Falsos antivirus utilizan certificados robados y dominios typosquatting



Falsas soluciones antivirus usan certificados de seguridad robados y dominios typosquatting para engañar incautos, eludiendo su detección como malware.


El Malware se hace pasar por soluciones antivirus utilizando una gran cantidad de trucos para difundirse sin dejar rastro, y muchos de esos trucos aún continúan en circulación y sin un final a la vista. Un truco cada vez más común que se ha encontrado en estás soluciones antivirus falsas es el uso de certificados digitales robados. Con esta práctica, un criminal cibernético puede tomar una aplicación rogue y hacerla parecer como el producto de una empresa en desarrollo de software legítimo.

Este tema llamó la atención de Microsoft en el año 2009, a través de una raza de malware llamado Win32/Winwebsec. Sus credenciales, enmascaradas como una herramienta de protección del sistema legítimo poseía una gran cantidad de firmas certificadas robadas y que constantemente interrumpía al usuario con advertencias falsas "se ha encontrado un virus". Los usuarios estaban invitados a pagar una "cuota de inscripción" para silenciar las advertencias.

Se considera generalmente difícil robar dichos certificados, puesto que requiere un ataque directo contra la autoridad que expiden dichos certificados. Pero el análisis de Microsoft sobre los certificados utilizados en Win32/Winwebsec y una aplicación similar, Win32/FakePav, indica que los ciberdelincuentes están robando constantemente nuevos certificados y no simplemente usando una reserva de los anteriores, fácilmente invalidadas.

Además, según Symantec, Microsoft Windows no comprueba lo suficiente para revocar dichos certificados, siendo más fácil utilizar los certificados robados. Peor aún, muchas aplicaciones de detección en malware legítimos suponen que la presencia de dicho certificado significa que el programa es de fiar; por lo tanto las aplicaciones fraudulentas pueden eludir la detección de malware.

Otro truco que es usado indiscriminadamente por los delincuentes cibernéticos es el typosquatting (error tipográfico), está practica vil es cuando un nombre de dominio ligeramente mal escrita obtiene el tráfico por quienes equivocadamente escribieron mal la URL.

Un análisis de la firma consultora High-Tech Bridge demostró que hay 385 dominios tipo typosquatting que se asemejan a la de los antivirus y a las empresas de software en seguridad, 164 fueron diseñadas como sistemas de hacer dinero, ya sea por mostrar anuncios o "redirigir a los usuarios a sitios Web cuestionables en venta ilegal o semilegal de productos y servicios". Si los usuarios potenciales no saben cuál es el sitio web original de una empresa determinada, es fácil para ellos caer en el engaño.

Sin embargo, las compañías en cuestión han adquirido unos más o menos 107 de estos dominios de tipo typosquatting para así redirecciónar a los usuarios a sus dominios originales y legítimos. Los visitantes de "Kasperski.com", por ejemplo, ahora son redirigidos al sitio legítimo de Kaspersky Lab.

High-Tech Bridge señaló que los principales registradores de dominio que brindaron este tipo de dominios fraudulentos fueron Fabulous.com, GoDaddy.com y PublicDomainRegistry.com, siendo estos un total de 75, hallándose en los Estados Unidos.

Fuente: Infoworld