El black hat SEO es la técnica más utilizada y efectiva para propagar falsos antivirus, los atacantes infectan sitios para aprovechar su poder de posicionamiento y así obtener visitas en sus páginas falsas.
En el siguiente ejemplo reportado ayer en el foro, todo comienza con una simple búsqueda en Google Imágenes:
La búsqueda simplemente es el nombre de una modelo, hasta aquí todo normal, sin embargo una de estas fotos se encuentra publicada en un sitio infectado.
Al hacerle clic para verla más grande los visitantes son redireccionados hacia una página falsa que simula un análisis del sistema:
El diseño imita al entorno de Windows para confundir, si la víctima cree que las alertas son reales terminará descargando un antivirus falso que infectará su equipo:
Análisis en VirusTotal: freesystemscan.exe (7/43)
Una vez que se ejecuta se muestra una ventana falsa que se parece a una alerta del antivirus de Microsoft, resulta muy convincente sobre todo si realmente se tiene el antivirus instalado y este no detecta el malware:
Segundos después comienza la instalación del programa falso como si MSE lo estuviera recomendado, en este caso se llama Windows Safeguard Utility:
Al igual que otras utilidades falsas se simulan detectar todo tipo de errores para que la víctima finalmente termine comprando una licencia. La ventana de compra también es falsa, parece ser una página segura abierta en el navegador, pero no lo es… al introducir los datos de la tarjeta terminan en las manos de los ciberdelincuentes:
Eliminar el programa:
La forma más rápida y sencilla de eliminar esta clase de programas falsos es utilizar Malwarebytes. El problema en algunos casos es que el malware tiene la capacidad de bloquearlo e incluso, como se puede ver en la siguiente captura, mostrar una advertencia falsa para que el usuario crea que se trata de un programa malicioso:
Para evitar esto simplemente hay que cambiarle el nombre al archivo de ejecución de Malwarebytes, tal como indican en su foro de ayuda. Una vez hecho esto la falsa utilidad será detectada y eliminada:
El sitio infectado:
Como comentaba al principio, la foto de la modelo se encuentra en un sitio legítimo que fue infectado. Los atacantes utilizan programas automáticos para crear en su servidor miles de páginas spam que abarcan un gran número de búsquedas, algunas logran obtener buenas posiciones.
En la siguiente captura se puede ver que aprovechan todo tipo de palabras claves, la búsqueda es un «site:URL + fotos» para ver cuantas páginas hay con la palabra fotos:
Se puede ver que las páginas spam tienen un archivo .php en común que es el que las genera, realizando una búsqueda similar a la anterior se puede ver que han indexado bajo ese dominio más de 2 millones de páginas spam:
Eso son muchas páginas spam! en Alexa se puede ver el crecimiento del sitio en las últimas semanas, al parecer la infección comenzó a fines de abril:
Optimización del ataque para imágenes:
Las páginas están optimizadas para aprovechar los buscadores de imágenes como Google Images, tal vez porque es más fácil posicionarse o de mejores resultados para infectar.
Todas las páginas tienen 3 o 4 fotos y enlaces hacia otras páginas spam dentro del mismo sitio:
Este es el código fuente:
Gracias Federico por el aviso en el foro.
Ver también:
¿Dónde queda Uruguay? (BlackHat SEO).
Imagen infectada + Java vulnerable = descarga oculta de troyano.