Grupos de Google utilizados para descargar rogue Desktop Security 2010

En los últimos días se han estado propagando distintos tipo de malware a través de grupos de Google, los cuales son creados masivamente para este fin. A continuación se puede ver un ejemplo en donde el creador del grupo brinda una serie de archivos a los participantes del mismo y aquellos que lo descarguen serán infectados por un rogue que analizaremos posteriormente:

Google Groups

En este caso también es importante conocer que no es necesario que el usuario pertenezca a ese grupo sino que el enlace directo de descarga puede ser enviado por spam a millones de usuarios y, al ser engañados con Ingeniería Social, estos proceden a su descarga. Por ejemplo uno de los correos enviados es el siguiente:

Google Groups

El formato del enlace es el siguiente, en donde el nombre del archivo puede ser cualquiera:

http://[NOMBRE_DEL_GRUPO].googlegroups.com/web/setup.zip?gda=o80xcHJ89aH…

Nota: desde ESET ya hemos denunciado los grupos y se ha procedido a su baja.

En este caso si se intenta descargar el archivo “setup.zip”, el mismo contiene un archivo ejecutable y al intentar obtenerlo, los productos de ESET informan de que se trata del troyano Win32/TrojanDownloader.FakeAlert.AXN.

Deteccion de ESET

Como su nombre lo indica este troyano descarga (downloader) otras aplicaciones dañinas. En este caso, luego de su ejecución, se instalará un rogue llamado Desktop Security 2010 que se transformará en una pesadilla para el usuario. Al instalarse presenta la siguiente interfaz bonita:

Deteccion de ESET

Este caso es interesante porque mientras el rogue realiza la falsa exploración comienza a reproducirse un audio en forma continua (y sin final) diciendo: “your system is infected”… “your system is infected”… “your system is infected”.
Si el usuario cree este engaño y decide “limpiar” su sistema, se le solicitará el registro del producto con un “importante descuento del 40%”:

Alertas Falsas

También puede observarse en la parte inferior otra alerta de un supuesto Antispyware y, en este caso el audio reproducido es “Please, register your license”.
A continuación se ve la ventana de “configuración del producto” en donde puede observarse que no es posible desactivar los mensajes de audio mencionados:

Configuracion

Luego de haberse instalado, el usuario recibirá falsas alertas de todo tipo en forma continua, se evitará que pueda navegar por Internet y, mientras tanto, se reproducirán otros sonidos con el objetivo de asustar. Por ejemplo, si se intenta descargar la herramienta gratuita SysInspector desde el sitio de ESET la aplicación informa que se trata de una amenaza, evitando y bloqueando su descarga y ejecución a través de un mensaje y una alerta de Bitlocker, una aplicación real de Microsoft que, en este caso, es simulada.

Alertas Falsas

En lo que respecta al sistema de archivos, el rogue descarga e instala otras aplicaciones que son utilizadas también para engañar al usuario con alertas y avisos falsos. A continuación se puede ver la cantidad de aplicaciones descargadas y también en ejecución en un sistema infectado (notar los nombres de los procesos y archivos):

Archivos del malware

Además, también se modifica el archivo hosts, lo cual evita que el sistema pueda ser actualizado o permite que se descargue otro tipo de malware al sistema. En la siguiente imagen, obtenida con SysInspector, desde un sistema infectado, las URL ocultas representan dominios dañinos y las visibles representan sitios a los cuales el usuario no podrá ingresar o bien serán falsificados, permitiendo por ejemplo ataques de robo de información y phishing.

Deteccion de ESET

Sin duda alguna nos encontramos con una interesante “nueva especie” de rogue que a través de todos los medios posibles es capaz de:

  • asustar al usuario de muchas formas
  • reproducirse de varias formas posibles (grupo de Google, descargas automáticas, correo, etc)
  • dañar el sistema al punto de dejarlo inutilizable
  • permitir el robo de información confidencial
  • robar información financiera (por ejemplo datos de la tarjeta de crédito) para posteriores ataques

Por eso, más vale prevenir que curar: todos los productos de ESET detectan y eliminan este rogue a través de su motor unificado ThreatSense.

Cristian Borghello
Director de Educación e Investigación

Autor , ESET

Síguenos