¿Qué sucede si un usuario compra un rogue?

En varias oportunidades, hemos discutido sobre diversos casos de rogue, es decir, amenazas informáticas cuyo fin es asustar al usuario simulando falsas detecciones de códigos maliciosos. De este modo, los atacantes amedrentan a la víctima para que adquiera una licencia que supuestamente, desinfectará la computadora. ¿Qué pasa si una persona, en un intento de desesperación, cae en el engaño y compra una licencia?

Es evidente que hacer eso no solo contribuye a que los ciberdelincuentes continúen desarrollando este tipo de amenazas, sino que también no existe ninguna garantía que la información entregada por el usuario como su tarjeta de crédito, sea manejada con seriedad y cuidado. Para realizar este procedimiento, utilizamos un rogue bautizado por sus autores como Windows Custom Management y que es detectado proactivamente por ESET NOD32 Antivirus como una variante de Win32/Adware.WintionalityChecker.AF. Como en la mayoría de los casos de este tipo, WintionalityChecker detecta falsamente códigos maliciosos, y de forma reiterativa, alerta al usuario que ciertas aplicaciones están infectadas y que compre el “producto” para proceder a la remoción.

Rogue sin licenciar

Como puede observarse  en la captura anterior, esta amenaza muestra cuatro detecciones falsas. Si el usuario ingresa cualquier número de serie, el rogue rechaza la licencia:

Licencia inválida

Para poder determinar números de licencias válidos, se procedió a realizar un análisis estático para evitar contribuir a este negocio ilícito. Una vez concluida esta etapa, pudimos encontrar una que funciona:

Licencia válida

Tras hacer clic en el botón “Register“, la interfaz gráfica de la amenaza cambia para reflejar tanto verbal como visualmente, que  el usuario a partir de ese momento, sí está supuestamente protegido. Posterior a eso y tras algunos segundos, se le muestra a la víctima que esas cuatro amenazas anteriormente detectadas, son removidas satisfactoriamente del sistema. Para que dicha acción luzca legítima, las detecciones falsas son eliminadas lentamente y de forma individual. Por otro lado, todos los mensajes invasivos que alertaban al usuario de programas “infectados”, son omitidos de modo que la persona no vea interrumpido su trabajo una vez que adquiere la licencia y cae en el fraude.

Rogue licenciado

Por lo tanto, pudimos determinar que lo único que sucede cuando se adquiere una licencia para un rogue, son falsas animaciones que aparecen en pantalla y que buscan engañar al usuario para tranquilizarlo sobre el estado de su sistema. Al ser todas estas detecciones falsas, la remoción obviamente es un montaje visual y en ningún caso, se remueve un código malicioso. Contar con una solución de seguridad antivirus con capacidad de detección proactiva ayuda a evitar este tipo de malware y otras amenazas informáticas. En casos de rogue más persistentes cuya desinfección es difícil, ESET Rogue Applications Remover permite eliminarlos completamente del sistema.

André Goujon
Especialista de Awareness & Research

Autor , ESET

  • Luis Espinoza

    Siempre me preguntaba que pasaba si alguien compraba este tipo de rogue, gracias por despejar la duda!

  • Pingback: ESET Informa: ¿Qué sucede si un usuario compra un rogue? | Internet | e-Volution()

  • Gean Franco

    Buenas Tardes Equipo de Eset Latinoamerica para preguntarles si eset nod32 detecta el rogue regclean pro que esta apareciendo en muchas paginas de internet

    • Estimado Gean Franco:

      Podría enviarnos la muestra para poder verificar la detección? Tiene más información al respecto?

      Gracias!

      Saludos,
      Raphael

Síguenos