• Los cibercriminales están consiguiendo aproximadamente 34 millones de dólares al mes a través de ataques de falsos antivirus
• Alrededor de 35 millones de nuevos ordenadores son infectados con falsos antivirus cada mes
• Los falsos antivirus están siendo distribuidos a través de Facebook, MySpace, Twitter, Digg y ataques dirigidos de blackhat
• El estudio confirma que la mayoría de los cibercriminales operan desde Europa del Este.
PandaLabs, el laboratorio de análisis y detección de malware de Panda Security anuncia la disponibilidad de un estudio llevado a cabo durante varios años que examina la proliferación de los falsos antivirus dentro de la economía de los cibercriminales. El Informe “El negocio de los falsos antivirus” de los investigadores de PandaLabs, Luis Corrons y Sean-Paul Correll, analiza los diferentes tipos de falsos antivirus que se han creado y muestra como este nuevo tipo de malware se ha convertido en parte fundamental en la economía general del malware. El estudio incluye un análisis en profundidad sobre las cada vez más sofisticadas técnicas de ingeniería social utilizada por los cibercriminales para distribuir falsos antivirus a través de Facebook, MySpace, Twitter y Google.
Los falsos antivirus o rogueware son soluciones que se hacen pasar por aplicaciones legítimas de software y tratan de robar dinero de los usuarios de ordenadores haciéndoles creer que van a eliminar amenazas que realmente no existen. PandaLabs predice que habrá detectado más de 637.000 nuevos ejemplares de falsos antivirus a finales del tercer trimestre de 2009, multiplicando por 10 su número en menos de un año. Aproximadamente 35 millones de nuevos ordenadores se infectan con falsos antivirus cada mes (alrededor del 3,5% de todos los ordenadores), y los cibercriminales están consiguiendo cerca de 34 millones de dólares al mes a través de este tipo de ataques.
A principios de 2009 las redes sociales como Facebook, MySpace, Twitter y Digg, se convirtieron en grandes objetivos para los distribuidores de falsos antivirus. Los casos más importantes relacionados con los falsos antivirus son:
1. Ataques SEO contra la compañía de automóviles Ford
2. Comentarios en Digg.com que dirigen a páginas de falsos antivirus
3. Las palabras más buscadas de Twitter llevan a páginas de falsos antivirus
4. Los falsos antivirus explotan la vulnerabilidad de WordPress para facilitar los ataques de Blackhat SEO
5. Koobface llega a Twitter
“Los falsos antivirus son tan populares entre los cibercriminales principalmente porque no necesitan robar información personal de los usuarios como contraseñas o números de cuenta para sacar provecho de sus víctimas”, explica Luis Corrons, Director Técnico de PandaLabs. “Al aprovecharse del miedo a los ataques de malware, los ciberdelicuentes encuentran cada vez más formas de conseguir nuevas víctimas del software antivirus falso, gracias especialmente a la popularidad de las redes sociales como Facebook y Twitter”.
Los falsos antivirus se modifican rápidamente y son más difíciles de detectar
Existen aproximadamente 200 familias diferentes de falsos antivirus, y PandaLabs prevé que estas variantes sigan creciendo. Sólo en el primer trimestre de 2009, se crearon más ejemplares que en todo el año 2008. El segundo trimestre fue aún peor, con la aparición del cuádruple de nuevos ejemplares que en el año 2008. En el tercer trimestre, PandaLabs estima que el número total de falsos antivirus será mayor que en los 18 meses anteriores.
La razón fundamental de la creación de tal cantidad de variantes es la de evitar la detección por parte de los archivos de firmas de los programas antivirus legítimos. El uso del análisis de comportamiento, que funciona tan bien con los gusanos y troyanos, es de menos utilidad en este tipo de malware ya que los programas no actúan de forma maliciosa en los ordenadores, aparte de mostrar información falsa. Sin embargo, PandaLabs ha comenzado a identificar variantes de malware más avanzadas que utilizan características típicas de troyanos, rootkits y otras técnicas para evitar la detección de virus.
Cómo funciona el negocio y cómo llegar a la fuente
El informe detalla como funciona el negocio de los falsos antivirus. Básicamente no es muy distinto a cualquier otro negocio tradicional. El modelo de negocio de los falsos antivirus consiste en dos partes: los creadores del programa y los distribuidores. Los creadores se encargan de fabricar las aplicaciones falsas, creando las plataformas de distribución, las pasarelas de pago y otros servicios de back office. Los afiliados se encargan de distribuir el scareware al mayor número de personas de la forma más rápida posible.
El estudio de PandaLabs revela que los afiliados se encuentran en su mayoría en países de Europa del Este y suelen ser reclutados en foros de hacking. Ganan una cantidad variable por cada instalación, y entre el 50 al 90% de comisión por venta completada. El informe de PandaLabs incluye datos financieros e imágenes de los eventos organizados por los líderes de estas organizaciones.
El informe completo está disponible en: https://www.pandasecurity.com//img/enc/El%20Negocio%20de%20los%20falsos%20antivirus.pdf
Para actualizaciones en tiempo real sobre los informes de PandaLabs sigue @PandaComunica, @Luis_Corrons y @lithium en Twitter.