Icono del sitio SpamLoco

"Te pago 180 dólares por cada mil equipos infectados…"

Bueno, no te los pagaría yo… sino una conocida red de afiliados del tipo pago por instalación. Este modelo de negocio ha existido durante años para distribuir publicidad junto a los programas, por cada software publicitario instalado se gana una determinada suma de dinero o una comisión.

El negocio no es ilegal y de hecho muchas empresas reconocidas han utilizado este modelo para promocionar sus productos, un ejemplo de ello es Yahoo y su barra de búsquedas.

Sin embargo hoy en día se han traspasado todos los límites y es muy utilizado para engañar a los usuarios y propagar malwares de todo tipo.

La siguiente captura pertenece a un sitio de afiliación de dudosa procedencia que es utilizado por ciberdelincuentes, por cada PC infectada (instalación conseguida) los afiliados ganan dinero:

Los pagos se suelen realizar por cheque, Western Union, PayPal y otros sistemas de pagos online típicos, los afiliados además cuentan con estadísticas online y «soporte técnico».

Con esta plataforma de afiliación, el afiliado recibe un archivo ejecutable (.exe) que puede propagar por cualquier medio. El servicio asegura que el archivo no es malicioso y sólo agrega una barra de herramientas en el navegador, cambiando también su página de inicio.

Sin embargo el instalador contiene un troyano downloader que descarga varios códigos maliciosos como troyanos bancarios y falsos antivirus. Esto es lo que realmente les permite ganar dinero de diversas formas a los dueños de esta plataforma o programa de afiliación.

La buena noticia es que esta clase de instaladores tienen una alta tasa de detección por parte de los antivirus, la mala es que los ciberdelincuentes suelen utilizar programas, conocidos como crypters, que se encargan de «ocultar» el malware a los ojos del antivirus. Existe todo un mercado aparte con aplicaciones de este tipo y varios programas de afiliados ofrecen promociones para que sus usuarios las utilicen.

Propagando el malware…

Si por cada mil instalaciones se reciben entre 6 y 180 dólares dependiendo del país, la idea es lograr la mayor cantidad de instalaciones posibles, además de utilizar diferentes sistemas de afiliados para ganar, obviamente, más dinero :)

Los métodos de propagación van desde las redes P2P hasta el Blackhat SEO, pasando también por la compra de tráfico hacia los sitios maliciosos y el uso de troyanos especialmente diseñados para controlar los equipos. Estos últimos se pueden adquirir por precios que varían entre 150 y 300 dólares, dependiendo de sus funcionalidades, la ventaja es que permiten instalar automáticamente múltiples instaladores de afiliados sin que la víctima lo sospeche.

En cuanto a las redes P2P, los ciberdelincuentes unen el malware con otros programas y los lanzan a la redes de intercambio. Lo mismo sucede con los sitios de warez donde se comparten programas. Así que, la próxima vez que estés descargando un juego o programa crakeado, ten en cuenta que posiblemente pasó por «las manos de un afiliado» :)

Como curiosidad, varios de estos sistemas no permiten que se haga spam para propagar sus productos o las cuentas podrían ser canceladas. Sí, el humor nunca les falta a estos chicos.

Relacionado: Conociendo un poco más el mercado de los falsos antivirus.

Salir de la versión móvil