Recientemente el laboratorio de ESET se ha encontrado con diferentes casos de troyanos bancarios que llegan al usuario en forma de postales en castellano y que invitan a descargar un archivo comprimido(.zip).

El caso que nos ocupa se trata de una postal falsa que simula provenir del sitio tuparada.com (sitio legal) e invita a descargar la supuesta postal en formato .zip y que contiene un archivo .exe con un ícono que no se corresponde con la aplicación, tal y como contamos en algunas “formas” que adopta el malware.

A forma de engaño final, una vez ejecutado el archivo, se muestra al usuario una página web para que el mismo crea que todo es correcto y no sospeche.

El creador de este malware (detectado por ESET NOD32 como Win32/TrojanDownloader.Banload.NVGA) depende absolutamente del usuario para que el mismo descargue el archivo comprimido, lo descomprima y ejecute el archivo .exe mencionado.

Si nos dejamos engañar y si nuestra protección antivirus no detecta a tiempo la amenaza, estaremos expuestos a un troyano bancario de amplia repercusión, cuyo objetivo es la recolección de datos para la realización de fraudes.

¡No se deje engañar por delincuentes! Desconfíe de estas tarjetas virtuales, utilice el sentido común y una protección proactiva en todo momento.

Cristian

Categories: Malware
3 Comments »

Entre los profesionales que se encargan de seguridad antivirus existe una larga discusión en torno a si los packers deben ser detectados por los productos AV o no.

La realidad de este asunto es que las empresas AV pueden llegar a tener problemas de diferentes índoles (como legales por ejemplo) por detectar como maliciosos algunos programas de este estilo, Themida por ejemplo.

Cabe aclarar, para aquellos que no sepan que son los empaquetadores (packers), que este tipo de programas básicamente poseen como objetivo “comprimir” los archivos ejecutables.

Si alguna vez, algún lector, intentó comprimir un programa con aplicaciones como WinZip o WinRAR, se habrá dado cuenta que la compresión es mínima y en algunos casos hasta aumenta el tamaño del archivo “comprimido”.

Entonces, los packers son utilizados por los desarrolladores para disminuir el peso de sus aplicaciones, por ende son programas útiles (y no dañinos) en muchos entornos y situaciones; sin embargo, es aquí donde la línea entre la intencionalidad maliciosa y la no maliciosa se torna demasiado finita, ya que la gran variedad y mayoría del malware actual utilizan algún programa empaquetador.

Y hasta en algunos casos, los empaquetadores poseen capacidad de configuración que permite a los creadores de malware lograr que sus códigos maliciosos detecten cuando están siendo ejecutados en entornos controlados, es decir, en máquinas virtuales, dificultando así su análisis.

Pero dejemos por ahora esta discusión al libre albedrío y veamos una simple estadística generada por nuestro laboratorio a través de la colección de muestras que poseemos, donde podemos observar aquellos programas empaquetadores más utilizados por malware actual.

Como se puede apreciar, uno de los packers más utilizados es UPX (Ultimate Packer for eXecutables) que dentro de esta “torta” se lleva el 28%, tal vez, el hecho de ser un programa gratuito sea el motivo por el cual es uno de los más elegidos por los creadores de malware.

Y seguido por debajo de la mitad (con el 12%) comparten el podio Themida y PECompact (ambos pagos).

Jorge

Categories: Estadísticas, Malware
1 Comment »

Algunas personas están hablando acerca de una técnica llamada “whitelisting” como si fuese el caballero montando al caballo blanco a punto de salvar al mundo. Esto es así… en las novelas de fantasía.

Creo tener algo de experiencia cuando se habla de whitelisting. Fue mi trabajo en Microsoft por más de siete años. Mi trabajo era asegurarme que Microsoft no lanzara ni firmara digitalmente ningún código malicioso. ¿Como hacía eso? Usaba mucho, como sabrán, software antivirus. Utilicé ESET NOD32 Antivirus para contar con la mejor detección de amenazas desconocidas que nadie había visto antes y de las cuales no había firmas actualizadas.

Esta es la historia del club de fans de Whitelistening. Los antivirus no pueden protegernos de nuevas amenazas para las que no hay firmas. Whitelistening sólo permite ejecutar programas conocidos, para prevenir ataques de los cuales no se tiene conocimiento.

Para empezar, ESET NOD32 Antivirus detecta y bloquea amenazas desconocidas desde hace ya varios años. Utilizamos, como muchas empresas de AV, una técnica llamada “Heurística” que nos permite identificar amenazas desconocidas, a pesar de no estar en las firmas. El fans club de whitelist no ha mirado a ninguna tecnología antivirus desde que Windows 95 era un sistema totalmente nuevo.

Whitelistening no sólo nos permite ejecutar únicamente programas “benignos”, sino que también nos permite ejecutar cualquier programa que nosotros definamos como “benigno”. Si definimos un programa malicioso en una whitelist, el mismo se va a ejecutar y realizar acciones malignas, sin importar si el producto puede detectarlo ya sea por heurística o por base de firmas.

Hay varios tipos y formas de whitelistening, realicemos un vistazo:

Las firmas digitales están desarrolladas para hacer whitelist en programas y sitios web. La idea es que, si un programa o sitio web está firmado digitalmente por una fuente confiable y tiene un “certificado de autoridad”, entonces se puede usar tranquilamente el programa o sitio web. Microsoft usa firmas digitales para sus archivos ejecutables. Si el archivo cambia, el certificado digital se rompe, por lo tanto, usted no lo va a ejecutar. Si se confía en certificados equívocos, puede ser un problema. Este es uno de los ataques contra este tipo de white list.

Incluir sitios web en la lista puede ser otra solución para la seguridad. La idea es que usted solamente navegue en sitios conocidos y definidos como “benignos”. Esto no tiene nada que ver cuando un sitio “benigno” y conocido es hackeado, como ocurrió con el sitio de Miami Dolphins, en el último Super Bowl. Los hackers colocaron un exploit en el sitio, del cual se descargaba un troyano que comprometía el equipo de los usuarios.

Hay miles de sitios web conocidos y supuestamente benéficos que han sido comprometidos. MSN, Tomshardware.com, y recientemente Monster.com, todos sitios de alto tráfico, y de buen perfil, sitios “benignos” que probablemente se encuentren en este tipo de white list.

Incluir programas ejecutables en la lista, es otro tipo de whitelist. Algunos piensan que es la salvación. Incluso si no se agregan sitios web a la whitelist, el programa que intenta descargarse no se ejecutará porque no se encuentra en la misma.

La forma obvia de sobrepasar esto, es usando un exploit que modifique un proceso en memoria. No hay necesidad de utilizar ningún archivo y la técnica es utilizada por rootkits y otras amenazas que son capaces de deshabilitar cualquier software de seguridad, como pueden ser antivirus, firewalls, programas de white listing, y probablemente cualquier otro software similar.

¿Cómo hacen las compañías para agregar programas a la white list? Utilizan mucho software antivirus. Las aproximaciones usadas para el whitelisting son imperfectas, basándonos en que no verifican si un programa es benigno, verifican que están confiando en la fuente que les dice que ninguna amenaza ha sido encontrada en el programa. La única forma de saber que un programa es realmente benigno es accediendo al código de fuente del mismo y observarlo, o descompilarlo e ir verificando por el archivo entero para ver qué es lo que está realizando realmente. Esto no es realizado por las compañías de whitelisting y no puede ser realizado por ellos. Es por ello que estas empresas recaen en confiar en la fuente y terminan utilizando software antivirus.

En la práctica, los programas malignos están en la whitelist todo el tiempo. ¿No llamaríamos nosotros “maligno” a un programa con una seria o critica vulnerabilidad? Por supuesto que si, pero todos los programas, como Acrobat, Quicktime, y los sistemas operativos de Microsoft, Apple, Linux y otros, estarían listados. El problema es que no podemos parchear estos programas hasta que el parche esté listado. ¿Nos quedamos con el archivo inseguro listado o lo eliminamos? En algunos casos, las compañías podrían querer seguir usando el archivo imperfecto por una razón legítima de negocios, pero si no se encuentran en la whitelist, entonces necesitarían crear exclusiones y quitar las mismas.

La enorme cantidad de nuevos programas desarrollados día a día, que son genuinos y benignos, hacen que mantener una whitelist sea una tarea que requiera mucha atención y por sobre todo, tiempo y dinero.

Whitelisting puede ser una valiosa adición en una estrategia de defensa profunda, pero no es una completa defensa.

¿Podría imaginarse diciéndole a alguien, que como los airbag le agregan seguridad a los autos, no se necesita más el cinturón de seguridad? Bueno, la persona que le dice que el whitelisting reemplaza a los antivirus, es como un airbag llamando obsoleto a un cinturón de seguridad.

Randy Abrams
Director of Technical Education

Categories: Educación, Informes, Productos
2 Comments »

Durante estos días se ha estado desarrollando en Buenos Aires, Argentina el Workshop de ESET Latinoamérica con los Distribuidores de todos los países en los que tenemos presencia.

El objetivo del mismo es dar a conocer los próximos pasos en materia de Seguridad Antivirus en lo que a ESET corresponde. Desde nuestro area técnica se realizaron distintas presentaciones de los nuevos productos ESET Smart Security RC, ESET Linux Security Beta y ESET Remote Administrator 2.0 Beta

Además se realizó un compendio de lo realizado por el Laboratorio de ESET Latinoamérica así como los resultados obtenidos en área de Educación, artículos desarrollados, investigación y tendencias.

No nos queda más que agradecer el trabajo realizado por todo el grupo de ESET Latinoamérica y a todos los Distribuidores por el arduo trabajo realizado durante el año y en estos días en especial.

Cristian

Categories: Eventos
1 Comment »

Muchas veces nos suelen consultar si lo que contamos sobre la heurística puede “verse” en forma práctica. Debo reconocer que el concepto es bastante abstracto por lo es necesario recurrir a un par de capturas para demostrar que “esto” es real.

En esta primera captura se aprecia como un archivo dañino es detectado por heurística:

Y en esta otra, como no se necesito actualizar la base de firmas, evitando tener que darle un nombre al malware.

Como puede verse ESET NOD32 detecta la amenaza como “Probablemente desconocida”. Esto se traduce en que:

• no se necesita conectar con un servidor de la empresa para descargar actualizaciones innecesarias
• son utilizados menos recursos porque la bases de firmas es menor
• menos consumo de ancho de banda
• el laboratorio no tienen necesidad de analizar el malware específicamente, sin la consecuente pérdida de tiempo que esto puede acarrear
• lo más importante: no se necesitó una firma del malware para que el mismo fuera detectado, por lo que el usuario estuvo siempre protegido desde antes que apareciera la amenaza.

La heurística siempre ha estado presente en ESET NOD32, sólo hacía falta verla. Espero haber ayudado.

Cristian

Categories: Heurística
No Comments »