Hace unos días nuestros compañeros del laboratorio de investigación de ESET en Latinoamérica recibieron una consulta acerca de un activador no oficial de Windows. Este activador es bastante conocido y, en algunos sitios de descarga, se ofrece a través de un archivo ejecutable que descarga otros archivos, produciendo comportamientos indeseados en el sistema. Hoy analizaremos uno de estos casos.
Si bien el mundo de los activadores y cracks de software es muy diverso, ya que podremos encontrar desde troyanos que ejecutan código malicioso hasta aplicaciones que realizan el trabajo sin la ejecución de código adicional, tomaremos un ejemplo que se encuentra fácilmente accesible para muchos usuarios. Para empezar, realizamos una búsqueda de un activador conocido, como lo es Microsoft Toolkit:
Vemos que el tercer resultado es un sitio cuya URL es muy visible. Por “muy visible” nos referimos a que, tratándose de un software “pirata”, no esperaríamos encontrarlo tan publicitado, sino más bien escondido en foros o comunidades de Internet. Que se ofrezca este tipo de herramientas de manera tan “oficial” realmente llama la atención y genera sospechas ya que, después de todo, Microsoft no debe aprobar esto. Esto nos lleva a la sospecha que aquí debe haber algún engaño. Así pues, entramos al sitio para encontrar lo siguiente:
Además del botón de descarga, vemos que en la parte inferior de la página se ofrecen novedades, testimonios y logos de sitios conocidos (que no sabemos qué propósito tienen en realidad, ya que los enlaces no llevan a ningún lado). Si se accede a la descarga, el archivo que se guarda en el equipo tiene extensión .jse, un archivo de JavaScript. El archivo está ofuscado, pero no nos impide ver sus funciones más importantes:
Podemos observar como escribe un archivo ejecutable llamado “yourfile…….exe”, lo ejecuta y luego lo elimina. Si bien la utilización de un archivo .jse ya es sospechosa por sí misma, llama la atención el hecho de que, tanto el script como el ejecutable generado pesan menos de 1 MB. Realmente esperaríamos que el activador fuese algo más pesado.
A esta altura podemos afirmar que no se descargó Microsoft Toolkit, pero entonces, ¿qué hace este ejecutable? Los productos de ESET lo detectan como una variante de Win32/OutBrowse.CB, una aplicación potencialmente indeseable. Si bien no es estrictamente una aplicación que realice acciones maliciosas en el sistema, descarga y ejecuta otras aplicaciones, afectando el rendimiento del sistema. En concreto, si monitorizamos las acciones que realiza en el equipo, veremos que escribe varios archivos en el disco, entre ellos DLLs y EXEs, y lanza varios procesos, uno de los cuales finalmente descarga un ejecutable que corresponde a la herramienta Microsoft Toolkit, que pesa alrededor de 50 MB (SHA-1:88b4103c49df9cd597334988389d111a272f8b36).
Entonces, si finalmente se descargó Microsoft Toolkit, ¿qué sentido tiene para los que que prepararon ese sitio web esta forma de instalación? La respuesta está en la obtención de un beneficio económico. Si bien la herramienta se ofrece como “gratuita” para el usuario, existen esquemas de monetización que ofrecen dinero cada vez que se instala una aplicación en un equipo. Mediante los ejecutables adicionales que se instalaron y ejecutaron en el sistema, los desarrolladores han obtenido cierta cantidad de dinero. Ahora bien, si el equipo del usuario va a lo que aparece en la ventana abierta será conducido a otro sitio que pide la creación de una cuenta. Vemos cómo se consumen recursos en estos ejecutables intermedios, con lo que empezamos a dudar que lo que ofrece este sitio realmente sea gratuito.
Una vez logramos completar la descarga de Microsoft Toolkit, el archivo “yourfile…” abre una ventana del navegador con un sitio web de publicidad:
En la imagen anterior se muestra un cartel que aparece en la ventana abierta, que lleva a otro sitio y pide crear una cuenta. Vemos cómo se van ramificando los métodos utilizados para obtener un dinerillo extra, y el proceso de “instalación” se vuelve tedioso para el usuario.
Conclusión
El sitio web analizado descarga un ejecutable que realiza acciones que consumen recursos en el sistema, descargando finalmente el activador. Por ello, ESET lo detecta como una aplicación potencialmente indeseada. Sin embargo, así como existe este caso, puede haber otros casos de instaladores que sí realicen operaciones maliciosas en el sistema.
Si bien el activador en sí no es detectado por ESET como malicioso, siempre recomendamos no utilizar activadores o cracks de software. Además, vemos la importancia de tener una solución de seguridad instalada en el sistema, que nos proteja de manera proactiva, sin dejar que las amenazas se ejecuten en el sistema.
Para finalizar, les dejo otros casos que también pude ver mediante una rápida búsqueda en Google:
URL | Archivo descargado (SHA-1) | Detección |
hxxp://microsofttoolkits.com/ | 4fd6a896f9275d11700e369bac1c99ffdc415fce | Win32/TrojanDownloader.Adload.NPA |
hxxp://freemicrosofttoolkit.com/ | 2206c1a6c9896621609e589fcae180982c0c6c2d | Win32/TrojanDownloader.Adload.NPA |
Muestras analizadas
Microsoft Toolkit 2.5.3.jse – a6d782ab8de056977e84e629369c01c1e444cceb (JS/TrojanDropper.Agent.NAE)
yourfile_1437570545186.exe – da5a14e04a37b854619ade73d479d99cf25dce6b (a variant of Win32/OutBrowse.BY potentially unwanted application)
Créditos imagen: © Roger Schultz/Flickr
Post realizado por Matías Porolli en WeLiveSecurity