Confirman tercer ciberataque específico

Las autoridades iraníes confirmaron el domingo 13 de noviembre que algunas de sus instalaciones atómicas han sido infectadas con el troyano Duqu.

Duqu fue detectado el mes pasado y, según numerosos expertos, tiene grandes similitudes con Stuxnet, el gusano que en 2010 desbarató las centrífugas utilizadas para el enriquecimiento de uranio.

El general de brigada Gholam Reza Jalali declaró a la agencia de noticias IRNA que todos los sistemas informáticos de las instalaciones atómicas del país están siendo controlados mediante aplicaciones creadas en Irán para combatir a Duqu.

Reza Jalali indicó que las autoridades están en una etapa inicial del proceso y que se desconoce el número de instalaciones afectadas por Duqu.

Según IRNA, es la tercera vez que el general, que está al mando de la ciber-defensa del país, confirma un ataque específico contra los sistemas informáticos del país.

En abril, Irán reveló que sus sistemas estaban siendo atacados por un malware que internamente denominan “Stars”. Según el general, Duqu es la tercera ola de malware que les afecta.

Al contrario que Stuxnet, Duqu no se propaga, por lo que escapa a la denominación de gusano informático. Asimismo, hasta ahora no se han detectado componentes que saboteen sistemas de control. Sin embargo, distintos expertos han confirmado que Duqu extrae información de los sistemas intervenidos.

Según Symantec, una de las empresas que en las últimas semanas han analizado la nueva amenaza, Duqu puede ser considerado el precursor de un nuevo ataque de tipo Stuxnet. El troyano está diseñado para recabar datos de inteligencia sobre sistemas industriales, y otorgar acceso y control remoto a sus creadores.

Israel y Estados Unidos han expresado grandes preocupaciones de que Irán esté próxima a obtener poderío nuclear. La noticia del ciber-sabotaje contra Irán surge mientras aumentan las advertencias de Israel de un ataque militar convencional contra ese país.

Según se ha constatado, Stuxnet sería un proyecto secreto entre Estados Unidos e Israel, para desbaratar el programa atómico de Irán.

Peligroso aumento

El año pasado, se detectó el primer troyano capaz de realizar llamadas a números de pago en el extranjero y un gusano para iPhone que remitía a una web falsa.

La popularidad de los smartphones y el incremento de nuevos servicios móviles impulsan el crecimiento de los programas maliciosos diseñados específicamente para dispositivos móviles, tal y como se desprende del Informe Virología Móvil de Kaspersky Lab.

El sistema operativo Android, al igual que iOS y Blackberry, ha ganado popularidad y usuarios, dejando atrás a Windows Mobile. Por el contrario, Symbian sigue perdiendo posiciones a pesar de ser todavía líder mundial. Todos estos movimientos han provocado un cambio en la lista de posiciones de plataformas para las cuales existen programas maliciosos.

En el mundo del malware móvil siguen predominando los programas que envían mensajes de texto a números premium. Pero desde 2010, el envío de SMS de pago ha dejado de ser el único método que los ciberdelincuentes usan para lucrarse. El año pasado, se detectó el primer troyano capaz de realizar llamadas a números de pago en el extranjero. También se descubrió un gusano para iPhone que remitía a una web falsa.

Futuras amenazas móviles

Troyanos SMS: La legislación de algunos países sigue teniendo muchas lagunas y los delincuentes tienen la posibilidad de usar los números cortos sin que quede registro ni constancia de ello.

Crece la cantidad de amenazas para Android: Esta plataforma está adquiriendo cada vez más popularidad, lo que se refleja también en el número de ataques.

– La cantidad de las vulnerabilidades descubiertas en diferentes plataformas móviles aumentará, y también es posible que lo hagan los ataques que las aprovechen.

Más software espía: Este tipo de software se puede usar para monitorizar actividades de otros usuarios, para hacer espionaje industrial y para recibir información secreta (por ejemplo, correspondencia).

Fuente: Kaspersky.

W32.Imsolk.B@mm

Este nuevo gusano se propaga por correo electrónico usando técnicas de ingeniería social.

Symantec Security Response detectó un gusano que se propaga de forma masiva por correo electrónico afectando a cientos de miles de computadoras mundialmente. Se trata aparentemente de un nuevo ataque, probablemente originado desde un botnet, similar a los clásicos virus masivos por correo electrónico Nimda, Melissa y Anna Kournikova del 2001.

Este nuevo y malicioso gusano, llamado W32.Imsolk.B@mm, se propaga por correo electrónico usando técnicas de ingeniería social. La amenaza aparece como un correo electrónico normal, titulado “Here You Have” (Aquí Tiene) que invita a quien lo recibe a hacer clic en un link incluido en el mensaje.

Este link apunta a un archivo con un programa malicioso, que está disfrazado como un archivo PDF guardado en Internet. Cuando el usuario hace clic en el link, su computadora descarga y ejecuta este archivo malicioso. Este proceso hace que el gusano se instale en la computadora del usuario. Los análisis indican que el gusano desactiva muchos de los productos antivirus comunes. Una vez que este gusano se ejecuta en la computadora, intenta enviar copias del email original a todas las direcciones de correo electrónico que encuentre en la libreta de direcciones del equipo infectado.

W32.Imsolk.B@mm además intenta propagarse a otras computadoras dentro de la red local copiándose a todos los drives compartidos de la red interna. Una vez que la amenaza se copió en otros equipos, si algún usuario abre la carpeta que contiene la amenaza en esta nueva computadora, ésta se ejecutará y causará un nuevo ciclo de infección que se distribuirá por correo y los drives compartidos.

Fuente: Symantec.

ESET informa sobre una nueva campaña de infección masiva a través de la popular red social Facebook. En esta ocasión lo que los delincuentes están propagando es el conocido gusano Koobface.

En esta campaña en particular el gusano se propaga en la red social con mensajes relativos a supuestas cámaras ocultas con contenido erótico y con un enlace. El mensaje llega a cada contacto del usuario infectado y el enlace redirige a sitios web cuyo título es “Video posted by… Hidden Camera”. Desde este sitio el usuario debe descargar un supuesto codec para visualizar el video.

Como es fácil adivinar, no se trata de ningún codec sino del archivo ejecutable del gusano Kooface. Si el usuario lo descarga y ejecuta, se infectará.

Lo curioso de este caso en particular es que el sitio al que se ingresa sólo funciona la primera vez que se ingresa al mismo y luego se informa de un supuesto error 404 (no se encontró la página). Los atacantes hacen esto para dificultar el trabajo de los investigadores y evitar que se analicen las distintas versiones del malware.

ESET ha encontrado y analizado más de 100 direcciones IP (usuarios ya infectados) responsables de la propagación de este malware por lo que es muy importante prevenir, no creer en cualquier tipo de mensaje en las redes sociales (evitar ataques de ingeniería social) y utilizar el antivirus actualizado.

Fuente: ESET.