El viernes de la semana pasada estuvimos hablando sobre una muestra de un código malicioso que se hacía pasar por una solución de seguridad gratuita que para cobrarle al usuario por su uso. Analizando el archivo más en detalle se puede observar que el ejecutable se encuentra en un paquete autoextraíble. Al descomprimirlo, curiosamente, el archivo despliega varias escenas de la famosa obra Romeo y Julieta de William Shakespeare:
Con estos comentarios se busca ofuscar algunos parámetros que utiliza el código malicioso para autoejecutarse en la computadora de la víctima. Este autoejecutable, una vez extraído, contiene otro archivo comprimido en su interior. No obstante, el segundo está cifrado con contraseña. Para poder descifrarse en la computadora de la víctima, el archivo necesita que la clave se encuentre embebida en alguna parte. Para eso, el autor de este código malicioso decidió utilizar la obra de Shakespeare para disfrazar su clave de la siguiente forma:
Setup = [ARCHIVO] –e –p [CONTRASEÑA]
Al utilizar la contraseña, finalmente alcanzamos el archivo ejecutable que se encontraba doblemente comprimido. La muestra, que se trata de un falso antivirus, se instala e intenta confundir al usuario de que termine pagando para eliminar las supuestas amenazas que posee en su computadora. Como analizado anteriormente, dentro de sus múltiples pantallas el código malicioso busca engañar a la víctima mostrando falsas infecciones en su computadora y finalmente notificando que esa es una versión trial de la aplicación y que para poder eliminar las amenazas el usuario deberá comprar la versión completa del producto. Examinando los archivos creados por este código malicioso, observamos al creación de un DLL en donde se guardan los parámetros que son mostrados por la aplicación, cuyo contenido se encuentra en texto plano. Con un editor de texto se pueden modificar los valores fácilmente para cambiar, por ejemplo, los porcentajes de detección del Rogue y demás variables para convencer al usuario de la estafa.
Adicionalmente, despliega un mensaje de alerta insinuando que el usuario estaría descargando información a través de servidores de torrent y que, por lo tanto, estaría infringiendo la ley SOPA. No obstante, el falso antivirus recomienda al usuario a que utilice un protocolo cifrado de datos y además a comprar la falsa solución para activar la anonimidad en Internet para no ser detectado por descargar contenido ilícito.
Es importante que el usuario comprenda que todo esto se trata de un engaño y que deberían utilizar una solución de seguridad para comprobar que los archivos que se descargan de Internet no contienen códigos maliciosos, como este mismo caso. Asimismo, el protocolo de conexión segura HTTPS debería ser utilizado siempre que se envía información por Internet de modo que los datos no puedan ser comprendidos por un tercero.
Recordamos a los usuarios que la mayoría de estos casos infectan a víctimas cuyos computadoras no se encuentran protegidos por un antivirus actualizado, o bien, por un antivirus en absoluto. Contar con una solución de seguridad es el mecanismo más eficiente para evitar la infección en este tipo de casos sin olvidar que las aplicaciones deben ser descargadas siempre de sus páginas oficiales y no de ningún tipo de enlaces provistos en correos electrónicos, redes sociales u otros medios.
Raphael Labaca Castro
Especialista de Awareness & Research
