Nuevo falso antivirus intenta suplantar a los productos de ESET

Los falsos antivirus son una variante de malware que se presenta a los usuarios como una solución de seguridad. Este tipo de código malicioso suele aparecer tras pulsar sobre enlaces preparados especialmente por los delincuentes y que utilizan, por poner solo dos ejemplos, posicionamiento ilegal en buscadores (Black Hat SEO) tras una noticia de impacto o a través de enlaces en las redes sociales.

Normalmente, vienen presentados con una interfaz amigable y que nos informa de que nuestro sistema tiene una elevada cantidad de infecciones. Lógicamente este aviso intenta provocar miedo en el usuario y hacer que adquiera la falsa solución de seguridad, solo para terminar pagando por algo que no elimina ninguna infección y además provoca que otras accedan al sistema.

En los últimos años hemos visto como este tipo de malware ha ido evolucionando, llegando a presentar interfaces muy elaboradas y afectando recientemente al sistema operativo Mac OS. Una de las técnicas que se han usado para ganar la confianza del usuario ha sido suplantar a conocidas empresas de seguridad antivirus, siendo ESET una de las que ha visto como su nombre era usado, tal y como vemos en el ejemplo a continuación:

Este tipo de falsos antivirus, también conocidos como rogue, no para de buscar nuevos vectores de infección y, en los últimos días, hemos visto como otra muestra de este tipo de malware se ha estado propagando usando el nombre de ESET.

El método usado en esta ocasión ha sido el de proporcionar un enlace a través de la red social Facebook en el que, supuestamente, se podía ver un vídeo. Cuando el usuario pulsa sobre ese enlace, se le redirige a una web con una apariencia similar a la de Youtube pero completamente falsa. Una vez allí se indica que es necesario actualizar nuestra versión de Flash Player para poder ver el vídeo.

Si el usuario pulsa sobre el enlace, descargará un archivo ejecutable con el icono y nombre de Flash Player. Al esperar el usuario un instalador de una aplicación, es muy probable que no sospeche de la extensión .exe y lo ejecute sin más, provocando así que el código malicioso infecte el sistema.

La suplantación en este caso se intenta hacer de forma que el usuario crea que el producto que se ha instalado es totalmente legítimo. Es por ello que los ciberdelincuentes no han tenido ningún reparo en utilizar el nombre de nuestra solución de seguridad ESET Smart Security para utilizarlo incluso en las ventanas de alerta e información de este falso antivirus.

No obstante, a pesar de que el usuario cree haber protegido su sistema, lo único que ha conseguido instalando este falso antivirus es que se descarguen y ejecuten cerca de 20 archivos maliciosos (dependiendo de la variante) en su sistema, además del cliente de Bitcoin para así usar los recursos de su ordenador para generar dinero virtual.

Desde el laboratorio de ESET en Ontinet.com informamos que esta amenaza es detectada por nuestras soluciones de seguridad, las auténticas :), como Win32/Delf.CZ. Creemos importante destacar lo importante que es tener nuestra solución antivirus actualizada para que este tipo de amenazas sean detectadas al pulsar sobre un enlace malicioso y evitar que infecten así nuestro sistema.

Josep Albors

Spam de Twitter usado para promocionar farmacias online