Continuamos con esta serie sobre el poder de las botnets (y II), en donde nos proponemos mostrarles, a través de noticias e incidentes que se han hecho públicos, las dimensiones del problema de las botnets, y cómo estas pueden afectar a los usuarios.

El caso que les traigo hoy fue una noticia que circuló fuertemente por la web en los últimos meses: una red botnet que se autodestruyó a sí misma. ¿Qué quiere decir esto? Que los 100.000 equipos zombis que, se estimaba, eran parte de la red, recibieron desde el centro de Comando y Control (C&C) una modificación en los registros de Windows, que inhabilita el funcionamiento del Winlogon (el control de usuario y contraseña en el sistema operativo) y, por lo tanto, volvía inoperable el sistema operativo. Al modificar claves del registro específicas, una vez que los usuarios reiniciaban el sistema, el mismo ya no iniciaba correctamente, y era necesaria una reparación o reinstalación del sistema operativo (al menos parcial) para poder recuperar el funcionamiento del equipo.

Un comportamiento auto-destructivo de este tipo no es normal en redes botnets. Su objetivo es, justamente, mantener a los equipos infectados de forma tal de aprovechar sus recursos para fines maliciosos. Entonces, ¿por qué destruiría el administrador de la red, la capacidad de controlar miles de equipos?

A continuación, comparto con ustedes algunas hipótesis que han (y hemos) realizado distintos profesionales e investigadores de la seguridad de la información:

• Esta fue la primer hipótesis que fue publicada por los medios. Al ser el principal objetivo de la red, la recolección de credenciales de acceso bancarias, la teoría indica que los atacantes recopilaron suficiente combinación de usuarios y contraseñas, y posteriormente destruyeron los sistemas operativos de las víctimas, de forma tal que estas no accedan por unos días a sus bancas en línea, y no puedan detectar la pérdida de dinero de sus cuentas.
• Los administradores de la botnet, detectaron actividad de intrusos en la red, y supusieron que esta podía referir a investigadores en seguridad o, peor aún, actividad de autoridades estatales que investiguen los delitos. Ante  la duda, decidieron destruir la red a fin de evitar ser rastreados e identificados.
• La otra alternativa es que efectivamente existía un intruso en la red, pero que no era una autoridad o un investigador, sino otro atacante, o “hacker” que a forma de competencia, o demostración, decidió destruir la botnet.
• La última teoría, que compartió conmigo un amigo profesional de la seguridad, es que también ha de ser posible, que todo haya sido producto del error humano. No hace falta ser un genio para administrar una botnet, y quizás algún administrador cometió un error y desató la autodestrucción de la red.

Cabe destacar que la botnet se correspondía con el paquete Zeus, del cual ya hemos mostrado sus interiores en diversos post en este Blog.

Desde ya, que nuevas hipótesis de nuestros lectores serán bienvenidas a través de los comentarios, así como también las opiniones que el incidente les genere.

Sebastián

Categories: Malware
1 Comment »

Si bien existen muchas estrategias de Ingeniería Social que buscan en todos los casos captar la curiosidad de los usuarios para propagar alguna amenaza, la mayor parte de estas técnicas responden a engaños muy antiguos que son altamente explotados en la actualidad.

Un caso concreto es el siguiente ejemplo, que a través de un correo electrónico spam y tras la fachada de ser emitido desde el sitio web de tarjetas virtuales, www.tuparada.com, invita a los usuarios que lo reciben a que hagan clic sobre alguno de los enlaces que se encuentran incrustados en el cuerpo del mensaje.

Sin embargo, hay una serie de patrones que identifican este antiguo método de engaño:

• Los enlaces son falsos, es decir, no rediccionan la petición hacia la dirección web que figura en el mensaje
• Al hacer clic, el usuario es redireccionado hacia la descarga de un archivo ejecutable llamado postal.exe: el malware.
• El mensaje se encuentra en español, lo cual indica que el objetivo es la comunidad hispanohablante, además de responder a un nivel de personalización del engaño (evolución de la técnica).

A pesar de ser una de las estrategias más antiguas, lamentablemente posee un índice de  efectividad preocupante. En consecuencia, es fundamental capacitarnos en cuanto a las técnicas de propagación/infección, sobre las tendencias del malware y considerar los consejos de los profesionales en cuanto a las acciones preventivas tendientes a ofrecer un mayor grado de seguridad en nuestro entorno.

Jorge

Categories: Ingeniería Social, Malware
1 Comment »

Un nuevo artículo ha sido escrito por el equipo de Educación y publicado en el Threat Center de ESET Latinoamérica.

El informe “Evolución de los bankers” analiza la evolución de los troyanos bancarios incluyéndose una detallada descripción de las modificaciones en su funcionamiento, propiedades y capacidades como un intento de superar las sucesivas barreras de seguridad que las entidades bancarias fueron diseñando frente a la aparición de estos códigos maliciosos.

Teniendo en cuenta que el robo de información de credenciales bancarias es uno de los ataques que más ha aumentado su presencia en los últimos años, consideramos importante que los usuarios estén al tanto, no solo de las últimas tendencias en la materia, sino de sus capacidades para evolucionar acorde a los nuevos escenarios.

El desconocimiento en esta materia, puede llevar a la pérdida de este tipo de datos de acceso y, posteriormente, a la adquisición de dinero accediendo de manera ilícita a nuestras cuentas bancarias por parte de los atacantes.

Como todos nuestros recursos educativos, el mismo está disponible en nuestro sitio web, y puede ser descargado libremente desde aquí.

Sebastián

Categories: Educación, Informes
1 Comment »

En los últimos días hemos reportado nuevos casos de la utilización de Twitter para conseguir dinero fraudulento. Estos corroboran la tendencia en alza de los últimos meses de utilizar la plataforma de micro-blogging para fines maliciosos, tales como envío de spam o propagación de códigos maliciosos.

Para complementar la información que brindamos periódicamente, informando las alertas de amenazas detectadas, quiero dejarles a continuación una guía sobre cómo denunciar casos de este tipo en Twitter. Convencidos de que la educación de los usuarios es un pilar de la seguridad, les dejo esta breve reseña a fin de que puedan involucrarse en la denuncia de este tipo de actividades.

1. ¿Qué debo hacer si recibo un mensaje de un desconocido en Twitter?

En primer lugar, es necesario leer el contenido del mensaje e identificar de qué se trata: si de una publicidad no deseada (spam) o, más peligroso aún, de ataques de Phishing o la distribución de códigos maliciosos. En este último caso, por lo general el mensaje se compone de una frase llamativa (utilizando alguna técnica de Ingeniería Social) y un enlace a un sitio malicioso que infectará al usuario.

Una vez detectado el mensaje como malicioso, no se debe nunca hacer clic sobre el enlace, ya que el usuario puede infectarse por el solo hecho de visitar el destino.

Posteriormente, es necesario verificar el perfil del usuario (http://twitter.com/usuario) y validar que efectivamente se trata de un perfil utilizado con fines maliciosos. Algunas de las características que pueden ayudar a identificar un usuario de este tipo:

• El usuario posee pocos followers (otros usuarios que leen sus contenidos)
• El usuario posee muchos followings (los contenidos que son leídos por el usuario)
• Frecuentemente, el nombre de usuario es aleatorio, una combinación sin sentido de caracteres
• El, o los updates, poseen enlaces

Finalmente, se debe denunciar al usuario en Twitter (ver pregunta 3).

2. ¿Qué debo hacer si recibo un mensaje con contenido malicioso o publicitario de un contacto conocido en Twitter?

Probablemente este contacto, ha sido víctima o bien de un robo de credenciales, o de la explotación de vulnerabilidades web en la plataforma. En cualquiera de los casos:

• No hacer clic en el enlace ya que este puede contener códigos maliciosos
• Avisar al usuario del incidente, preferentemente por otros medios, y sugerir el cambio de claves de acceso a la cuenta

3. ¿Cómo denuncio si un usuario está enviando publicidad no deseada o distribuyendo malware?

Como otros grandes portales de la Web 2.0, Twitter cuenta con la posibilidad de reportar usuarios que estén violando los términos de servicio, como en los casos que se describieron previamente. Para tal fin, si se detecta un usuario de este tipo es necesario denunciarlos iniciando una nueva solicitud desde el Help Desk de Twitter.

Además, para las denuncias particulares de spam, existe una cuenta para tal fin: @spam. Solo es necesario enviar un mensaje a la misma con el nombre de usuario del spammer.

Esperamos que la información les sea de utilidad, y les recomendamos hacer uso de estos recursos de denuncia, para así comprometernos entre todos con la seguridad de la web.

Sebastián

Categories: Educación, Malware, Spam
21 Comments »

En una nueva iniciativa educacional que iniciáramos durante el año 2007, la tercera semana de este mismo mes será foco del Curso a la Comunidad sobre Seguridad Antivirus, destinado a profesionales, alumnos y particulares interesados en la temática, con conocimientos básicos de informática.

En esta oportunidad, el mismo se llevará a cabo en la Facultad regional Tucumán de la Universidad Tecnológica Nacional y las temáticas estarán focalizadas en profundizar todos los aspectos relativos a los problemas ocasionados por el malware y el rol fundamental que en consecuencia ocupa la seguridad antivirus para cualquier tipo de ambiente de información.

Con una duración de 60 hs, en el curso se tratarán, entre otros, temas como:

• La historia del malware
• El papel de la Ingeniería Social en el ciclo de infección
• Clasificación del malware
• Análisis de códigos maliciosos
• Otras amenazas latentes
• Ataques asociados
• Defensa en profundidad
• Laboratorio práctico

El mismo también cuenta con clases de Laboratorio donde cada uno de los asistentes podrá experimentar con el tratamiento de códigos maliciosos, realizando análisis sobre amenazas concretas de manera tal que puedan practicar según lo aprendido en el curso.

Teniendo en cuenta que en Latinoamérica no existe un curso similar que ofrezca capacitación en todo lo relacionado al tratamiento de malware, se transforma en una oportunidad única, de la cual ESET se enorgullece de brindar un nuevo recurso educacional para todos los interesados.

Jorge

Categories: Educación, Eventos
No Comments »