Malware Intelligence Blog: FakeAV a través de nueva estrategia de engaño desde BKCNET "SIA" IZZI. A division of MalwareIntelligence

Generalmente las estrategias de engaño diseñadas para la diseminación de falsos antivirus (AV Rogue) consisten en la simulación online de un escaneo en busca de malware, mostrando una interfaz que imita el explorador de Windows y en el cual siempre se encuentran las mismas amenazas, incluso cuando se emplean sistemas operativos diferentes a Windows.

Estrategia de engaño convencional
Este es uno de los tantos templates. Se muestra un supuesto escaneo para verificar la integridad del equipo con una interfaz que simula estar bajo el explorador de Windows

Sin embargo, recientemente se puso en marcha una nueva estrategia de similares características pero recurriendo a una maniobra diferente que consiste en mostrar un video real mientras se produce, el supuesto escaneo. Esto se muestra bajo la leyenda "Scan in progress. Please wait".

Nueva estrategia de engaño
Se muestra un video real mientras el tráfico es direccionado hacia un falso reporte con la detección de una amenaza

Mientra se reproduce el video, el tráfico es direccionado hacia otra página en la cual se muestra información sobre supuestas amenazas encontradas luego del escaneo. En esta instancia, supuestamente la información es provista por varios motores antivirus que se listan de forma estratégica mostrando información relacionada a la detección.

Falso reporte
Según el escaneo se ha detectado malware en el sistema. Así se busca intimar a los usuarios a través del falso reporte con información de varios motores antivirus

Casualmente, cada uno de los "productos" antivirus que detectan supuesta actividad de malware provee la posibilidad de descargar la aplicación que solucionará el problema:

setup_ass.exe (8ad8cbf1bf06b905dc0db825a8def23f) - FakeAntiSpy
setup_mdk.exe (13aa68b31cf209a67d9030b293a8ac66) – FakeAntiSpy
setup_ppr.exe (ad60082522a3be42a67ff3d475a179bf) – FakeAntiSpy
setup_pst.exe (c7d23cb33b0db8303d7cc43fb4d7fdcd) – FakeAntiSpy
setup_rca.exe (d7adb8df647de3fa6b521e4e18ed57ef) – FakeAntiSpy

Tanto al comenzar como al finalizar el video, se muestra la leyenda "Protect your privacy! Use only licensed software!". Esto contiene un alto impacto de acción psicológica sobre el usuario quien "se entretiene" mirando un video sobre el robo de datos para luego leer la "recomendación".

Protect your privacy!
Estrategia de acción psicológica que busca provocar un efecto persuasivo sobre el usuario para que luego compre el rogue

Esta estrategia está siendo canalizada a través del AS6851, más conocido como BKCNET "SIA" IZZI o SAGADE. BKCNET "SIA" IZZI sirve de "repositorio" para promocionar diferentes actividades delictivas y dar cobertura para el alojamiento de botnets y otros crimeware como Koobface, ZeuS, Phoenix Exploit’s Kit, BOMBA, entre otros, además de algunos afiliados de negocio del tipo Pay-per-Install. En este caso, resolviendo desde la dirección IP. 85.234.191.173.

En el equipo se termina instalando un rogue llamado AntiSpy Safeguard que mientras dura su escaneo inicial bloquea el acceso a los recursos del sistema operativo. El objetivo final del rogue es, como habitualmente sucede, lograr que se termine comprando la aplicación maliciosa.

Compra del rogue

Estás páginas generalmente se encuentran bajo la cobertura de servicios legales, y es mediante la cual el delincuente obtiene dinero por la venta de rogue y datos de las tarjetas de crédito

Con esta maniobra el delincuente, o programa de afiliado, se asegura, por un lado un porcentaje de dinero por el costo del rogue; y por el otro, alimentar su base de datos con información de la tarjeta de crédito que luego es comercializado en el mercado negro a costos variables directamente proporcionales al tipo de tarjeta de crédito.

Información relacionada