, de las cuales todas son inexistentes o falsos positivos. Para proteger a nuestros usuarios, ESET NOD32 Antivirus detecta de forma genérica esta amenaza como una variante de Win32/Kryptik.YGH.

Ver más… »

Categories: Análisis de malware, Rogue
1 Comment »

Mensualmente les presentamos un listado con nombres de amenazas de malware del tipo rogue. Dicha amenaza, una vez que se encuentra en el equipo de la víctima, comienza a desplegar carteles con distintos tipos de problemas falsos. Todo el despliegue de alertas, tiene como único objetivo que la victima ingrese los datos de su tarjeta bancaria, la cuales luego son usadas por los criminales o vendidas en los e-commerce de tarjetas. Este tipo de amenaza ha resultado ser uno de los problemas que los departamentos de investigación han tomado mayor atención. El FBI ha llevado a cabo operaciones, en donde se ha detenido dos bandas durante el mes Junio, las cuales causaron más de 74 millones de dolares en pérdidas a distintas victimas utilizando estas amenazas.

A continuación les presentamos la lista con los nombres de distintos rogue:

• AV Guard Online
• Privacy Protection
• RegClean
• RegFixer
• Security Defender Installer
• Security Sphere 2012
• Securiy Defender
• System Restore

Contar con una solución de seguridad con capacidad proactiva ante estas amenazas, puede prevenir estos problemas. Es vital que el usuario este informado de estos engaños, que cada vez mas distribuidos en la red.

Claudio Cortés Cid
Especialista de Awareness & Research

Categories: Rogue
No Comments »

Hoy en día, muchos usuarios de smartphones, se suscriben a servicios pagos a través de mensajes de texto, tales como la descarga de ringtones, eBooks, entre otros. Esto puede desembocar en un posible fraude, debido a que se realizan cobros ocultos o por el envío de información no solicitada, lo que produce una pérdida económica. Para contrarrestar esto existe en China una política de seguridad, la cual indica que el cliente debe confirmar la suscripción a estos servicios. Únicamente luego de esto el proveedor del servicio podrá enviar y cobrar por los servicios que envíe. Este proceso consiste en lo siguiente:

• El usuario envía un mensaje de texto con la solicitud de suscripción al servicio.
• El proveedor envía otro mensaje de texto como respuesta indicando los términos del servicio, tales como el contenido y el costo.
• El cliente deberá confirmar contestando el mensaje recibido. En caso contrario, el cliente no se encuentra suscripto al servicio, el proveedor no podrá enviar información ni cobrar cargos.

En este caso el NC state university ha descubierto que la aplicación RogueLemon no solo confirma el mensaje enviado por el proveedor, indicando los términos de servicio, es decir, el segundo y el tercer paso de esta política, sino que también elimina estos dos mensajes de texto, haciendo de la política lo siguiente:

• El usuario envía un mensaje de texto con la solicitud de suscripción al servicio.
• El proveedor envía otro mensaje de texto como respuesta indicando los términos del servicio, tales como el contenido y el costo, pero esta vez el usuario no podrá ver este mensaje, sino que será interceptado por este rogue, para su eliminación para evitar que el usuario sospeche.
• El malware envía un mensaje de confirmación a este proveedor para así iniciar con el envío de material para su cobro.

El código malicioso realiza estas modificaciones debido a los permisos que requiere para su instalación, los cuales son brindados por el usuario. Para evitar que el usuario pueda observar estos mensajes de texto, para así confirmar él mismo la suscripción, utiliza sus privilegios para modificar la prioridad, a la más alta, del recibo de los mensajes de texto, lo que procede en ver el mensaje de texto, incluso antes que el mismo usuario:

Gracias a esta modificación puede verificar todos los mensajes de texto, incluso los de confirmación del proveedor.

Otra medida de seguridad utilizada en China es que las compañías de servicio telefónico indican que se ha facturado un cobro en su cuenta a través de uno de estos servicios anteriormente descriptos, lo cual es una amenaza para este rogue. Debido a esto, y a su habilidad de poder verificar todos los mensajes recibidos antes que el propio usuario, este malware busca los mensajes enviados por esta compañía a través de la detección del número de teléfono de la misma para eliminarlos y así evitar la sospecha del usuario para poder continuar cobrando el servicio.

A pesar de que esto aún no pueda ser aplicado en esta región, debido a la falta de seguridad en estas cuestiones, es importante remarcar que la funcionalidad que posee por sobre los mensajes de texto puede ser aplicada para distintos fines, como por ejemplo enviar spam a través de mensajes de texto sin que el usuario pueda percatarse de ello.

En resumen, para evitar ser víctima de estos ataques y estafas, es indispensable que se realicen descargas de un sitio conocido y de su confianza, verificar qué privilegios se solicitan al momento de instalar una aplicación en nuestro Smartphone y siempre mantener un control del saldo para poder evidenciar un gasto no requerido.

Gonzalo Presa
Analista Jr. de Seguridad

Categories: Malware, Rogue
No Comments »

Les presentamos un nuevo listado mensual de malware del tipo rogue. Los siguientes nombres, pertenecen a los códigos maliciosos más relevantes del mes reportado por nuestro laboratorio de investigación.

Las amenazas del tipo rogue son distribuidas constantemente a través de la web, para engañar a nuevas víctimas. La manera de trabajar de esta categoría de código malicioso, es generando miedo a la víctima a través de técnicas de Ingeniería Social con falsos mensajes de alertas. Luego se le ofrece a la víctima, una falsa solución a estos problemas, si realiza un pago a través de tarjeta de crédito.

A continuación les presentamos un breve resumen de esta lista de nombres de rogue:

• Av Guard Online
• Cloud Protecion
• Data Recovery
• Data Restore
• Digitial Patrol
• Guard Online
• HDD Data Restore
• HDD Recovery
• OpenCloud Security
• Security Guard 2012
• Security Sphere 2012
• System Recovery
• System Restore

A lo largo de todos los meses ponemos en evidencia, la importancia de contar con una solución de seguridad con capacidades de detección proactiva como lo es ESET NOD32 Antivirus. Así también, es importante estar atentos a la hora de navegar manteniendo las buenas prácticas de seguridad, para poder evitar pasar malos ratos.

Claudio Cortés Cid
Especialista de Awareness & Research

Categories: Rogue
No Comments »

Para muchos usuarios el término rogue puede resultar una palabra totalmente extraña, pero este término es ampliamente utilizado en el mundo de la seguridad por su gran repercusión. Esta amenaza también es conocida como scareware, por la unión de las palabras scare (miedo) y software (programa). Es decir que mediante un programa se intenta generar miedo a la víctima con el objetivo de poder obtener un beneficio económico. Las maneras de realizar este tipo de engaño es mediante la utilización de técnicas de Ingeniería Social, y así poder generar un impacto en la victima. En esta oportunidad vamos a compartir con ustedes el análisis de un rogue: System Recovery.

System Recovery es un malware del tipo rogue que fue reportado a nuestro Laboratorio de Análisis de ESET Latinoamérica. Este malware una vez que es ejecutado por la victima, automáticamente comienza a realizar un falso análisis del sistema operativo:

El resultado del análisis nunca es alentador para la victima, ya que se informa mediante alertas que sus sistema tiene diferentes problemas, esto obviamente resulta ser totalmente falso ya que se le insiste a la victima de comprar una licencia para resolver los problemas encontrados.

Este rogue es detectado por ESET NOD32 Antivirus como Win32/Kryptik.SKN Troyano.

El crecimiento de esta amenaza que juega con el miedo y el desconocimiento de la víctima, ha resultado ser tan impactante que ya hay organismos de seguridad realizando investigaciones. El departamento del FBI hace algunos meses atrás, llevo a cabo dos operaciones, descubriendo que de los grupos delictivos obtuvo más de 72 millones de dólares en ganancias por esta amenaza. Este número nos demuestra el impacto que tiene en la economía de las víctimas y, especialmente, en la economía de los ciberdelincuentes.

Es importante que ante tipo de amenazas, la victima sepa reconocer que se trata de una falsa solución de seguridad. Es por eso que recomendamos leer las 5 formas para identificar un rogue, y también mantenerse informado de la lista mensual que publicamos sobre nombres de esta amenaza.

Claudio Cortés Cid
Especialista de Awareness & Research

Categories: Rogue
1 Comment »