Icono del sitio SpamLoco

Vuelven las advertencias falsas que parecen las del navegador

Los navegadores incluyen un sistema de alerta que muestra advertencias cuando se intenta acceder a un sitio peligroso, de hecho los usuarios pueden ayudar a este sistema denunciando sitios fraudulentos desde el navegador.

Una alerta real de un sitio peligroso es así, en este caso tomando a Firefox como ejemplo:

Advertencia real de Firefox sobre un sitio peligroso

Los atacantes están aprovechando esto a su favor y así como diseñan páginas con análisis falsos que simulan el entorno de Windows, también copian el diseño de estas advertencias. Un ejemplo claro es el que se puede ver en la siguiente imagen:

Página de los atacantes con advertencia falsa

Al compararlo con la captura anterior, es decir la advertencia real, se notará que en este caso se está realizando un supuesto análisis del sistema y ya se han detectado algunos virus. Al finalizar, la página falsa ofrece la descarga de un falso antivirus que infecta el sistema.

Muchas víctimas lo descargan creyendo que se trata de un software realmente recomendado por el navegador:

Descarga del falso antivirus al finalizar el «scan»

Un análisis en VirusTotal de este instalador (InstallInternetDefender_795.exe) revela su baja tasa de detección (6/43).

Pero Firefox no es el único afectado, si se accede a la misma página maliciosa con Internet Explorer, Chrome o Safari se mostrará una falsa advertencia personalizada para cada navegador.

Esta clase de ataques no son nuevos, se vienen implementando desde hace tiempo e incluso en algunos casos también se controla el sistema operativo de la víctima para realizar diferentes acciones.

¿Cómo se puede terminar en una página así?

Es lo más sencillo de todo y puede ocurrir en cualquier momento, por ejemplo, al realizar búsquedas en Google y justo acceder a un sitio comprometido que esté redireccionando a todos sus visitantes hacia la trampa.

Hace algún tiempo publiqué un video donde se puede ver cómo funcionan esta clase de ataques, incluso pueden ocurrir al buscar imágenes, pues si se encuentran en un servidor vulnerado al mostrarse la imagen también se carga el script encargado de realizar las redirecciones.

Como vemos las técnicas utilizadas para engañar son bastante ingeniosas y si el antivirus no detecta la amenaza, la diferencia entre infectarse o no queda en manos del usuario.

Salir de la versión móvil