Los creadores de malware son delincuentes y sin duda ganan mucho dinero realizando su trabajo. Además, deben buscar nuevas formas de burlar a las herramientas de seguridad para así, mantener sus ingresos tan altos como siempre.

En el día de hoy he visto un script desarrollado en Javascript que utiliza criptografía “fuerte” para ocultar su código dañino. En este caso se utiliza el método Rijndael (estándar AES de cifrado desde 2001) para que todo lo que llegue al cliente lo haga en forma cifrada y el antivirus no sea capaz de identificar el código dañino. Es importante remarcar que el código fue escrito por otra persona, publicado en Internet y modificado por los creadores de malware (técnica muy común hoy en día):

Actualmente este código Javascript es detectado por algunos pocos antivirus (entre ellos ESET NOD32) como JS/TrojanDownloader.Psyme.NDI.

Este código de aproximadamente 8.000 caracteres, no es tan sencillo como el analizado al desofuscar un TrojanClicker, y si bien el método puede parecer novedoso y sumamente inteligente la verdad es que sirve de poco, ya que el mismo se puede descifrar y como resultado siempre se tendrá un script (de pocos bytes) que explota una vulnerabilidad conocida que descarga y ejecuta un malware en el equipo del usuario:

El cerebro de estas personas está ocupado todo el día en encontrar nuevas alternativas y en este caso la misma fue descargar un código desarrollado por otra persona y aplicarla a la descarga de un malware.

Estas personas ahora son delincuentes que han desperdiciando su vida intelectual a cambio de dinero y por eso se ven en la necesidad de copiar las creaciones de otros para aprovecharlas en beneficio propio, en vez de utilizarlos en buena ley.

Cristian

Categories: Malware
5 Comments »

Luego de informar sobre malware a través de archivos MP3, que mejor forma de mostrarles cómo funcionan este tipo de amenazas que con un nuevo Video Educativo.

En el mismo se muestran cómo, con el sólo hecho de abrir un archivo MP3 con el Reproductor de Windows, podemos resultar infectados con diferentes tipos de troyanos.

Espero disfruten de esta nueva creación de ESET Latinoamérica.

Cristian

Categories: Multimedia
No Comments »

En las últimas horas nuestro Laboratorio ha encontrado archivos MP3 (sí, no leyó mal) que se están utilizando para descargar malware desde distintos servidores.

Los archivo MP3 son modificados especialmente para permitir que cuando el archivo es reproducido con el reproductor Windows Media Player, descargue un troyano Downloader que ESET NOD32 detecta como Win32/TrojanDownloader.Small.OCY. Para realizar esta acción se vale de distintas funciones propias del reproductor de Windows, por lo que este mecanismo no funciona en otros reproductores de sonido.

Al abrir el archivo MP3, se comienza a reproducir normalmente, pero luego de unos segundos, se nos informa de la descarga automática de un archivo ejecutable que en este caso es un troyano:

Si se observa el tráfico de red podrá verse la conexión a servidores relacionados históricamente con adware y spyware muy populares, además de la descarga del troyano que se ve en esta imagen:

Si se descarga y ejecuta este supuesto codec, resultaremos infectados con el troyano downloader mencionado que procederá, a su vez, a descargar otros archivos dañinos al equipo.

En nuestro caso, ESET NOD32 también detecta los archivos MP3 modificados como WMA/TrojanDownloader.GetCodec.D. Esto evita la propagación de cualquier tipo de amenaza futura que aproveche esta técnica para propagar otros malware similares.

Archivos PDF, SWF, XPI, MP3… ¿Qué más necesitamos para darnos cuenta de que el malware está en todas partes?

Cristian

Categories: Alertas, Malware
11 Comments »

En las últimas horas, nuestro Laboratorio ha descubierto la diseminación de un código malicioso que como argumento simula provenir de la prestigiosa cadena de noticias BBC News, pero en realidad sus enlaces conducen a sitios web vulnerados de Latinoamérica.

En esta oportunidad, y como es costumbre en el malware actual, la amenaza intenta llegar hasta los usuarios a través de un correo spam cuyo argumento engañoso se basa en que el mismo permite, supuestamente, visualizar videos gratuitos de diferentes celebridades.

Además de simular provenir desde la BBC News, en el cuerpo del mensaje también podemos leer que involucra a la empresa Microsoft. Como de costumbre esta amenaza es detectada y bloqueada por ESET NOD32 a través de su motor de Heurística Avanzada.

Jorge

Categories: Alertas, Malware, Spam
1 Comment »

En el día de ayer, haciendo mi recorrida diaria por el correo basura de mi bandeja de entrada, me encontré con alrededor de 50 correos con distintas promesas de famosas desnudas. No fue ninguna sorpresa que cada uno de ellos contenga un enlace a sitios de falsos videos pornográficos que terminan descargando el gusano Nuwar.

Luego de revisar la mayoría de ellos, terminé encontrando un caso interesante: se ingresa a un sitio conteniendo el acostumbrado reproductor de video falso y se comienza a descargar un archivo ejecutable (que ESET NOD32 detecta por heurística como variante de Nuwar). Pensando que era un caso como cualquier otro visualizo el código fuente de la página comprometida y encuentro lo siguiente:

Se intenta descargar tres veces desde el mismo servidor un archivo ejecutable y un archivo PHP. Esto es lo extraño del caso: si se intenta ingresar a esa página PHP, el servidor ha sido configurado para no devolver ningún resultado e informar que la página no se encuentra:

Con esto los creadores del malware logran pasar desapercibido más tiempo y que su amenaza no sea detectada por las empresa antivirus.

En cambio, al ingresar al sitio normalmente, como cualquier usuario, el script PHP se ejecuta y comienza a aprovecharse de distintas vulnerabilidades en el sistema para intentar descargar el archivo ejecutable a como dé lugar, con la correspondiente infección por parte de quien visita la página.

A continuación se pueden ver las detecciones de cada una de las amenazas por parte de ESET NOD32:

Es decir, se intentó con cada vulnerabilidad del sistema operativo y de las aplicaciones instaladas. En este caso, como el sistema era vulnerable, se descargaron 5 variantes de Nuwar y un Win32/TrojanDownloader.

Todas ellas fueron detectadas sin problemas por ESET NOD32 pero si  me hubiera encontrado desprotegido, ahora estaría infectado.

Cristian

Categories: Educación, Malware
No Comments »