Informe de ESET

Tsunami es una variante de un código malicioso para Linux detectado en 2002 cuyo principal objetivo es reclutar equipos Mac para formar parte de una botnet.

ESET, empresa dedicada a la detección proactiva de amenazas, ha reportado la aparición de una nueva versión del troyano Linux/Tsunami, adaptada para atacar sistemas operativos Mac OS. Se trata de una nueva variante de un código malicioso aparecido en 2002 para sistemas operativos Linux que convierte al equipo en integrante de una botnet utilizada para realizar ataques de DDoS (Denegación Distribuida de Servicios), detectada por ESET Cybersecurity para Mac como OSX/Tsunami.A.

Como su predecesor para Linux, Tsunami contiene una lista de servidores IRC (Internet Relay Chat) y canales a los que intenta conectarse. Cuando se acciona, los equipos infectados pueden atacar páginas webs por medio del envío de grandes cantidades de peticiones que sobrecargan los servidores e impiden su funcionamiento, lo que se conoce como un ataque de Denegación de Servicios Distribuido (DDoS).

“Como anticipamos en nuestro informe Tendencias 2011, el malware dinámico – categoría que integra Tsunami – sería una novedad que estaríamos viendo este año. Se trata de códigos maliciosos que comienzan por infectar el sistema para luego, a través de algún acceso remoto al equipo afectado, permitir al atacante utilizarlo para diversas tareas. Es decir, pasan a formar parte de una botnet, red de PCs zombie, que estará a disposición del cibercriminal para efectuar actividades maliciosas”, aseguró Sebastián Bortnik, Coordinador de Awareness & Research de ESET Latinoamérica.

Además, el troyano abre una puerta trasera en el equipo que puede ser utilizada para la descarga de nuevo malware, la actualización del código de Tsunami o, incluso, el control completo del equipo infectado por parte del ciberatacante.

Para más información sobre el descubrimiento de Tsunami para Mac OS puede visitar el Blog de Laboratorio de ESET Latinoamérica: blogs.eset-la.com

Hace apenas unas horas se descubrió además una nueva variante de la amenaza que incluye dos nuevas características. Con la actualización, Tsunami tiene también capacidades para replicarse a sí mismo de modo de asegurar su ejecución en el equipo luego de cada reinicio. Además, dispone de información actualizada del servidor remoto al cual reporta.

“De acuerdo a nuestras investigaciones, probablemente se trate de un código malicioso experimental que se encuentra en proceso de evaluación por parte de los desarrolladores. Seguiremos la evolución del caso para mantener informados a los usuarios”, concluyó Bortnik.

Anuncios

Windows “el anciano”

Mientras los códigos maliciosos se diversifican y comienzan a encontrar nuevos vectores de ataque, el malware en plataformas móviles empieza a incrementarse debido al aumento en su tasa de uso.

Si bien Windows continúa siendo la plataforma más atacada por el malware, los ciberatacantes se encuentran migrando sus objetivos hacia otros sistemas operativos en función del incremento de su tasa de uso, según informa la empresa de seguridad informática ESET.

Sebastián Bortnik, Coordinador de Awareness & Research, explicó que, de acuerdo al nivel de desarrollo de códigos maliciosos para cada sistema operativo, Windows podría representarse por medio de la figura de un anciano, Mac OS por la de un adolescente y Linux por un niño mientras que las plataformas móviles – las últimas en integrarse al mercado- serían un bebé.

El 84,3% de los usuarios de Windows ha manifestado haber sufrido infecciones de malware durante el 2010, según una encuesta realizada por ESET Latinoamérica. El principal medio de infección resultó ser los dispositivos removibles con el 24,7%, seguidos por los sitios web (19,5%) y, luego, por el correo electrónico (14,5%).

El segundo lugar con referencia a la madurez del malware es para Mac OS. En los últimos años se han detectado diferentes códigos maliciosos para estas plataformas siendo el primer virus para MAC/OS, MacMag, aparecido en el año 1987. Además resulta relevante el incremento de la detección del troyano para Mac OS detectado por ESET NOD32 Antivirus como Mac/Hovdy.B en enero y febrero de 2009 y la aparición en abril de ese mismo año de la primera botnet para Mac OS, Mac/Iservice.B.

Linux, el niño de la familia, se ubica en el tercer lugar. En los últimos años, este sistema operativo ha sido víctima del ataque de troyanos y rootkits. Cada uno de estos códigos maliciosos constituyen herramientas que le permiten al atacante esconder las actividades dañinas llevadas a cabo en el servidor de archivos (Linux/Rootkit.Agent); propagarse por cada nodo de la red con plataformas GNU/Linux, incluidos otros servidores (Linux/Lion) y realizar escuchas en la red (Linux/Sniffer.Sysniff); entre otras actividades intrusivas.

Finalmente, las plataformas móviles son dispositivos cuyo uso intensivo se haya cada vez más generalizado, motivo por el cual se convierten en blancos de interés para los desarrolladores de malware. Según una encuesta realizada por ESET Latinoamérica, el 96% de los usuarios dijo estar preocupado por la seguridad en dispositivos móviles pero sin embargo, al ser consultados por las soluciones de seguridad utilizadas, sorprendentemente el 74% declaró no implementar ninguna. Además de los códigos maliciosos, en el caso de los smartphones y pocket PC’s, la pérdida de información confidencial o privada y el robo o extravío del dispositivo son riesgos adicionales.

“El desarrollo de malware para plataformas móviles será una tendencia creciente en los próximos años dado el notable incremento en la tasa de uso de estos dispositivos por parte de los usuarios y empresas”, afirmó Bortnik.

La ausencia de plataformas “adultas” en relación al desarrollo de los códigos maliciosos se debe, como explicó el experto, a que durante años los ciberatacantes han dirigido sus esfuerzos hacia el sistema operativo de Microsoft, dada su preeminencia en el mercado. Actualmente, con la migración de un mayor número de usuarios hacia otras plataformas y la adopción masiva de dispositivos móviles, estas actividades maliciosas han diversificado sus objetivos hacia estas “nuevas” plataformas en busca de potenciales víctimas.

“Estos sistemas operativos representan nuevas oportunidades de ataque que los desarrolladores de malware no están dispuestos a desaprovechar. Por eso, es fundamental mantener los equipos protegidos con una solución antivirus y de seguridad con capacidades de detección proactiva de amenazas y educar al usuario para fomentar la prevención”, concluyó Bortnik.

Fuente: ESET.

Mes de octubre

Koobface ha reactivado sus índices de propagación con la particularidad de constituirse como un troyano multi-plataforma con la posibilidad de afectar no sólo a sistemas operativos Windows, sino también Mac OS y Linux.

Hacia fines del mes, el Laboratorio de Investigación de ESET alertó sobre la una nueva campaña de propagación por medio de redes sociales del troyano Koobface, esta vez devenido en código malicioso multi-plataforma capaz de afectar a sistemas operativos Windows, Mac y Linux.

El malware llega al usuario a través de mensajes en Facebook, MySpace o Twitter con la leyenda “Is this you in this video?” (“¿eres tú en este video?“). Si el usuario visita el enlace observará una pantalla simulando un video multimedia online y se intentará ejecutar un applet de Java, que no es parte de la ejecución de un video sino el código malicioso en cuestión.

“Es importante recordar que la instalación del troyano utiliza Ingeniería Social por lo que los usuarios deben evitar ingresar a sitios web que utilicen el mensaje indicado (o similares) y mantenerse atentos a los sitios web que intenten ejecutar código Java en el sistema”, declaró Sebastián Bortnik, Coordinador de Awareness & Research de ESET Latinoamérica.

También durante este mes, luego de un análisis de los archivos binarios y componentes de Stuxnet llevado a cabo por ESET, se dieron a conocer nuevas vulnerabilidades que fueron en general desconocidas al momento del surgimiento de esta amenaza. El código malicioso identificado por ESET NOD32 como Win32/Stuxnet.A, se caracteriza por explotar tres vulnerabilidades del tipo 0-day sobre Windows y una cuarta que explota una falla propia de WinCC y PCS 7 de los sistemas Siemens.

“Sin dudas el gusano Stuxnet se recordará como una de las amenazas más destacadas del 2010. Y esto tiene que ver con sus características de propagación, su diseño para infectar sistemas de control industrial y también, sus altas tasas de infección. Ya son miles los usuarios infectados por esta amenaza, que se propaga a través de diversas vulnerabilidades”, concluyó Bortnik.

Ranking de propagación de malware de ESET en octubre

– INF/Autorun permanece por tercer mes consecutivo en la primera posición del ranking con el 6,22 por ciento del total de detecciones. Este malware es utilizado para ejecutar y proponer acciones automáticamente cuando un medio externo, como un CD, DVD o dispositivo USB, es leído por el equipo.

– Win32/Conficker ocupa la segunda posición del ranking con el 4,32 por ciento del total de detecciones. Conficker es un gusano que se propaga utilizando Internet como plataforma de ataque, aprovechando diferentes vulnerabilidades en sistemas operativos Microsoft Windows que ya han sido corregidas, además de otras tecnologías como los dispositivos de almacenamiento removible y recursos compartidos en redes.

– Win32/PSW.OnlineGames se mantiene en el tercer lugar con el 2,62 por ciento y es una de las amenazas con mayor vigencia consecutiva entre las primeras posiciones del ranking mundial de propagación de malware.

– Win32/Sality sube a la cuarta posición con el 1,90 por ciento del total de detecciones. Sality es un virus polimórfico. Cuando se ejecuta inicia un servicio y crea o elimina claves de registro relacionadas con las actividades de seguridad en el sistema. Modifica los archivos .exe y .scr y desactiva los servicios y procesos relacionados a las soluciones de seguridad.

– INF/Conficker ocupa la quinta posición, con el 1,54 por ciento del total de detecciones y es una detección utilizada para describir una variedad de malware que se propaga junto con el gusano Conficker y utiliza el archivo autorun.inf para comprometer al equipo informático.

Fuente: ESET.

11.000 líneas son agregadas y 5.500 son borradas

El kernel de Linux ha ido incorporando en el transcurso de los últimos años cada vez más soporte para hardware, situación que incluso ha llevado a Linus Torvalds, el padre de Linux, a calificar el software de “gordo y lento”.

Con todo, Torvalds concluye que se trata de una situación inevitable. Parte del problema se explica debido a que el kernel de Linux contiene soporte para hardware bastante anticuado, que sólo es usado esporádicamente.

El sitio Howsoftwareisbuilt.com ha entrevistado a Greg Kroah-Hartman, desarrollador de Novell que ha trabajado durante diez años con el kernel de Linux. En la entrevista, el programador explica el actual procedimiento de desarrollo del kernel. Llama especialmente la atención el ritmo de trabajo.

“Acabo de revisar, y cada día agregamos 11 000 líneas, eliminamos 5500, y modificamos 2200. El 50% de los cambios corresponde a conectores, y el 5% se produce en el kernel central”, explica Kroah-Hartman.

El programador explica que un número cada vez mayor de interesados participa en el trabajo de desarrollo de Linux. “Por ejemplo, para el desarrollo del kernel 2.5/2.6, que tomó aproximadamente dos años, el 30% de los desarrolladores realizaron el 80% del trabajo. Actualmente, el 30% de desarrolladores líderes realiza el 30% del trabajo. El número neto de desarrolladores ha aumentado. Antes contábamos con algunos cientos de desarrolladores, pero en la actualidad son miles”.

Kroah-Hartman indica que aunque un gran número desarrolladores trabaja ad-honorem, el 75% a 80% de kernel es programado por personas que cobran por su trabajo.

Respecto del problema de los conectores anticuados que rara vez son usados, comentó un plan de trasladar los conectores antiguos, cuando exista la certeza de que no están siendo usados, a una suerte de almacén, donde el código permanecerá durante aproximadamente un año, y si nadie se queja, será borrado definitivamente.

Fuente: Howsoftwareisbuilt.com