Un grupo de estafadores ha tenido un éxito sorprendente al distribuir un falso Windows Movie Maker, que tiene como objetivo recolectar dinero de usuarios desprevenidos.

La propagación de la estafa (que no es para nada nueva) ha sido impulsada por la optimización para motor de búsqueda del sitio web de los delincuentes, así como por la continua demanda de Windows Movie Maker, el software de edición de video gratuito de Microsoft, discontinuado desde enero de 2017.

Al momento de escribir este artículo, el sitio web que distribuye el software modificado, windows-movie-maker.org, aparece como uno de los mejores resultados al buscar "Movie Maker" y "Windows Movie Maker" en Google (usando este navegador, se clasifica como el número uno en la mayoría de los países con el mayor número de usuarios de Internet).

En Bing, el motor de búsqueda con la segunda mayor cuota de mercado global, el sitio web también se coloca en la primera página de resultados.

Las soluciones de seguridad de ESET detectan a la estafa como Win32/Hoax.MovieMaker y bloquean el sitio web que la distribuye. Hemos notificado tanto a Google como a Microsoft sobre la naturaleza fraudulenta del sitio web de alto rango, que se registró en 2010.

Figura 1: Alto posicionamiento en Google del sitio del engaño

Figura 2: El sitio del engaño

Como consecuencia del alto posicionamiento del sitio en el motor de búsqueda, los estafadores han logrado llegar a una "audiencia" global, ya que este Windows Movie Maker modificado apareció entre las amenazas más frecuentemente detectadas por la telemetría de ESET en los últimos días.

El 5 de noviembre de 2017, Win32/Hoax.MovieMaker fue la tercera amenaza más detectada en todo el mundo y la número uno en Israel. A partir del 6 de noviembre, nuestra telemetría registró muchas detecciones en Filipinas, Israel, Finlandia y Dinamarca.

Figura 3: Win32/Hoax.MovieMaker como tercera amenaza más prevalente en el mundo

Cómo funciona el scam del falso Windows Movie Maker

Cuando los usuarios instalan el software ofrecido en el sitio web mencionado anteriormente, obtienen un Windows Movie Maker que funciona. Sin embargo, a diferencia de la versión oficial y gratuita de Microsoft, esta pretende ser una versión de prueba que debe actualizarse a una versión completa para poder ofrecer todas las funciones.

Se le solicita repetidamente al usuario que compre la versión completa, primero cuando inicia el software y más tarde cuando intenta guardar un nuevo documento. En este último caso, el aviso impide que el usuario continúe, haciendo que parezca que guardar un documento era una función paga.

Figura 4: Indicador de pago mostrado por el Movie Maker modificado al guardar un documento

El precio requerido por la falsa mejora del programa es 29,95 dólares, lo que se presenta como un descuento del 25% en el sitio de pago usado por los criminales.

Figura 5: Sitio de pago usado por los estafadores

Cómo protegerte de este engaño

Si ya has instalado el falso Movie Maker que se ofrece en windows-movie-maker.org, desinstálalo y haz un escaneo de tu equipo con una solución antimalware acreditada.

Para evitar ser víctima de estafas similares, siempre respeta las fuentes oficiales al descargar software. Si realmente necesitas utilizar un software que ya no es distribuido por su creador original:

  • Usa una solución de seguridad confiable para detectar y bloquear contenido malicioso.
  • Considera usar el reemplazo oficial para el software discontinuado, en este caso, Windows Story Remix.
  • No pagues por el software que es o fue oficialmente ofrecido gratis. La información sobre los precios del software debe estar disponible en línea.

Indicadores de compromiso

  • Instaladores/droppers:

1060D7935EADB8AAD06EDD1BEBFBF0FD3F7356D8
4F91C0F1AF523B914BA319A7CA02FF79CD02ED6F
6E57AC0812DE0D473DE669CBBAAEF1903995E59F

  • Variantes de aplicación falsa:

3886F28150EC74CC61B7A736147B6307A266B0B3
3F0D346FF54A62C2F6E4F7B348D68D0D6E27B981
529017D113BDCECAF1B1FC4DF9555518251A8C7A

Sigue leyendo: Guía definitiva para identificar y protegerte de engaños en Internet