Desde nuestro Partner Autorizado Habeas Data (HD) México, nos llegó al laboratorio una muestra que se clasifica dentro de los códigos maliciosos tipo rogue, es decir, programas que reportan infecciones o problemas inexistentes a cambio que el usuario adquiera una licencia.

Para lograr que la persona acceda a comprar el software, los ciberdelincuentes emplean una táctica conocida como scareware, la que consiste en amedrentar a la víctima con amenazas falsas como que si no compra determinado programa, perderá toda su información, o exagerando de forma desmedida, reportes de infección o problemas en general.

En este caso se trata de XP Antispyware 2012, un supuesto programa anti espía que ofrece funcionalidades extras como cortafuego personal y un módulo de protección proactiva. Cuando es instalado, finge realizar un análisis al sistema en el que muestra varias amenazas detectadas, de las cuales todas son inexistentes o falsos positivos. Para proteger a nuestros usuarios, ESET NOD32 Antivirus detecta de forma genérica esta amenaza como una variante de Win32/Kryptik.YGH.

Rogue XP Antispyware 2012

Por otro lado, este malware puede ser muy molesto puesto que despliega de forma periódica, mensajes sobre un falso programa desconocido que está intentando obtener acceso a la computadora y a la información financiera que esta pueda contener. Además, cada vez que el usuario abre algún software de su sistema, el rogue intercepta esta acción y pregunta si se desea permitir o no la ejecución de este, argumentando que el archivo está infectado.
A continuación, se muestra el mensaje que es expuesto cuando se intenta ejecutar Mozilla Firefox:

Mensaje falso de programa infectado

Si la víctima elige la primera opción, el código malicioso llevará al usuario a un sitio en el que se le ofrecen tres suscripciones con los siguientes precios en dólares: $59,95, $69,95 y $79,95. La primera y la segunda dicen tener una duración de un año y dos respectivamente, mientras la última, ofrece una licencia de por vida.

Volvemos a reiterar que en caso de infección por parte de un rogue, el usuario nunca debe pagar ni tampoco ingresar su información, de lo contrario, se estará incentivando este método de fraude. Debido a que se trata de un tipo de estafa electrónica, las políticas comerciales que mencionan tener esta clase de amenazas no ofrecen ninguna garantía.

Recomendamos leer nuestro post sobre las 5 formas de identificar un rogue para poder diferenciar un programa fraudulento de uno legítimo.

André Goujon
Especialista de Awareness & Research