(Por Rubén Borlenghi, el Microsaurio) Esta vez quien escribe “pague para que su compu vuelva a funcionar” finge ser la policía. Con la amenaza de una denuncia por pornografía y tráfico de dinero, los ciberdelicuentes hicieron una cosecha de libras, euros y francos suizos. Computadoras colgadas para extorsionar a los dueños. No caigas en la trampa, si aparece por acá…

Los detalles se publicaron en el blog del Microsoft Malware Protection Center (MMPC), la semana pasada, pero son el resultado de una investigación iniciada a mediados de año. La parte visible del ataque es la exhibición en pantalla de un mensaje aparentemente originado en una fuerza policial; la compu se bloquea y la forma de liberarla es… pagando vía web (oh, qué práctico).

Por ahora las víctimas aparecieron en Alemania, Suiza, Gran Bretaña, España, Holanda y Francia; pero te comento los detalles, para que vayas abriendo el paraguas…

Los pasos del ataque

  • Un usuario visita un website aparentemente inocente, que previamente ha sido infiltrado por un delincuente.
  • En el código de la página web visitada hay un script de Java, que redirige al navegador de la víctima hacia otro servidor, donde se ha alojado malware.
  • Ese malware se descarga en la compu de la víctima, aprovechando alguna falla de seguridad del software instalado.
  • Luego de que se ejecuta automáticamente el programa dañino, el usuario ve en su monitor un “banner” de una fuerza policial de su país.
  • Además de la imagen se puede leer un texto en pantalla en el cual se le informa que en esa computadora se ha encontrado material ilícito.
  • En el texto se afirma que si no paga determinada suma, en el término de 24 horas el contenido del disco será borrado.
  • Para darle más verosimilitud al ataque, el código malicioso contiene rutinas por medio de las cuales se averigua la dirección IP de la máquina de la víctima, y se hace una rápida búsqueda automática en un servidor de geolocalización, que indica el país de ubicación de esa PC. Gracias a ese dato, el programa del atacante puede mostrar a la víctima un mensaje en su idioma local. Con eso se elimina la posible descalificación de la amenaza, como sucedió en los casos de los email de phishing contra usuarios de bancos argentinos que llegaban escritos en portuñol…

Otra variante del primer paso de ataque, es que llegue un email a la compu de la víctima, conteniendo un link a un website previamente parasitado. Luego de hacer clic, el incauto de turno pasará por los pasos detallados antes.

 

 

 

 

 

 

 

 

 

Una muestra de uno de estos textos acusatorios
La tomé del blog de Microsoft ya mencionado, y en este caso, apuntando a usuarios suizos: “…¡Atención! Actividad ilegal detectada. El sistema operativo ha sido bloqueado por infracción a las leyes de Suiza. Su IP es ……….. Desde esta IP se han visitado websites que contienen pornografía, pornografía infantil, zoofilia y violencia contra menores. Su computadora también contiene videos con contenido pornográfico (…) y desde ella se han enviado emails con material terrorista…”. Luego de esto, se ofrece la posibilidad de pagar una multa y solucionar el tema.

Solución, no. Estafa, sí.
Por supuesto, la víctima no soluciona nada. Y pierde (según los datos del MMPC) entre 50 y 250 euros. Al revisar el código de las páginas donde se esconden los ataques, se observa que hay una línea donde se toma la información financiera y el PIN de la víctima, que se transfiere, por supuesto, al servidor del delincuente; pero no hay una señal subsiguiente que desbloquee la PC atacada. Es un engaño, ¿estamos?

La infección de la PC se posibilita, además, porque el software empleado para el ataque revisa las fallas de seguridad que puedan tener los programa residentes en la máquina. En muchos casos, los atacantes emplean el Blackhole Exploit kit, cuyo funcionamiento pude estudiar en un informe del blog Malware Intelligence.

La PC podrá ser atacada si tiene alguna de estas fallas:

  • –> Un sistema operativo Windows XP o Windows Server 2003 sin actualizar
  • –> La versión de Java de la máquina no está al día
  • –> Adobe Flash Player, Acrobat o Reader no tienen el parche más reciente

Según la explicación de Horea Coroiu, quien redactó el informe del Microsoft Malware Protection Center, no se han encontrado ataques que involucren fallas no solucionadas, los famosos “ataques del día cero”; por lo cual se insiste en mantener al día el sistema operativo, las versiones de navegadores (de la marca o proveedor que sean) y las aplicaciones.

Y aunque el Blackhole Exploit kit se alquila (por unos dólares extras) con servicio de detección y anulación de antivirus, es preferible tener alguno instalado, como para agregar una capa más de protección, a la que brinda tener actualizado el software de la compu. Además de la regla de oro: pensar dos o más veces, antes de hacer clic.

Por Ricardog

Periodista científico especializado en tecnología. Médico en retiro efectivo.

2 comentarios en «Nuevos disfraces, viejas amenazas»
  1. Me acaba de pasar esto ahora mismo. Estaba viendo una película online y se me cortó e intente buscarla de nuevo por internet. No se como de repente me veo este mensaje en la pantalla y me ha dejado flipada sin saber que era.
    Hay alguna solución para esto? No puedo entrar en mi ordenador (window 7)

  2. La más simple es arrancar la máquina con un Disco de Rescate de un antivirus (serio), colocado previamente en la lectora de CD/DVD; usualmente aparecen instrucciones que guían la operación de limpieza. Sinceros deseos de éxito.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.