Una nueva estrategia de engaño que atenta contra la disponibilidad de la información está siendo utilizada actualmente a través de la propagación de malware del tipo ransomware.

Como hemos mencionado en varias oportunidades, constantemente los delincuentes buscan idear nuevos métodos de engaño que permitan cautivar a los usuarios para que estos caigan en una trampa. En esta nueva campaña la excusa es la violación de los derechos de autor y su método de propagación es el mismo que utiliza actualmente cualquier tipo de rogue, páginas web a través de BlackHat SEO (también conocido como SEO Poisoning).

Como es habitual en la mayoría del ransomware actual, se bloquea el acceso al sistema operativo mostrando en pantalla una ventana que advierte sobre una supuesta "Infracción de Derechos de Autor". A continuación podemos observar el ejemplo:

Mensaje falso

Para ampliar la cobertura de ataque, el malware se encuentra en 10 idiomas y supuestamente el emisor de la alerta es una fundación antipiratería que no existe, y que bajo la supuesta detección en el sistema de material que viola los derechos de autor como lo son las descargas de ciertas películas, juegos y música desde redes P2P (una actividad muy común) busca que el usuario se "asuste" y para "regularizar" su situación y decida entre dos opciones posibles:

  • Transferir el caso a los tribunales. Desaparece la ventana de alerta, pero cuando el sistema se reinicia vuelve a bloquear el acceso al sistema operativo.
  • Resolver el caso en una audiencia previa al juicio. Redirecciona a este formulario que incita a pagar una determinada cantidad de dinero en concepto de multa.

Supuesta multa

De esta manera, el atacante busca engañar a los usuarios a través de una temática ampliamente conocida por los usuarios que descargan archivos desde redes P2P.

Para actuar de forma más efectiva, este malware, al activarse en la computadora víctima, obtiene su dirección IP y realiza una consulta (whois) para identificar su localización geográfica. De esta forma, puede personalizar la estrategia mostrando información relacionada al supuesto ente judicial de competencia en su país.

Es importante, sobre todo en ámbitos corporativos, generar medidas de prevención porque si una empresa utiliza programas no licenciados pueden caer fácilmente en la trampa ya que, al tener bloqueado el sistema, los usuarios no podrán acceder a la información de la compañía

Afortunadamente, los ambientes que poseen implementados las soluciones de ESET estarán protegidos en todo momento de esta amenaza ya que la misma es detectada con el nombre Win32/Adware.Antipiracy.

Jorge Mieres
Analista de Seguridad