Informe de ESET

A pocos días de la celebración de San Valentín, es común observar que los cibercriminales empiezan a utilizar con mayor frecuencia falsas postales, poemas o cartas de amor para propagar amenazas.

En concordancia, en el día de hoy hemos recibido en nuestro laboratorio un correo electrónico que, aunque utiliza una vez más el día de los enamorados como táctica de Ingeniería Social para expandir algún tipo de código malicioso, intenta innovar dentro del mismo tema. En esta ocasión los ciberdelincuentes eligieron tentar a las potenciales víctimas haciéndolas creer que son ganadoras de un supuesto concurso de San Valentín organizado por una conocida aerolínea de origen chileno en la que se señala que el usuario resultó seleccionado en el sorteo de un paquete turístico a Punta Cana.

Supuestamente, este incluye dos pasajes ida y vuelta con todo pago por tres días y dos noches. El formato utilizado en el correo es muy similar al que emplea esta empresa de vuelos comerciales en sus boletines informativos, sin embargo, se puede apreciar que después de “Estimado” se incluye de forma genérica “Cliente” en vez del nombre del mismo como lo hace la compañía.

El malware ha sido detectado por ESET NOD32 Antivirus como una variante de Win32/Injector.NTU troyano.

Si Injector.NTU es ejecutado intentará conectarse a otro sitio de donde bajará una variante del prolífico gusano botnet Win32/Dorkbot.B, cuyo fin es convertir la computadora de la víctima en zombi para que quede a la espera de instrucciones remotas de un servidor centralizado que pueden ser desde la obtención de una captura de pantalla de lo que el usuario esté haciendo hasta la ejecución de más códigos maliciosos o la obtención de información sensible.

ESET recomienda ser muy precavidos al momento de abrir correos y seguir hipervínculos incluso si quien los envía es un conocido o es parte de un servicio al cual se esté suscrito. En nuestra Guía para identificar correos falsos se explican algunos consejos para identificar mensajes ilegítimos. También es imprescindible que el usuario sepa cómo descubrir si se trata de un enlace engañoso.

Fuente e ilustración: ESET

Temido “Koobface”

Los creadores de Koobface – un grupo auto-proclamado grupo “Ali Baba y los 4” o la “Banda de Koobface” – han estado aterrorizando a millones de usuarios de Internet desde mediados de 2008 y continúan haciéndolo hasta el día de hoy, a pesar de los múltiples esfuerzos para encontrarlos.

Tras la identificación por parte de Facebook de los creadores del gusano Koobface, Sophos, compañía de seguridad TI y protección de datos, ha hecho público un informe en el que se reconocen y descubren los mismos autores que lideraron las amenazas contra usuarios de redes sociales, como Facebook:
Los creadores de Koobface – un grupo auto-proclamado grupo “Ali Baba y los 4” o la “Banda de Koobface” – han estado aterrorizando a millones de usuarios de Internet desde mediados de 2008 y continúan haciéndolo hasta el día de hoy, a pesar de los múltiples esfuerzos para encontrarlos.

El experto en malware de SophosLabs, Dirk Kollberg, y el investigador independiente, Jan Dröemer, han trabajado junto a un amplio equipo con el objetivo de desenmascarar dicha trama. Su excelente trabajo ha descubierto a los ciberterroristas, que han sido identificados como: Anton Korotchenko, Alexander Koltyshev, Roman Koturbach, Syvatoslav Polinchuk, y Stanislav Avdeiko.

En esta exclusiva, Dröemer y Kollberg comparten una gran cantidad de resultados, incluyendo los apodos de los perpetradores, las actividades online, su ubicación física y sus negocios: nakedsecurity.sophos.com

Koobface: un anagrama muy rentable
Koobface (un anagrama de “Facebook”) es un gusano que se propaga a través de las redes sociales, infectando PCs y construyendo una botnet de equipos contaminados. Su sofisticación es tal, que puede incluso llegar a crear sus propias cuentas de redes sociales, para así, poder publicar enlaces que ayuden a su propagación.

Los creadores de Koobface, cuyos nombres no habían sido conocidos hasta hoy, han ganado millones de dólares cada año, gracias a los ordenadores comprometidos.

Al respecto de la investigación liderada por Droemer y Kollberg, ésta se llevó a cabo entre octubre de 2009 y febrero de 2010. No obstante, las autoridades pidieron a los investigadores que fuese confidencial, para así disponer del tiempo necesario para construir un caso.

“Es una increíble historia de detectives, de investigación incansable, que ha supuesto barrer Internet, buscando registros de empresas y aprovechando los errores de colegial cometido por los presuntos delincuentes al no ser lo suficientemente cautos con sus perfiles en las redes sociales. Sabemos los nombres de la banda, sus números de teléfono, dónde están sus oficinas, qué aspecto tienen, qué coches conducen, incluso sus números de teléfono móvil”, afirma Pablo Teijeira, Gateway Business Development Manager Western Europe y experto en Seguridad de Sophos. “Ahora sólo nos queda esperar y ver lo que las autoridades harán contra la banda Koobface”.

Más información sobre el estudio, incluyendo imágenes y gráficos, se puede encontrar en el sitio web de seguridad: pabloteijeira.wordpress.com y nakedsecurity.sophos.com

Para saber más sobre Koobface visite: nakedsecurity.sophos.com

Para estar actualizado con las últimas noticias síguenos en Facebook: www.facebook.com

Kaspersky

Según Kaspersky, el temido gusano Stuxnet funciona de manera similar a los bloques plásticos interconectables Lego.

El gusano informático Stuxnet es considerado uno de los peores códigos malignos en la historia de la informática. Conocidos son los estragos que causó en los sistemas de control de centrífugas utilizadas para el enriquecimiento de uranio en Irán.

Expertos de Symantec detectaron en octubre pasado indicaciones que sustentan la teoría de que Duqu y Stuxnet tienen el mismo origen. Según Symantec, Duqu funciona como herramienta de reconocimiento que prepara ataques espiando sistemas TI.

Los colegas de Symantec en Kaspersky Lab respaldan la idea que ambos programas tienen el mismo origen, agregando que los mismos desarrolladores han creado nuevas ciberarmas, hasta ahora desconocidas.

Los científicos de la empresa rusa de seguridad aseguran haber encontrado pruebas que confirmarían la existencia de una plataforma común, que aparte de haber propiciado la creación de Stuxnet y Duqu habría sido utilizada para el desarrollo de, al menos, tres amenazas más.

“Legos” militares
Según Kaspersky, se trataría de una serie de módulos de software compatible desarrollados para funcionar conjuntamente, teniendo cada módulo su propia funcionalidad.

Según Kaspersky, los programadores de los códigos malignos pueden crear nuevas ciberarmas agregando o elminando módulos, que funcionan como los bloques interconectables lego.

La misteriosa plataforma ha sido denominada “Tilded” debido a que varios de los archivos asociados tienen nombres que comienzan con una tilde (~) seguido de la letra “d”.

Kaspersky dice no haber encontrado otros módulos con el mismo origen, agregando que los componentes utilizados por Stuxnet y Duqu aparentemente buscan distintas claves del registro de Windows que representan módulos que el malware intenta iniciar. La empresa considera que esta plataforma de ciberguerra tiene una data de aproximadamente cuatro años, o quizás incluso anterior. La base de tal razonamiento es la fecha de compilación del malware, que sería el 31 de agosto de 2007.

Aunque la mayoría de los programas antivirus ya han sido actualizados y protegen contra las infecciones causadas por Stuxnet y Duqu, para sus creadores no es problemático ajustar el código de forma que las nuevas variantes no sean detectadas, al menos inicialmente, concluye Kaspersky.

Peligroso malware

Los bootkits son lo último en amenazas para PC y, sin duda, el tipo más peligroso de malware, ya que modifican el sistema desde el nivel más bajo.

BitDefender®, galardonado proveedor de innovadoras soluciones de seguridad para Internet, ha desarrollado una herramienta gratuita que permite eliminar bootkits de los PCs infectados.

Los bootkits son una de las amenazas más importantes que hay actualmente. Existen desde hace tiempo, pero en los últimos años han experimentado un desarrollo constante para eludir los mecanismos de seguridad de los sistemas operativos.

Su peligrosidad se debe a que estos códigos maliciosos se cargan con el Master Boot Record, conocido como “sector cero” por ser el primer sector del disco duro. Debido a ello, los bootkits son capaces de sortear los procesos de detección lanzados después de su carga y también el proceso de validación introducido por Windows en sus útimos sistemas operativos y que, en teoría, impide la ejecución de código que no esté validado digitalmente.

Pero su peligrosidad no termina ahí. El cifrado completo del disco duro ha sido considerado como el procedimiento más seguro para el almacenamiento de información altamente confidencial, como los informes de ventas, la propiedad intelectual, prototipos y otros activos críticos de una empresa. Sin embargo, esa información se almacena también sin encriptar en el Master Boot Record, lo que significa que es transparente para el bootkit. De manera que el ciberdelincuente detrás de la infección tendrá acceso a esos datos.

Es por eso que desde BitDefender se ha desarrollado una herramienta que puede detectar y eliminar todas las variantes conocidas de bootkits. La herramienta está disponible de forma gratuita en la sección de descargas de Malware City en versión para 32 y 64 Bits.

“Los botkits son una de las amenazas más dañinas, ya que suelen ser indetectables para gran parte de las soluciones de seguridad y muy difíciles de eliminar del sistema, al estar inyectados en el nivel más bajo del equipo”, explica Jocelyn Otero Ovalle, Directora de Marketing de BitDefender para España y Portugal, que añade: “ahora, gracias a estas herramientas gratuitas, cualquier usuario puede eliminar de una manera snecilla los bootkits que hayan afectado a sus equipos y seguir navegando de forma segura”

Descargue la versión de 32 bit de Bootkit Removal Tool en www.malwarecity.com

Descargue la versión de 64 bit de Bootkit Removal Tool en www.malwarecity.com

G Data Informe 2012

Se mantendrá la tendencia y el malware crecerá de forma dramática el nuevo año. El lucro fácil, el ciberespionaje y el hacktivismo, principales “argumentos” de los ciberdelincuentes.

Malware para tablets y smartphones, ataques “a medida” contra objetivos específicos, phising y troyanos bancarios constituyen las principales amenazas de la seguridad en 2012. La Eurocopa de Polonia y Ucrania, los Juegos Olímpicos de Londres y las elecciones presidenciales en Estados Unidos serán algunos de los hitos que los estafadores online intentarán utilizar para embaucar a sus víctimas. Por supuesto, sin olvidar el papel que pueden jugarán las redes sociales como difusoras de malware. Además el malware podría dar el salto a televisores y consolas con conexión a Internet.

Smartphones y tablets
Los dispositivos con S.O. Android dominan el mercado de los smartphones y parece que cuentan con el beneplácito de la gran mayoría de los consumidores. Sin embargo, esta aceptación masiva por parte del usuario también está marcando el camino a seguir a los autores del malware. Durante 2012 se intensificarán los ataques contra esta plataforma con el objetivo de asegurar la mayor difusión posible a sus códigos maliciosos.

Las aplicaciones (las populares “apps”) constituyen la mejor forma de expandir el código malicioso, descargadas tanto del mercado oficial de Google como de otros mercados alternativos. Para infectar el terminal sólo se necesita que la víctima la descargue e instale en su terminal. Una vez dado este paso, el malware puede dañar el dispositivo de muchas formas: robar los datos personales almacenados y enviarlos a dispositivos remotos, interceptar conversaciones o suscribirlos a costosos servicios de mensajería Premium, por ejemplo.

Ahora las aplicaciones maliciosas se instalan a través de los propios usuarios, después de que estos hayan sido engañados o convencidos mediante técnicas de ingeniería social. Sin embargo, los dispositivos móviles ofrecen muchas posibilidades técnicas y es solo cuestión de tiempo que nos enfrentemos a ataques automatizados donde las infecciones no dependan activamente del usuario. Desafortunadamente y teniendo en cuenta el ritmo de evolución del malware en esta plataforma, es fácil que en 2012 asistamos a estos primeros ataques automatizados, probablemente inspirados en los ataques drive-by que afectan a los ordenadores personales y que provocan la infección sin la participación de la víctima, después de visitar cualquier web adulterada.

La velocidad a la que se desarrolla el nuevo malware contrasta con las pocas actualizaciones disponibles para Android. Ya se ha mencionado en numerosas ocasiones que Android podría convertirse en el nuevo Microsoft, en cuanto a diana de las nuevas amenazas, y parece que lleva camino de conseguirlo.

Ataques dirigidos: Stuxnet y DuQu como precedentes
El capítulo de los ataques dirigidos tendría que incluir a aquellos que utilizan los mencionados teléfonos inteligentes en un contexto profesional, pues resultan especialmente atractivos para los ciberdelincuentes en busca de información apetitosa y datos y aquí los tienen en cantidad y calidad.

En cualquier caso, en 2011 vio la luz un particular spyware que causó un gran revuelo por estar específicamente diseñado para atacar a las empresas: DuQu. A pesar de que para muchos ha sido considerado como el sucesor de Stuxnet, esta herramienta de espionaje no está diseñada para el sabotaje tal cual lo entendemos. Sin embargo, DuQu es capaz de espiar a cualquier empresa, por lo que funciona más como un ladrón de datos que como una herramienta cuyo fin sea destruir un objetivo concreto. Su propósito sería recopilar tanta información como fuera posible para un posterior ataque como el protagonizado por Stuxnet.

Sin embargo, resulta alarmante comprobar que hay indicios en su código fuente que sugieren que pudo ser escrito por los creadores de Stuxnet. Las motivaciones políticas y las reivindicaciones de cualquier tipo (y ya no sólo el interés lucrativo) han entrado en escena cuando hablamos de ciberseguridad. Y el hecho de que los atacantes puedan conseguir el control de infraestructuras críticas ha dejado de ser una ficción como quedó de manifiesto con el ataque de Stuxnet en la planta nuclear iraní de Buschehr.

Los hitos del nuevo año
2012 se inicia con importantes eventos en el horizonte (entre otros, la Eurocopa de Fútbol en Polonia y Ucrania, los Juegos Olímpicos de Londres o las elecciones presidenciales en Estados Unidos) y estos sin duda darán contenido a muchos de los intentos de estafa que se producirán el próximo año:

Las amenazas digitales a las que se enfrentan los eventos deportivos mencionados podrán incluir:

-Oleadas de spam y manipulación de motores de búsqueda online para la venta de entradas y todo tipo de elementos falsificados relacionados con los eventos señalados

-Diseño de páginas falsas de venta online de entradas a los diferentes eventos deportivos

-Ataques contra los sitios oficiales de los Juegos Olímpicos y/o Eurocopa como potenciales formas de protesta

-Ataques contra las redes inalámbricas WLAN diseñadas para los visitantes que acudan a estos eventos

La lista de ataques potenciales puede ser más larga pues no hay que olvidar los ataques contra infraestructura, bien como intento de sabotaje o como elemento de chantaje.

En el caso de las elecciones presidenciales de los Estados Unidos los atacantes pueden recurrir a la ingeniería social con promesas de videos escandalosos o fotografías que afecten a los candidatos para conducir a los internautas a sitios web infectados con código malicioso. Se trata de trucos tan habituales como puedan ser las oleadas de spam cuyo contenido tenga alguna conexión con el asunto electoral y sirva para conducir a sus víctimas potenciales a todo tipo de páginas capaces de provocar una infección en el PC de sus víctimas.

Phishing y troyanos bancarios
Si hablamos de phishing, los usuarios podrían tener que enfrentarse con oleadas de ataques altamente sofisticados y a menudo con un target específico. No podemos olvidar el ataque sufrido por la red de Sony PlayStation en el que se comprometieron los datos de cerca de 77 millones de clientes. La información robada entonces podría ser usada ahora en correos electrónicos que tuvieran como fin estafar a sus destinatarios.

Aunque hemos visto que no solo existen motivaciones económicas, el dinero fácil seguirá siendo el principal argumento de las actividades ilícitas delos ciberdelincuentes y una de las formas más populares de conseguirlo durante este 2011 fueron los troyanos bancarios. Todo indica que en 2012 nada hará cambiar esta tendencia, si no, más bien todo lo contrario si atendemos al número creciente de usuarios de banca online (en España, el 46,5% de los internautas#). Los troyanos bancarios constituyen pues una amenaza que debe ser tomada muy en serio, especialmente por los usuarios particulares, ya que un ataque exitoso a menudo supone una pérdida financiera significativa para la víctima.

SmartTVs y consolas
Al margen de ordenadores y smartphones, que constituyen las grandes plataformas de conexión a Internet, otros equipos empiezan a conectarse ya de forma habitual desde el salón de cualquier hogar. Nos referimos a televisores y consolas que en principio estaban fuera del campo de acción de los cibercliminales pero que a medida que se convierten en dispositivos conectados pueden empezar a estar en peligro, sobre todo si tenemos en cuenta que por regla general están desprotegidos y carecen de actualizaciones frecuentes.

“2012 estará protagonizado por ataques dirigidos contra todo tipo de organizaciones, con independencia de su tamaño. Las empresas pequeñas a menudo no están conveniente protegidas lo que las convierte en objetivos más sencillos y vulnerables. Los grandes eventos como los juegos Olímpicos o las elecciones presidenciales darán contenido a muchas de la amenazas. Los smartphones con sistema operativo Android se convertirán en centro de muchos ataques a medida. Y si en 2011 el número de amenazas creció de forma dramática, la tendencia se mantendrá en 2012. El malware se consolidará como la mejor arma de los cibercriminales para conseguir dinero, pero también como herramienta de ciberespionaje y hacktivismo”

Confirman tercer ciberataque específico

Las autoridades iraníes confirmaron el domingo 13 de noviembre que algunas de sus instalaciones atómicas han sido infectadas con el troyano Duqu.

Duqu fue detectado el mes pasado y, según numerosos expertos, tiene grandes similitudes con Stuxnet, el gusano que en 2010 desbarató las centrífugas utilizadas para el enriquecimiento de uranio.

El general de brigada Gholam Reza Jalali declaró a la agencia de noticias IRNA que todos los sistemas informáticos de las instalaciones atómicas del país están siendo controlados mediante aplicaciones creadas en Irán para combatir a Duqu.

Reza Jalali indicó que las autoridades están en una etapa inicial del proceso y que se desconoce el número de instalaciones afectadas por Duqu.

Según IRNA, es la tercera vez que el general, que está al mando de la ciber-defensa del país, confirma un ataque específico contra los sistemas informáticos del país.

En abril, Irán reveló que sus sistemas estaban siendo atacados por un malware que internamente denominan “Stars”. Según el general, Duqu es la tercera ola de malware que les afecta.

Al contrario que Stuxnet, Duqu no se propaga, por lo que escapa a la denominación de gusano informático. Asimismo, hasta ahora no se han detectado componentes que saboteen sistemas de control. Sin embargo, distintos expertos han confirmado que Duqu extrae información de los sistemas intervenidos.

Según Symantec, una de las empresas que en las últimas semanas han analizado la nueva amenaza, Duqu puede ser considerado el precursor de un nuevo ataque de tipo Stuxnet. El troyano está diseñado para recabar datos de inteligencia sobre sistemas industriales, y otorgar acceso y control remoto a sus creadores.

Israel y Estados Unidos han expresado grandes preocupaciones de que Irán esté próxima a obtener poderío nuclear. La noticia del ciber-sabotaje contra Irán surge mientras aumentan las advertencias de Israel de un ataque militar convencional contra ese país.

Según se ha constatado, Stuxnet sería un proyecto secreto entre Estados Unidos e Israel, para desbaratar el programa atómico de Irán.

Informe de ESET

Durante octubre se detectó una serie de aplicaciones maliciosas publicadas en el Android Market cuyo objetivo era el secuestro de datos.

Además, el Laboratorio de ESET Latinoamérica detectó una nueva técnica de ataque a equipos móviles a través del envío masivo de mensajes de texto con el fin de subscribir a los usuarios a un servicio de SMS pago.

Durante los últimos días se reportaron una serie de aplicaciones maliciosas bajo el nombre de Gone in 60 seconds publicadas en el Android Market, sistema abierto de distribución de contenidos para dispositivos basados en el sistema operativo Android que permite a sus usuarios navegar, comprar, instalar y descargar aplicaciones desarrolladas por terceros. Simulando ser un software para realizar una copia de seguridad de los datos contenidos en el dispositivo -conocido comúnmente como backup-, la aplicación secuestra la información del teléfono para luego solicitar un pago para acceder a ella.

Cuando el usuario ejecuta la aplicación por primera vez en su dispositivo móvil, toda la información contenida en él -incluyendo sus contactos, mensajes de texto, historial de llamadas e historial del navegador- es enviada a un servidor remoto. A partir de ese momento, supuestamente, podrá acceder a todos los datos desde una página web.

El inconveniente para el usuario surge al momento de intentar recuperar su información, ya que al ingresar al sitio web provisto por la aplicación encontrará solamente su lista de contactos. Mientras que para poder acceder al resto de la información se le solicitará el pago de 5 dólares.

“Al momento de realizar la instalación de una aplicación en los dispositivos móviles, se recomienda a los usuarios corroborar la reputación del desarrollador, los permisos que solicita y además utilizar herramientas de seguridad que permitan una correcta administración de su información. La creciente utilización de dispositivos móviles los convierte en objetivos interesantes para el desarrollo de amenazas informáticas, motivo por el cual es fundamental proteger nuestros equipos y ser conscientes del valor que la información que éstos transportan tiene para cada uno de nosotros”, aseguró Sebastián Bortnik, Coordinador de Awareness & Research de ESET Latinoamérica.

Puede leer más sobre el caso visitando el Blog de Laboratorio de ESET Latinoamérica: blogs.eset-la.com

Además, el Laboratorio de ESET Latinoamérica detectó una nueva técnica de ataque a equipos móviles que consiste en el envío masivo de mensajes de texto al número telefónico de la víctima. Esto genera un fuerte problema de rendimiento en el equipo, que se vuelve prácticamente imposible de utilizar.

Los mensajes de texto que recibe la víctima cuentan con un número de PIN que debe ser ingresado en una página web o enviado como respuesta del mensaje recibido. Si el usuario realiza tal acción, su número de teléfono será confirmado como válido para el alta de un servicio de mensajes de texto pago.

“Entre otra de las problemáticas que genera este tipo de ataques, tenemos que tener en cuenta que el número provisto por el atacante ha sido confirmado como válido y puede ser utilizado para futuras campañas de propagación de spam o de otro tipo de amenaza”, concluyó Bortnik.

Para más información acerca de los principales ataques informáticos de octubre, puede visitar el reporte de las amenazas más importantes del mes publicado en el Blog del Laboratorio de ESET: blogs.eset-la.com