Advierte BitDefender

La amenaza se distribuye por correo electrónico y conduce a la descarga de un troyano

Bitdefender, galardonado proveedor de innovadoras soluciones de seguridad, ha localizado un nuevo ataque informático que consiste en la distribución de malware usando como cebo una invitación a Google+ Hangouts, un servicio de Google que permite ver y comentar vídeos en grupo a través de Google +.

El ataque comienza cuando los usuarios reciben una invitación en sus correos electrónicos invitándoles a descargarse el plugin de Google+ Hangouts.

En caso de seguir el link, llegarán a una página, que imita a la oficial de este servicio, y en la que se les mostrará un botón desde el que descargarse el plugin. Si lo hacen, en su equipo aparecer un archivo con el nombre hangouts.exe, que aunque hace referencia al servicio – para engañar al usuario – en realidad esconde un troyano.

En caso de activarlo, el usuario quedará con su ordenador comprometido y sus datos podrán caer en manos de los ciberdelincuentes.

“Es importante que los usuarios recuerden que no deben atender a solicitudes que les lleguen por correo procedentes de usuarios desconocidos, por muchas ganas que tengan de probar un servicio o producto”, explica Catalin Cosoi, Responsable de Amenazas Online de Bitdefender.

Más actualidad sobre seguridad informática en el Facebook de Bitdefender, en su Twitter y en su nuevo blog en español Malware City en www.malwarecity.es

G Data Informe 2012

Se mantendrá la tendencia y el malware crecerá de forma dramática el nuevo año. El lucro fácil, el ciberespionaje y el hacktivismo, principales “argumentos” de los ciberdelincuentes.

Malware para tablets y smartphones, ataques “a medida” contra objetivos específicos, phising y troyanos bancarios constituyen las principales amenazas de la seguridad en 2012. La Eurocopa de Polonia y Ucrania, los Juegos Olímpicos de Londres y las elecciones presidenciales en Estados Unidos serán algunos de los hitos que los estafadores online intentarán utilizar para embaucar a sus víctimas. Por supuesto, sin olvidar el papel que pueden jugarán las redes sociales como difusoras de malware. Además el malware podría dar el salto a televisores y consolas con conexión a Internet.

Smartphones y tablets
Los dispositivos con S.O. Android dominan el mercado de los smartphones y parece que cuentan con el beneplácito de la gran mayoría de los consumidores. Sin embargo, esta aceptación masiva por parte del usuario también está marcando el camino a seguir a los autores del malware. Durante 2012 se intensificarán los ataques contra esta plataforma con el objetivo de asegurar la mayor difusión posible a sus códigos maliciosos.

Las aplicaciones (las populares “apps”) constituyen la mejor forma de expandir el código malicioso, descargadas tanto del mercado oficial de Google como de otros mercados alternativos. Para infectar el terminal sólo se necesita que la víctima la descargue e instale en su terminal. Una vez dado este paso, el malware puede dañar el dispositivo de muchas formas: robar los datos personales almacenados y enviarlos a dispositivos remotos, interceptar conversaciones o suscribirlos a costosos servicios de mensajería Premium, por ejemplo.

Ahora las aplicaciones maliciosas se instalan a través de los propios usuarios, después de que estos hayan sido engañados o convencidos mediante técnicas de ingeniería social. Sin embargo, los dispositivos móviles ofrecen muchas posibilidades técnicas y es solo cuestión de tiempo que nos enfrentemos a ataques automatizados donde las infecciones no dependan activamente del usuario. Desafortunadamente y teniendo en cuenta el ritmo de evolución del malware en esta plataforma, es fácil que en 2012 asistamos a estos primeros ataques automatizados, probablemente inspirados en los ataques drive-by que afectan a los ordenadores personales y que provocan la infección sin la participación de la víctima, después de visitar cualquier web adulterada.

La velocidad a la que se desarrolla el nuevo malware contrasta con las pocas actualizaciones disponibles para Android. Ya se ha mencionado en numerosas ocasiones que Android podría convertirse en el nuevo Microsoft, en cuanto a diana de las nuevas amenazas, y parece que lleva camino de conseguirlo.

Ataques dirigidos: Stuxnet y DuQu como precedentes
El capítulo de los ataques dirigidos tendría que incluir a aquellos que utilizan los mencionados teléfonos inteligentes en un contexto profesional, pues resultan especialmente atractivos para los ciberdelincuentes en busca de información apetitosa y datos y aquí los tienen en cantidad y calidad.

En cualquier caso, en 2011 vio la luz un particular spyware que causó un gran revuelo por estar específicamente diseñado para atacar a las empresas: DuQu. A pesar de que para muchos ha sido considerado como el sucesor de Stuxnet, esta herramienta de espionaje no está diseñada para el sabotaje tal cual lo entendemos. Sin embargo, DuQu es capaz de espiar a cualquier empresa, por lo que funciona más como un ladrón de datos que como una herramienta cuyo fin sea destruir un objetivo concreto. Su propósito sería recopilar tanta información como fuera posible para un posterior ataque como el protagonizado por Stuxnet.

Sin embargo, resulta alarmante comprobar que hay indicios en su código fuente que sugieren que pudo ser escrito por los creadores de Stuxnet. Las motivaciones políticas y las reivindicaciones de cualquier tipo (y ya no sólo el interés lucrativo) han entrado en escena cuando hablamos de ciberseguridad. Y el hecho de que los atacantes puedan conseguir el control de infraestructuras críticas ha dejado de ser una ficción como quedó de manifiesto con el ataque de Stuxnet en la planta nuclear iraní de Buschehr.

Los hitos del nuevo año
2012 se inicia con importantes eventos en el horizonte (entre otros, la Eurocopa de Fútbol en Polonia y Ucrania, los Juegos Olímpicos de Londres o las elecciones presidenciales en Estados Unidos) y estos sin duda darán contenido a muchos de los intentos de estafa que se producirán el próximo año:

Las amenazas digitales a las que se enfrentan los eventos deportivos mencionados podrán incluir:

-Oleadas de spam y manipulación de motores de búsqueda online para la venta de entradas y todo tipo de elementos falsificados relacionados con los eventos señalados

-Diseño de páginas falsas de venta online de entradas a los diferentes eventos deportivos

-Ataques contra los sitios oficiales de los Juegos Olímpicos y/o Eurocopa como potenciales formas de protesta

-Ataques contra las redes inalámbricas WLAN diseñadas para los visitantes que acudan a estos eventos

La lista de ataques potenciales puede ser más larga pues no hay que olvidar los ataques contra infraestructura, bien como intento de sabotaje o como elemento de chantaje.

En el caso de las elecciones presidenciales de los Estados Unidos los atacantes pueden recurrir a la ingeniería social con promesas de videos escandalosos o fotografías que afecten a los candidatos para conducir a los internautas a sitios web infectados con código malicioso. Se trata de trucos tan habituales como puedan ser las oleadas de spam cuyo contenido tenga alguna conexión con el asunto electoral y sirva para conducir a sus víctimas potenciales a todo tipo de páginas capaces de provocar una infección en el PC de sus víctimas.

Phishing y troyanos bancarios
Si hablamos de phishing, los usuarios podrían tener que enfrentarse con oleadas de ataques altamente sofisticados y a menudo con un target específico. No podemos olvidar el ataque sufrido por la red de Sony PlayStation en el que se comprometieron los datos de cerca de 77 millones de clientes. La información robada entonces podría ser usada ahora en correos electrónicos que tuvieran como fin estafar a sus destinatarios.

Aunque hemos visto que no solo existen motivaciones económicas, el dinero fácil seguirá siendo el principal argumento de las actividades ilícitas delos ciberdelincuentes y una de las formas más populares de conseguirlo durante este 2011 fueron los troyanos bancarios. Todo indica que en 2012 nada hará cambiar esta tendencia, si no, más bien todo lo contrario si atendemos al número creciente de usuarios de banca online (en España, el 46,5% de los internautas#). Los troyanos bancarios constituyen pues una amenaza que debe ser tomada muy en serio, especialmente por los usuarios particulares, ya que un ataque exitoso a menudo supone una pérdida financiera significativa para la víctima.

SmartTVs y consolas
Al margen de ordenadores y smartphones, que constituyen las grandes plataformas de conexión a Internet, otros equipos empiezan a conectarse ya de forma habitual desde el salón de cualquier hogar. Nos referimos a televisores y consolas que en principio estaban fuera del campo de acción de los cibercliminales pero que a medida que se convierten en dispositivos conectados pueden empezar a estar en peligro, sobre todo si tenemos en cuenta que por regla general están desprotegidos y carecen de actualizaciones frecuentes.

“2012 estará protagonizado por ataques dirigidos contra todo tipo de organizaciones, con independencia de su tamaño. Las empresas pequeñas a menudo no están conveniente protegidas lo que las convierte en objetivos más sencillos y vulnerables. Los grandes eventos como los juegos Olímpicos o las elecciones presidenciales darán contenido a muchas de la amenazas. Los smartphones con sistema operativo Android se convertirán en centro de muchos ataques a medida. Y si en 2011 el número de amenazas creció de forma dramática, la tendencia se mantendrá en 2012. El malware se consolidará como la mejor arma de los cibercriminales para conseguir dinero, pero también como herramienta de ciberespionaje y hacktivismo”

Confirman tercer ciberataque específico

Las autoridades iraníes confirmaron el domingo 13 de noviembre que algunas de sus instalaciones atómicas han sido infectadas con el troyano Duqu.

Duqu fue detectado el mes pasado y, según numerosos expertos, tiene grandes similitudes con Stuxnet, el gusano que en 2010 desbarató las centrífugas utilizadas para el enriquecimiento de uranio.

El general de brigada Gholam Reza Jalali declaró a la agencia de noticias IRNA que todos los sistemas informáticos de las instalaciones atómicas del país están siendo controlados mediante aplicaciones creadas en Irán para combatir a Duqu.

Reza Jalali indicó que las autoridades están en una etapa inicial del proceso y que se desconoce el número de instalaciones afectadas por Duqu.

Según IRNA, es la tercera vez que el general, que está al mando de la ciber-defensa del país, confirma un ataque específico contra los sistemas informáticos del país.

En abril, Irán reveló que sus sistemas estaban siendo atacados por un malware que internamente denominan “Stars”. Según el general, Duqu es la tercera ola de malware que les afecta.

Al contrario que Stuxnet, Duqu no se propaga, por lo que escapa a la denominación de gusano informático. Asimismo, hasta ahora no se han detectado componentes que saboteen sistemas de control. Sin embargo, distintos expertos han confirmado que Duqu extrae información de los sistemas intervenidos.

Según Symantec, una de las empresas que en las últimas semanas han analizado la nueva amenaza, Duqu puede ser considerado el precursor de un nuevo ataque de tipo Stuxnet. El troyano está diseñado para recabar datos de inteligencia sobre sistemas industriales, y otorgar acceso y control remoto a sus creadores.

Israel y Estados Unidos han expresado grandes preocupaciones de que Irán esté próxima a obtener poderío nuclear. La noticia del ciber-sabotaje contra Irán surge mientras aumentan las advertencias de Israel de un ataque militar convencional contra ese país.

Según se ha constatado, Stuxnet sería un proyecto secreto entre Estados Unidos e Israel, para desbaratar el programa atómico de Irán.

Mediante agujero desconocido en el kernel de Windows

Duqu causó gran interés entre las empresas de seguridad informática por tratarse de una amenaza vinculada directamente al temido gusano Stuxnet, diseñado el gobierno israelí para el sabotaje de sistemas industriales.

El troyano para Windows, Duqu, extrae información de los sistemas infectados, supuestamente para preparar ataques contra terceros. Aunque Duqu funciona de manera distinta al gusano Stuxnet, parte de su código fuente sería idéntica al de Stuxnet, lo que sugeriría la misma autoría.

Hasta ahora se había desconocido la forma en que el troyano logró infectar un número limitado de empresas, que incluye a fabricantes de sistemas industriales de control.

Agujero desconocido en Windows
Los mismos investigadores de la Universidad Técnica de Budapest, que inicialmente detectaron a Duqu, han revelado ahora la forma en que el troyano fue instalado subrepticiamente en los sistemas intervenidos.

El grupo de académicos, denominado CrySys, ha revelado el primer ejemplo concreto, señalando que el código fue oculto en un documento de Word, que aprovecha una vulnerabilidad hasta ahora desconocida en el kernel de Windows, según informa Symantec en un post de su blog oficial, publicado el 1 de noviembre.

Lo anterior implica que el ataque es iniciado enviando un archivo Word infectado a la potencial víctima. Cuando el documento es abierto se instalan los archivos binarios del troyano en el PC.

Symantec ha publicado la siguiente representación gráfica de la instalación del troyano:

Informe de ESET

Tsunami es una variante de un código malicioso para Linux detectado en 2002 cuyo principal objetivo es reclutar equipos Mac para formar parte de una botnet.

ESET, empresa dedicada a la detección proactiva de amenazas, ha reportado la aparición de una nueva versión del troyano Linux/Tsunami, adaptada para atacar sistemas operativos Mac OS. Se trata de una nueva variante de un código malicioso aparecido en 2002 para sistemas operativos Linux que convierte al equipo en integrante de una botnet utilizada para realizar ataques de DDoS (Denegación Distribuida de Servicios), detectada por ESET Cybersecurity para Mac como OSX/Tsunami.A.

Como su predecesor para Linux, Tsunami contiene una lista de servidores IRC (Internet Relay Chat) y canales a los que intenta conectarse. Cuando se acciona, los equipos infectados pueden atacar páginas webs por medio del envío de grandes cantidades de peticiones que sobrecargan los servidores e impiden su funcionamiento, lo que se conoce como un ataque de Denegación de Servicios Distribuido (DDoS).

“Como anticipamos en nuestro informe Tendencias 2011, el malware dinámico – categoría que integra Tsunami – sería una novedad que estaríamos viendo este año. Se trata de códigos maliciosos que comienzan por infectar el sistema para luego, a través de algún acceso remoto al equipo afectado, permitir al atacante utilizarlo para diversas tareas. Es decir, pasan a formar parte de una botnet, red de PCs zombie, que estará a disposición del cibercriminal para efectuar actividades maliciosas”, aseguró Sebastián Bortnik, Coordinador de Awareness & Research de ESET Latinoamérica.

Además, el troyano abre una puerta trasera en el equipo que puede ser utilizada para la descarga de nuevo malware, la actualización del código de Tsunami o, incluso, el control completo del equipo infectado por parte del ciberatacante.

Para más información sobre el descubrimiento de Tsunami para Mac OS puede visitar el Blog de Laboratorio de ESET Latinoamérica: blogs.eset-la.com

Hace apenas unas horas se descubrió además una nueva variante de la amenaza que incluye dos nuevas características. Con la actualización, Tsunami tiene también capacidades para replicarse a sí mismo de modo de asegurar su ejecución en el equipo luego de cada reinicio. Además, dispone de información actualizada del servidor remoto al cual reporta.

“De acuerdo a nuestras investigaciones, probablemente se trate de un código malicioso experimental que se encuentra en proceso de evaluación por parte de los desarrolladores. Seguiremos la evolución del caso para mantener informados a los usuarios”, concluyó Bortnik.

Según BitDefender

Sólo en la última semana los investigadores de BitDefender han descubierto más de media docena de atractivos juegos equipados con troyanos. Los niños son engañados para instalar malware en el PC.

Los estafadores y piratas informáticos son cada vez más propensos a atacar a los niños, muchos de ellos incluso demasiado jóvenes para leer, con una serie de juegos online que los engañan para que instalen software malintencionado en sus PC.

Juegos que invitan a los niños a cuidar gatitos virtuales, o les permiten pintar calabazas y brujas, o “encontrar las diferencias” entre dos imágenes similares, están infectados con malware que podría dar acceso a los estafadores a datos financieros de los padres o permitirles tomar el control del equipo para incluirlos dentro de una red de PC o botnet utilizada con fines delictivos.

“Algunas estafas podría levantar las sospechas de los adultos, especialmente cuando tratan de instalar software en el PC o redirigir a los usuarios informáticos a sitios Web sospechosos “, señala Catalin Cosoi, jefe del laboratorio de amenazas online de Bitdefender. “Así que los estafadores se buscan objetivos más fáciles. Los niños son más fáciles de engañar para que hagan clic en un botón de descarga de gran tamaño y colores vistosos, especialmente, si con ello esperan obtener un juego. Con cinco o seis años, o incluso más, ellos aún no están preocupados por la seguridad informática.”

El problema es que actualmente los niños pasan más tiempo en Internet y los padres a menudo descuidan su supervisión. Una encuesta online de BitDefender muestra que alrededor del 46,6 por ciento de los niños en los EE.UU. y el Reino Unido tienen sus propias cuentas de redes sociales y que el 24,7 por ciento de los padres no supervisa la actividad de sus hijos en Internet. De los 1,649 adultos encuestados, un 44,3 por ciento dijo que sus hijos habían tenido acceso a sitios inadecuados para su edad.

Sólo en la última semana los investigadores de BitDefender han descubierto más de media docena de atractivos juegos equipados con troyanos o que podrían dirigir a los niños a páginas web que instalan software malintencionado capaz de robar información financiera o inyectar spyware en los equipos.

BitDefender ha descubierto malware en varios sitios donde los niños pueden adoptar y criar mascotas virtuales. En una de ellos, el “pincel mágico”, una aplicación que permite cambiar el color de la mascota, fue alterado para llevar a los niños hacia la descarga de malware. Una web italiana para niños también fue hackeada y manipulada para exponer a todos los visitantes a sitios de malware y hasta una web de venta de peluches ha sido manipulada para incluir software malicioso.

En todos los casos, el ataque consistió en atacar páginas legítimas y utilizarlas para distribuir malware. Pero los juegos no son la únicas amenaza online para los niños. Los sitios con materiales educativos y de entretenimiento para niños se han utilizado también para atraer a los menores.

BitDefender aconseja, para proteger a los niños, seguir los siguientes pasos:

Nunca deje a su hijo utilizar el PC con un usuario que tenga permisos de administrador. En su lugar, créele una cuenta limitada con su nombre. Esto evitará que instale aplicaciones, modifique la configuración crítica del sistema o borre archivos del sistema que puedan dañar el equipo.

Use un antivirus: algunos ejemplares de malware han sido diseñados para funcionar incluso en las cuentas limitadas. En este caso, un buen antivirus puede ser la última línea de defensa.

Use un control parental: no todos sitios para niños hackeados llevan a malware. A veces, los ciber-delincuentes redirigen a los niños a pornografía o contenidos violentos.

Más actualidad sobre seguridad informática en el Facebook de BitDefender, en su Twitter y en su nuevo blog en español Malware City

Y exige pago de “rescate”

El troyano pertenece a la categoría de ransomware, malware que “secuestra” al equipo de la víctima hasta que se introduce un código determinado. Para obtener el código, los ciberdelincuentes solicitan a la víctima 100 euros por el “rescate”

PandaLabs, el laboratorio de malware de Panda Security, – The Cloud Security Company – ha descubierto un nuevo troyano del tipo ransomware que simula proceder de Microsoft. El troyano, bautizado como Ransom.AN, alerta al usuario de que su copia de Windows no es legal y amenaza con inutilizar el dispositivo si no se introduce un código específico, el cual, se le facilitará al usuario tras pagar la suma de 100 euros.

Este malware, dirigido específicamente a usuarios de habla alemana, puede distribuirse de múltiples formas, siendo las más utilizadas mensajes de spam y descargas P2P. Tras alertar al usuario de que su copia de Windows no es legítima, le informa de las posibilidades de pago invitándolo a realizarlo a través de una página web maliciosa, donde se le solicitarán los datos de su tarjeta de crédito. Incluso, para incentivar el pago, Ransom.AN amenaza a la víctima comunicándole que la fiscalía ya cuenta con sus datos para tomar medidas si no se realiza el pago antes de que expire un plazo de 48 horas, tras el cual además se perdería toda la información de la PC.

“Este tipo de troyanos son muy peligrosos ya que una vez infectado el equipo, es tremendamente complicado eliminarlo de forma manual, lo que obliga a muchos usuarios a pagar el rescate o formatear la PC”, comenta Luis Corrons, Director Técnico de Pandalabs, que añade: “Además, al simular proceder de Microsoft y amenazar con actuaciones de las autoridades, muchos usuarios creerán lo que dice el troyano y realizarán el pago sin dudarlo, para no buscarse problemas”.

Para estar protegido de esta y otras amenazas, siempre recomendamos contar con una buena protección instalada y actualizada en la PC, como el gratuito Panda CloudAntivirus, que se puede descargar de: http://www.cloudantivirus.com