Jugando con la publicidad (ad-ware)

Hoy me han traído al talle un ordenador con Windows 7 que al trabajar con él salía mucha publicidad. El cliente me ha comentado que no había bajado nada raro ni sospechaba cual era el problema, pero que había intentado bajar el CCleaner y que desde entonces el PC ya no había funcionado bien. En vez de eliminar de primeras todas las amenazas posibles he decidido "juguetear" un poco con internet para ver el comportamiento de los navegadores:

Figura 1: vamos a jugar un poquito con fuego

Ya que el cliente sospechaba que había algo en la página de CCleaner, vamos a ir a la página oficial a ver que sale:

Figura 2: web oficial de CCleaner

Umm, aparentemente normal. Ni siquiera hay publicidad. Procedamos con la descarga del fichero:

Figura 3: pop-up al clickar sobre el enlace de Piriform

Se nos abre una bonita ventana nueva fuera de nuestro navegador. Podemos ver que es un pop-up que no tiene barra de búsqueda, ni botones de navegación, ni barra de menús, ... La información contenida en él puede resultar hasta interesante para un usuario normal, ya que recordemos que estábamos buscando solucionar algunos problemas de nuestro PC instalando CCleaner, por lo que para el ojo inexperto al que le han recomendado descargar un programa llamado CCleaner que limpia el ordenador, llegar hasta una ventana en la que nos ofrecen una aplicación que se llama "Windows 7 Reparación de PC" no resulta para nada extraño. (Lo curioso es que esté avalada por Norton y McAfee, ummm, sospechoso?)

Cerramos el pop-up y volvemos a la ventana anterior:

Figura 4: versión distinta de la web de CCleaner

Ahora, al segundo intento de clickar sobre el enlace de Piriform, nos redirecciona a esta nueva web, en la que la descarga comienza pero nos han puesto una banner lateral con ofertas. Si repito este paso desde otro pc en el que yo controle que no haya ad-ware, ninguno de estos comportamientos sucede, por lo que claramente se deduce que este navegador ha sido capturado por alguna extensión fraudulenta que modifica los resultados mostrados por pantalla para que la navegación parezca normal pero los sucesos sean distintos y totalmente manipulados al hacer click en los enlaces o en la propia información que se muestra por pantalla. Vemos que la publicidad está totalmente integrada con el resto de información de las webs visitadas.

Jugando un poquito con estos comportamientos, he probado a ver que otros pop-ups o información sale al seguir trabajando con esta web:

Figura 4: la web de McAfee también es enlazada desde los enlaces manipulados

Uisss, que curioso, en una de las pruebas se nos enlaza directamente a la store de McAfee. Casualidad?? Lo dudo. A mi parecer es un intento de vender un producto a partir de un problema "generado" intencionadamente.

Vamos a intentarlo una vez más, a ver si puedo descargar el CCleaner que es lo que quiero. Ahora sale una ventana con el logo del CCleaner y si que parece ser la descarga oficial. Pero?! la dirección  de la descarga es cc.dls-host.com y un subdominio impronunciable. No tiene pintas de ser muy oficial de Piriform que digamos.

Figura 5: intento de copia de la web oficial de Piriform

Cerré esa pestaña del navegador y probé una vez más. Vuelve a salir un programa no deseado. Que yo quiero CCleaner !!! Bueno, ya llegados hasta aquí, descarguemos la aplicación milagrosa tan buena que nos ofrecen con tanta insistencia y que repara en una hora Windows, lo limpia, lo acelera, lo parchea y hasta te crea una granja de pollos en Minecraft si le dejas:

Figura 6: página de descarga a la que llegamos en vez de la oficial de CCleaner

Los comentarios son curiosos. No hay ningún nombre español pero el idioma es perfectísimo. ¿Estará preparado y será esto un montaje? No, abajo podemos ver que los mensajes dejados por los usuarios son totalmente reales y que no han percibido dinero por hacerlos. 

Bien, ¿y si el usuario inexperto ha sido engañado todas estas veces y consigue llegar hasta la descarga del fichero no solicitado? ¿habría algún riesgo? Vamos a descargalo y lo analizamos en VirusTotal.com:

Figura 7: descarga de Reimage Repair

Para que no haya ninguna posibilidad de error, nos explican los pasos a seguir: descargar el fichero, ejecutar y si pide Windows confirmación para hacer cambios en el equipo, hay que decir que si. Ummm, no sea que no sepamos instalarnos este virus. Una vez descargado lo analizamos:

Figura 8: web de Virustotal desde un navegador "capturado"

Al entrar en la web de VirusTotal, vemos que el banner de publicidad de la derecha ha cambiado. Antes salía oferta de ropa y de deporte. Ahora que entramos a una web de análisis de virus, claro, nos sacan ofertas de antivirus, pero, ¿en dólares? (otra pista más para sospechar de estos comportamientos).

Figura 9: análisis del fichero en VirusTotal

Al hacer el análisis, solo 1 motor de 55 lo encuentra sospechoso. La descripción que nos ofrece es que es un Program.Unwanted.493. O sea, no es que sea muy malo, pero es un software intrusivo que "no buscamos", que no es deseado por el usuario y "nos lo meten a la fuerza" con todos los intentos de engaño que hemos visto anteriormente. 

Buscando un poquito por la web de VirusTotal, he visto que este fichero (ReimageRepair.exe) fue analizado por primera vez el 2015-06-10 a las 14:08:16 UTC. Hace ya 3 meses de esto, pero solo 1 de 55 motores de búsqueda de virus lo detectan como malicioso. Así tenemos la batalla perdida seguro.

Como siempre, para terminar, os paso unos enlaces a varios vídeos en los que se aborda el tema del malware:

Vídeo 1: Mundo Hacker: BYOD - Malware en iPhone y Android (publicado el 11 de agosto de 2015)

Vídeo 2: Conferencia impartida en RootedCON 2015 por Chema Alonso sobre el uso de Tacyt y Sinfonier para el descubrimiento de apps maliciosas en Android y Google Play (16 de junio de 2015)

Vídeo 3: UPM TASSI 2008 Conferencia 4: Evolución del Malware: Malware 2.0; Antiphising y Antitroyanos. Flujo Malware. Ponente: Sergio de los Santos, Hispasec. (4 de agosto de 2011)

Saludos!