El black hat SEO es la técnica más utilizada y efectiva para propagar falsos antivirus, los atacantes infectan sitios para aprovechar su poder de posicionamiento y así obtener visitas en sus páginas falsas.
En el siguiente ejemplo reportado ayer en el foro, todo comienza con una simple búsqueda en Google Imágenes:
Imagen infectadaLa búsqueda simplemente es el nombre de una modelo, hasta aquí todo normal, sin embargo una de estas fotos se encuentra publicada en un sitio infectado.
Al hacerle clic para verla más grande los visitantes son redireccionados hacia una página falsa que simula un análisis del sistema:
Análisis falsoEl diseño imita al entorno de Windows para confundir, si la víctima cree que las alertas son reales terminará descargando un antivirus falso que infectará su equipo:
Se descarga el programa falsoAnálisis en VirusTotal: freesystemscan.exe (7/43)
Una vez que se ejecuta se muestra una ventana falsa que se parece a una alerta del antivirus de Microsoft, resulta muy convincente sobre todo si realmente se tiene el antivirus instalado y este no detecta el malware:
Ventana falsa de Microsoft Security EssentialsSegundos después comienza la instalación del programa falso como si MSE lo estuviera recomendado, en este caso se llama Windows Safeguard Utility:
Rogue Windows Safeguard UtilityAl igual que otras utilidades falsas se simulan detectar todo tipo de errores para que la víctima finalmente termine comprando una licencia. La ventana de compra también es falsa, parece ser una página segura abierta en el navegador, pero no lo es… al introducir los datos de la tarjeta terminan en las manos de los ciberdelincuentes:
Ventana que roba los datos de la tarjetaEliminar el programa:
La forma más rápida y sencilla de eliminar esta clase de programas falsos es utilizar Malwarebytes. El problema en algunos casos es que el malware tiene la capacidad de bloquearlo e incluso, como se puede ver en la siguiente captura, mostrar una advertencia falsa para que el usuario crea que se trata de un programa malicioso:
Se bloquea a Malwarebytes y se muestra una alertaPara evitar esto simplemente hay que cambiarle el nombre al archivo de ejecución de Malwarebytes, tal como indican en su foro de ayuda. Una vez hecho esto la falsa utilidad será detectada y eliminada:
Malwarebytes eliminando el programa falsoEl sitio infectado:
Como comentaba al principio, la foto de la modelo se encuentra en un sitio legítimo que fue infectado. Los atacantes utilizan programas automáticos para crear en su servidor miles de páginas spam que abarcan un gran número de búsquedas, algunas logran obtener buenas posiciones.
En la siguiente captura se puede ver que aprovechan todo tipo de palabras claves, la búsqueda es un «site:URL + fotos» para ver cuantas páginas hay con la palabra fotos:
Fotos de todo tipo en el sitio infectadoSe puede ver que las páginas spam tienen un archivo .php en común que es el que las genera, realizando una búsqueda similar a la anterior se puede ver que han indexado bajo ese dominio más de 2 millones de páginas spam:
Más de 2 millones de páginas spam indexadasEso son muchas páginas spam! en Alexa se puede ver el crecimiento del sitio en las últimas semanas, al parecer la infección comenzó a fines de abril:
Estimación del tráfico en el sitio infectadoOptimización del ataque para imágenes:
Las páginas están optimizadas para aprovechar los buscadores de imágenes como Google Images, tal vez porque es más fácil posicionarse o de mejores resultados para infectar.
Todas las páginas tienen 3 o 4 fotos y enlaces hacia otras páginas spam dentro del mismo sitio:
Todas las páginas spam tienen la misma estructuraEste es el código fuente:
Código fuente de las páginas spam
Gracias Federico por el aviso en el foro.
Ver también:
¿Dónde queda Uruguay? (BlackHat SEO).
Imagen infectada + Java vulnerable = descarga oculta de troyano.
Con respecto a que ataquen a los de linux.
casi todos los cambios que se hacen en el sistema de cualquier OS basado en linux requieren de la aprovacion via contraseña del administrador, por lo que tratar de crear virus o malware para linux se ve muy difícil de que sea algo no muy sencillo de lograr, por lo que no sera lucrativo para las escorias del internet.
Lo peor del caso es que las empresas de tarjetas de crédito se presten para ayudar a esos estafadores. Deberían investigar mejor a cada cliente y negarles el uso de su sistema si se encuentras situaciones como programas falsos.
Y los próximos serán los de Linux, aunque atacar al 1% del mercado que encima son usuarios medio/avanzados no vale la pena :)
Esa tecnica es vieja y los usuarios de windows siguen cayendo.Y ahora los de Mac tambien.Viva Linux
esta bueno el articulo, hace poco me intentaron joder con uno de esos falsos antivirus,
Gracias por los comentarios.
@Graciela, también puede pasar con modelos hombres! :P
Menos mal que no ando en eso :)
Excelente articulo @Ale !!
Y me imagino que una desgastadora investigación mirando modelos y más modelos hermosas hasta encontrar las blackhatseoadas jeje :)
Salu2
Muy buen artículo, me aclara muchas dudas!!
"se puede ver que han indexado bajo ese dominio más de 2 millones de páginas spam:"
Impresionante!