Los problemas de infección por gripe porcina no sólo se limitan a la vida social de las personas sino que también captó la atención en los internautas para infectar sus equipos a través de Ingeniería Social. Sin lugar a dudas, mayo se caracterizó por este y otros temas en materia de malware, que a continuación resumimos.

• El lanzamiento del flamante sucesor de Windows Vista, Windows 7, ha acaparado la atención de muchos. Esto generó un buen pretexto para propagar malware aprovechando el entusiasmo de muchas personas que están a la espera de este sistema operativo, dando lugar a la aparición, durante la primer semana del mes, de una versión “troyanizada” de Windows 7; es decir, una copia fraudulenta, cuya descarga se realiza por redes P2P y sitios web no oficiales.
• También, durante los primeros días del mes, aparecieron casos mediante los cuales a través de archivos PDF se explotan vulnerabilidades en los equipos, llegando a los usuarios simulando poseer noticias en torno a la gripe porcina, o sitios web maliciosamente creados para promocionar supuestas curas para la gripe a través de técnicas Black Hat SEO, como las que también utiliza Waledac.
• Otra amenaza en constante crecimiento son las botnets, donde cada vez son más los paquetes crimeware que surgen y que permiten una fácil administración vía web. En este sentido, durante este mes se dectaron algunas como AdPack y ZeuS, ampliamente explotadas en la actualidad; y la demostración del poder de las  botnets.
• Las redes sociales continúan siendo focos de infección, al igual que el empleo de los nombres de las redes sociales más populares para propagar códigos maliciosos como el caso de las falsas postales de Hi5, mediante la cual se propaga el malware identificado por ESET NOD32 como Win32/Qhost.NJP (un troyano diseñado a realizar ataques de phishing a través de pharming local).
• Cómo es habitual en el malware, las formas de engaño forman parte esencial en las estrategias de infección, y día a día casos como los supuestos videos de Rihanna que propagan rogue y adware, las falsas páginas de YouTube que propagan un falso Flash Player, que es en realidad el troyano Win32/AutoRun.Qhost.M, o la vuelta de Koobface, son ejemplos concretos.
• El correo electrónico sigue siendo uno de los vectores de propagación más utilizados con metodologías de infección similares a las mostradas con los supuestos correos de Western Union con malware.

Cómo lo hacemos todos los meses, este post intenta resumir lo sucedido durante el mes en materia de malware; sin embargo, les recomiendo la lectura de nuestro Ranking de propagación de amenazas, nuestro informe de amenazas de Mayo y demás recursos de información que pueden encontrar en nuestro sitio web.

Jorge

Categories: Informes, Reportes mensuales
6 Comments »

Uno de los falsos mitos respecto a los códigos maliciosos, es que para desarrollar uno de estos, es necesario ser un genio en la programación, un “loco” de las computadoras y la seguridad, un ser con muchas capacidades para escribir códigos capaces de propagarse por la red y causar daños a las computadoras de cientos, o miles de usuarios.

Aunque es cierto que en la actualidad es importante el nivel de profesionalismo de los creadores de códigos maliciosos (que desaprovechan su cerebro), y que estos han mejorado sus técnicas y características; la realidad es que también existen muchos amateurs desarrollando este tipo de aplicaciones. Y algunas de sus creaciones llegan a los usuarios y a nuestro Laboratorio.

Uno de los códigos malicioso en cuestión, detectado por ESET NOD32 como VBS/KillFiles.C troyano, llega al usuario enmascarado como una imagen de Maradona, bajo los nombres de archivo “Maradona Foto“, “Shakira Foto” y “Mi foto“, siendo ocultada en cualquier versión de Windows instalada por defecto, la extensión del tipo .vbs (de Visual Basic, el lenguaje de programación utilizado).

Como les mencionaba, no es necesario ningún procedimiento muy complejo para conocer qué intenciones tiene el código malicioso. No hay que desempaquetar el archivo, no hay ningún código ofuscado, ni nada por el estilo. Solo es necesario abrir el mismo, ¡con un bloc de notas!

Así de fácil, podremos conocer mucha información sobre el creador, y el código malicioso, tal como:

• El supuesto lugar de residencia del creador, y su compromiso con la justicia social (FuenteAlba fue un maestro argentino, que fue asesinado por la policía en una manifestación de docentes en la ciudad de Neuquen, Argentina)

  

• El archivo se copia a sí mismo y se modifica el registro de Windows para ejecutarse en el próximo inicio de sesión

  

• El código chequea todas las unidades disponibles y almacena todas las carpetas disponibles

  

• Para cada carpeta almacenada previamente, se llama a una función BORRAR()

  

• La función elimina todos los archivos que posean alguna de las extensiones indicadas, y crea un archivo TXT indicando que “los archivos originales fueron destruidos”

  

Aunque la amenaza no es de gravedad (el código está pobremente desarrollado y el archivo no puede ejecutarse en la mayoría de los sistemas), la realidad es que el autor lo liberó en Internet como troyano, lo que demuestra que está “jugando” con la creación de archivos dañinos.

Como verán, todavía quedan algunos “programadores” desarrollando códigos maliciosos sólo con el fin de molestar.

Sebastián

Categories: Curiosidades, Malware
8 Comments »

En muchos seminarios, algunos de los asistentes me dicen que utilizan sistemas GNU/Linux porque “solucionan todos los problemas generados por el malware” debido a que “no existen códigos maliciosos para estas plataformas”; incluidos sistemas Mac/OS.

La realidad actual en torno al problema del malware a nivel global marca una tendencia en cuanto al desarrollo de programas dañinos orientados exclusivamente a plataformas no Windows; siendo su fundamento más directo, la cada vez mayor utilización de estas plataformas tanto a nivel hogareño como a nivel corporativo. Si bien se refleja un gradual aumento en cuanto al uso de estos sistemas, no significa que las plataformas de Microsoft serán reemplazadas ni que desaparecerán los códigos maliciosos desarrollados para Windows.

La cuestión es que los códigos maliciosos en plataformas GNU/Linux o Mac/OS (basada en BSD) no son novedosos, de hecho el primer gusano de la historia del malware fue el gusano de Morris (cuya propagación se produjo al explotar una vulnerabilidad en sendmail), y son muchos los antecedentes que encontramos a lo largo de la evolución misma de los códigos maliciosos.

Muchos de ellos fueron seguidos de cerca desde nuestro Laboratorio y, casos como “Psyb0t, infección en ¡routers!, ¡módems! y ¡Linux!” y “Elige tu malware para Windows o Mac” son ejemplos concretos que dejan en evidencia la necesidad de también proteger estos entornos. De todos modos, para desmitificar aún más la creencia errónea sobre la no existencia de malware para otras plataformas que no sean Windows, les muestro una captura con códigos maliciosos desarrollados para GNU/Linux encontrados en un servidor.

Como podemos apreciar, cada uno de los archivos extraídos del sistema GNU/Linux fue explorado con ESET Smart Security con los resultados que podemos ver en la imagen. Los códigos maliciosos que detectó la solución de ESET son:

• Linux/Rootkit.Agent.N
• Linux/Rootkit.Agent.Q
• Linux/Hacktop
• Linux/Lion
• Linux/Sniffer.Sysniff
• Otras variantes

Cada uno de estos códigos maliciosos (troyanos y gusanos) constituyen herramientas que le permiten al atacante esconder las actividades maliciosas, en este caso llevadas a cabo en el servidor de archivos (Linux/Rootkit.Agent); propagarse por cada nodo de la red con plataformas GNU/Linux, incluidos otros servidores (Linux/Lion), realizar escuchas en la red (Linux/Sniffer.Sysniff); entre otras actividades intrusivas.

Lamentablemente la tendencia en el desarrollo de malware para plataformas GNU/Linux y MacOS, o multiplataformas (capacidad de detectar en qué sistema operativo se esta ejecutando), irá en aumento en relación directa con la masividad de uso por parte de los usuarios.

Jorge

Categories: Malware
7 Comments »

Luego de haber compartido mi experiencia con una scammer rusa, nos encontramos nuevamente con casos que confirman la tendencia: el amor y las mujeres son una de las vías más utilizadas para engañar a los usuarios y obtener su dinero.

En este caso, se trata de estrategias similares de engaño:

• A través de spam (principalmente), se van capturando las víctimas para enlazarlas al sitio web
• Estas reciben correos de chicas que desean conocer hombres
• Finalmente, se presenta un enlace al sitio web

A diferencia del caso anterior, donde se utilizaba un sitio web del estilo de una red social, y donde se cobraba al usuario para poder visualizar los mensajes dentro de la red; en esta ocasión se trata de una visión un poco más profesional: una empresa dedicada a armar parejas (incluso, el correo de admisión indica que poseen un 95% de éxito entre los usuarios registrados):

Aunque llegamos al sitio nuevamente por estas chicas rusas, que aparentemente están desesperadas por nuevos hombres; se puede observar que el sitio también está disponible para Ucrania, China… ¡y Argentina!

El sitio es siempre el mismo, y solo se realizan leves modificaciones de interfaz: el logo, los números telefónicos, las fotos y nombres de las chicas en portada, y otros (mirando la imagen, ¿en China atiende el teléfono una mujer de esa nacionalidad?).

Esta técnica se denomina Dating-Scam y se está utilizando con una notoria mayor frecuencia en lo que va de este año.

¿Cómo obtiene este sitio nuestro dinero? En primer término, para poder contactar con las chicas, nuevamente es necesario “comprar crédito” que habilita al usuario a poder enviar mensajes y correos a las “candidatas”. Además, en este caso el portal posee diversos productos y servicios para ayudarnos a conquistar:

Sea cual sea el servicio que la víctima pague, todo se trata de un engaño para obtener dinero, y se van acrecentando los casos de usuarios reclamando en la web (en foros y sitios web) respecto a estos sitios web. Tal es el caso de un joven canadiense de 27 años, que registró toda su experiencia en un sitio web. En primer término, el muchacho invirtió cientos de dólares en el envió de correos durante 6 meses a través del sitio web, más el envió de regalos (chocolates, flores) para una mujer ucraniana que supuestamente estaba enamorado de él. Incluso llegó a concretar un viaje donde la empresa le cobró miles de dólares que incluían una traductora inglés-ruso que los acompañó durante 7 días en Ucrania, y dónde lograron que el joven gaste otros tantos miles de dólares en regalos, cenas, etc. Finalmente, el muchacho volvió a su país seguro que había conseguido una pareja con quién casarse (que se había rehusado durante 7 días a besarlo); aunque luego del viaje, nunca más pudo contactarse con ella.

Lo interesante de estos casos, es que las personas creadoras de estos sitios de dating-scam, no tienen necesidad alguna de “esconcerse” u ocultar su accionar: ante cualquier reclamo de un usuario (que finalmente no pudo localizar a su futura pareja y concretar un encuentro), estos delegan la responsabilidad sobre esta persona (que no existente), ya que el sitio siempre deja en claro que los usuarios poseen “el derecho de no encontrarse o interactuar con el otro”.

Además, puede observarse el nivel de profesionalismo y dedicación utilizado para engañar a los usuarios y obtener su dinero. La contratación de personal (¿actores?) en distintos países, los regalos, los traductores, una oficina, y otros.

Como entenderán, por el momento, para conseguir pareja, todavía es mejor hacerlo personalmente.

Sebastián

Categories: Alertas, Ingeniería Social
3 Comments »

Como he mencionado en un post anterior, ZeuS (o Zbot) representa una de las botnet con mayor actividad de la actualidad formando parte del conjunto de aplicativos crimeware que permiten su administración vía web a través de una interfaz.

Sus diferentes módulos de ataque, escritos en PHP, le permiten al botmaster (o a cualquiera de los personajes que alquilan la botnet, como por ejemplo un spammer)  llevar a cabo diferentes actividades de índole delictiva y propagar diferentes códigos maliciosos que colaboran con los ataques; siendo uno de los más activos, los ataques de phishing.

El Kit de este crimeware, ya posee una serie de archivos escritos en html donde cada uno de ellos es la clonación de la página web de diversas entidades bancarias, que ZeuS clasifica de acuerdo al idioma. Es decir, dentro de su estructura encontramos carpetas que alojan cada phishing en idioma español, inglés, ruso (este crimeware proviene de Rusia) y en algunos casos alemán dependiendo de la versión del Kit, listos para ser propagados por el ciberdelincuente.

La siguiente captura muestra el phishing a dos conocidas entidades bancarias:

Las posibilidades fraudulentas que ofrece la botnet son más amplias y no sólo posee clonaciones de páginas de entidades bancarias sino que también de compañías que ofrecen servicios a través de Internet. Entre las que forman parte de la nómina se encuentran:

• gruposantander.es
• finanzportal.fiducia.de
• bankofamerica.com
• bbva.es
• bancaja.es
• online.lloydstsb.co.uk
• bancopopular.es
• ebay.com
• us.hsbc.com
• e-gold.com
• paypal.com
• usbank.com
• citizensbankonline.com
• extranet.banesto.es
• citibank.de
• bancoherrero.com

Además, este crimeware propaga diferentes códigos maliciosos diseñados para realizar diferentes actividades delictivas.

Sin embargo, los usuario de ESET NOD32 pueden quedarse tranquilos ya que, gracias a la Heurística Avanzada de ESET, todos los códigos maliciosos propagados por esta amenaza son detectados.

Jorge

Categories: Malware
1 Comment »