¡Cuidado con Protection Center!

¡Cuidado con Protection Center!

Los falsos antivirus han aumentado en la última semana su prevalencia entre las amenazas más difundidas por Internet. Según informa ESET, Protection Center está protagonizando en los últimos días una campaña particularmente agresiva para conseguir infectar equipos y vender licencias de su falso producto a los usuarios. Los creadores de Protection Center han utilizado en la última semana tres métodos distintos para conseguir llamar la atención de los usuarios y conseguir que su falso antivirus se descargue e instale en el mayor número de equipos.

 

 ¡Cuidado con Protection Center!

 

El funcionamiento básico de esta amenaza es conseguir la instalación del falso antivirus en el equipo del usuario, que lo analizará y alertará sobre múltiples infecciones inexistentes en el sistema para inducirle a comprar una licencia del producto que le permita “limpiarlo”. La primera oleada del ataque, el día 3 de junio, utilizó una técnica clásica de distribución de malware a través de archivos adjuntos al correo electrónico. Se detectaron correos electrónicos que simulaban provenir de sitios como Amazon o el servicio de soporte de Microsoft Outlook y adjuntaban un archivo comprimido que, al ser ejecutado, descargaba el falso antivirus.


Apenas unos días después, el martes 8 de junio, el ataque fue detectado con una llamativa variante: aprovechando una característica presente en Adobe Reader (que permite abrir archivos adjuntos no PDF con aplicaciones externas) se enviaron correos con un curriculum vitae adjunto en formato PDF. Al abrir este PDF, se proponía al usuario la ejecución de archivos adicionales, entre los que también se encontraba Protection Center. Esta función fue aprovechada hace un par de meses por todo tipo de malware y se había visto desplazada por vulnerabilidades más recientes en productos de Adobe hasta que la rescataron los creadores de este falso antivirus.

 

 

Por último, el nuevo paso dado el miércoles 9 confirmó a los técnicos de ESET que este malware es persistente e intenta engañar a toda costa a los usuarios para que lo instalen. Durante las últimas horas, los técnicos de laboratorio de ESET en España han recibido multitud de correos simulando venir del servicio de microblogging Twitter y de grupos de YouTube que pretenden que el usuario pulse sobre los enlaces maliciosos a toda costa. El correo de Twitter nos indica que tenemos mensajes pendientes por leer y nos invita a pinchar en un enlace para acceder a ellos, mientras que el de YouTube nos informa de una solicitud de amistad que proviene de otro usuario, e incorpora también enlaces sobre los que pulsar.

 

La web a la que se dirige al usuario muestra una animación con el icono de Java que, durante un periodo de tiempo, simula estar procesando alguna imagen mientras que en segundo plano se instala el falso antivirus Protection Center. Tras finalizar la instalación del falso antivirus, se muestra un mensaje de error en la instalación del software Java. Al mismo tiempo, se abre una ventana de una farmacia on-line. Puedes obtener más información sobre el comportamiento de este falso antivirus en el Blog de Laboratorio de Ontinet.com y ESET en España.

 

  • Share This