Julio se caracterizó por la detección de altas tasas de propagación de diferentes códigos maliciosos a través de múltiples vías de comunicación entre usuarios, principalmente correo electrónico, mensajería instantánea y redes sociales.

• A principios de mes, el troyano Waledac dio nuevamente que hablar debido a la inminente reactivación de su botnet.  Mayormente, su propagación se dio por correos electrónicos que, aprovechando como excusa el día de la independencia de EEUU, contenían mensajes alusivos a este festejo que incitaban al usuario a abrir el correo y concretar así, la infección de su equipo.
  La botnet creada por Waledac tiene como principal objetivo el envío masivo de spam. Al respecto, hemos preparado un informe en el que se detalla la cantidad de correos no deseados que suele enviar un equipo infectado (zombi) por esta amenaza. Incluso, cada día aparecen nuevos aplicativos crimeware diseñados para controlar y administrar equipos zombis que forman parte de las botnets.
• Otras amenazas también emplearon el correo con diferentes estrategias de engaño, entre las que se destacan: una nueva modalidad que emplea imágenes para atraer la atención de los usuarios,  la clásica técnica de adjuntar un archivo con un nombre asociado al mensaje  y la cada vez más habitual propagación de spam a través de Google Group.
  Aunque se están implementando más controles para filtrar el spam, no deja de ser un grave problema para la seguridad de nuestros entornos que requiere la implementación de buenas prácticas de prevención.
• Noticias como los recientes fallecimientos de Michael Jackson y de Marco Antonio Gallego o el estreno de la película Harry Potter, dan testimonio del uso masivo de la Ingeniería Social; al igual que el empleo de páginas de warez con formato de blog creadas maliciosamente para propagar malware.
• Las redes sociales siguen siendo motivo para el malware. En este sentido, se ha propagado una nueva variante del gusano Koobface que intenta infectar los equipos de quienes habitualmente  hacen uso de ellas. Esta variante es detectada por ESET NOD32 como Win32/Koobface.NBY.
• El malware tipo rogue continúa logrando altas tasas de propagación y nuevas variantes circulan por Internet con demasiada impunidad, motivo por el cual hemos publicado una nueva lista de los rogue aparecidos últimamente.
• Por último, durante este mes también se detectaron variadas técnicas de daño que incorpora la familia de malware Win32/VB y la utilización de troyanos para controlar sistemas remotamente.

Estas son las novedades más relevantes que a lo largo del mes hemos ido informando a través de nuestro Blog de Laboratorio. Además, para obtener mayor información sobre el malware actual, desde ESET ofrecemos alternativas educativas como nuestra Plataforma Educativa, Videos Educativos y otros recursos con los cuales fomentamos la educación de los usuarios.

También, pueden encontrar el detalle de los códigos maliciosos más detectados del mes a través de  nuestro Ranking de propagación de amenazas de julio y en el informe de amenazas publicado en el Centro de Prensa.

Jorge

Categories: Reportes mensuales
5 Comments »

Hay ciertos mitos respecto a la seguridad, y uno de ellos es el mito del 100% de seguridad; lamentablemente muchas veces motivado por el mismo mercado, y los mismos protagonistas y hacedores de los productos.

Tal es el caso de Linus Upson, Director de Ingeniería de Google, quién declaró en una entrevista para New Scientist, respecto al futuro sistema operativo Chrome OS:

“We are completely redesigning the underlying security architecture of the OS so users don’t have to deal with viruses, malware and security updates. It should just work.”

“Estamos rediseñando completamente la arquitectura de seguridad del sistema operativo, por lo que los usuarios no tendrán que preocuparse por virus, códigos maliciosos y actualizaciones de seguridad. El sistema simplemente funcionará”

Upson no es el primero en aventurar este tipo de pronósticos, y solo fue el disparador para compartir con ustedes estas líneas, que no tienen al Director de Ingeniería de Google como destino, sino a todo aquel que haya querido aventurar un futuro libre de peligros.

De hecho, es una de las consultas que más recibimos en nuestros seminarios y charlas: “¿ustedes detectan el 100% de los virus?”

Presentado el panorama, les contaré los motivos principales que responden a la siguiente pregunta: ¿por qué no podemos asegurar un 100% de seguridad?

El aspecto más importante refiere a las amenazas desconocidas. Es decir, en cualquier ámbito de la seguridad habrá una serie de amenazas que pueden presentar riesgos para el usuario (el activo a proteger). Sin embargo, de todas las amenazas existentes claramente existirán aquellas que se conocen (que ya fueron detectadas y estudiadas) y aquellas desconocidas (nuevas amenazas que surgen día a día). La realidad, es que el 100% de seguridad se puede asegurar solo para las amenazas conocidas, e incluso este es un escenario ideal (porqueque supone que se conocen todas las amenazas ya existentes). Pero es imposible conocer si se detecta algo que no se conoce. Y es demasiado optimista presumir que:

• no existen amenazas desconocidas, o
• detectaremos el 100% de las amenazas desconocidas, o
• no es posible que aparezcan nuevas amenazas

En resumen, para asegurar a los usuarios un 100% de seguridad, tiene que existir alguna de las tres presunciones antes listadas.

En el caso de la última alternativa, negar la probable aparición de nuevas amenazas que puedan no ser protegidas; lamentablemente es subestimar a los “chicos malos”, a los creadores de códigos maliciosos. Estos, han demostrado en muchas oportunidades sus capacidades para la creación de nuevos vectores de ataques.

Por citar solo un ejemplo, les recuerdo nuestro artículo Evolución de los Bankers, donde describimos la evolución de los troyanos bancarios. ¿Qué hubiera pasado si, luego de la creación de los teclados virtuales, el gerente de seguridad de un banco hubiera dicho a sus clientes: “Ahora, ya no tienen de qué preocuparse”? Para aquellos que aún no han leído el artículo, este gerente hubiera necesitado pedir disculpas, ya que los teclados virtuales, protegían solo de las amenazas que se conocían hasta el momento. Posteriormente, surgieron otras alternativas que podían vulnerar la seguridad que brindaban originalmente los teclados virtuales.

Espero que en estas breves palabras haya podido reflejar el por qué de nuestra insistencia desde ESET Latinoamérica en mantener la transparencia y la verdad como pilares de la comunicación en materia de seguridad. Caso contrario, lo que se logra es confundir a los usuarios, nada más alejado de la seguridad.

Como siempre, sus consultas serán bienvenidas.

Sebastián

Categories: Educación
6 Comments »

Una de las estrategias de Ingeniería Social más utilizadas por los creadores de códigos maliciosos, es la utilización de temáticas de actualidad para llegar a los usuarios. De esta forma, estos son más vulnerables a hacer clic en lugares indebidos, o a caer en la trampa del malware.

Tal es el caso de Harry Potter, que luego del lanzamiento de la sexta película de la saga (Harry Potter y el misterio del príncipe) el último jueves, ha aumentado el interés de los usuarios de Internet por obtener información al respecto. Esto lo confirma el gráfico de Google Trends, respecto al aumento de las búsquedas durante el mes de julio con el título de la película.

La misma tendencia en las búsquedas puede observarse respecto a Emma Watson, la actriz que encarna el importante personaje de Hermione Granger, la amiga de Harry Potter:

Aprovechando estas tendencias, los atacantes han creado diversos sitios con falsas aplicaciones relacionadas al film: falsos videos, adelantos e historias inventadas, y supuestos accidentes de sus protagonistas.

Con la mencionada actriz, han utilizado estrategias de BlackHat SEO para posicionar resultados en buscadores que enlacen a los sitios maliciosos:

Si el usuario accede al segundo resultado de la búsqueda, que ofrece fotografías “hot” de la joven actriz; se encontrará con un sitio video con un falso codec, que descarga un rogue, detectado por ESET NOD32 como Win32/Adware.SystemSecurity.

Una vez más, los atacantes demuestran estar atentos a los intereses de los usuarios en la red, y dispuestos a utilizarlos para propagar códigos maliciosos.

Sebastián

Categories: Alertas, Ingeniería Social, Malware
3 Comments »

Una de las tendencias más actuales en materia de códigos maliciosos, son las estrategias de Drive-by-Download, es decir, la ejecución de rutinas dañinas en segundo plano, mientras el usuario accede a un sitio web. Por lo general las instrucciones maliciosas se ejecutan a través de un script (comúnmente ofuscado) o iframe.

Sin embargo, en los últimos meses se ha comenzado a observar una evolución de dichos ataques de Drive-by-Download: las amenazas multi-stage. Estas consisten en la ejecución encadenada de scripts maliciosos en sitios web, con el fin de infectar al usuario. Se caracteriza por involucrar múltiples dominios, exploits y diferentes tipo de archivos durante el proceso del ataque.

De esta forma, el atacante logra que el sistema se infecte al acceder a sitios que fueron modificados previamente, y que para el usuario son benignos y de confianza, al igual que en los ataques de Drive-by-Download. Sin embargo, con esta nueva técnica, los atacantes poseen un nuevo beneficio: la ejecución de múltiples exploits, uno a continuación de otros y de diferentes tipos, aumentando la probabilidad de infección al poder explotar diversas vulnerabilidades en distintas plataformas.

Tal es el caso del siguiente ejemplo, en donde en un sitio web se inyectó un script ofuscado:

Como se puede observar al desofuscarlo, el mismo consiste en un iframe que redirecciona a otro dominio. Al consultar el código fuente de la página de destino (index.php), se detecta un nuevo script ofuscado que posee otros dos iframes. Estos, a su vez realizan solicitudes de descarga a otros archivos en otros dominios: hiddenReader.swf y firstIsntRoots.pdf.

De esta forma, en el ataque se descargan dos archivos con diferentes extensiones, ambos maliciosos. Estos son detectados por ESET NOD32 como Win32/Exploit.Pidief.OQB Troyano y SWF/Exploit.Agent.AC trojan respectivamente.

Es decir, que un usuario que tenga una aplicación para visualizar PDF o una versión de Flash Player, cualquiera de ellas vulnerable, podrá ser víctima de la ejecución del malware mencionado, habiéndose cumplido el  objetivo del ataque multi-stage.

Por lo tanto, recuerden:

• Navegar por sitios de confianza
• Mantener siempre sus aplicaciones actualizadas, no solo sus sistemas operativos, sino también cualquier otro software que ejecuten en su sistema, ya que cualquiera puede ser sujeto a la explotación de vulnerabilidades.
• Utilizar un antivirus con capacidades proactivas como ESET NOD32, actualizado y activo en todo momento para detectar cualquier script o aplicación como los mencionados
• Los administradores de sitios web deben estar atentos a las vulnerabilidades de sus servidores, ya que estos pueden ser utilizados para propagar códigos maliciosos

Sebastián

Categories: Malware
2 Comments »

Como ya informamos hace un par de meses, en este momento se encuentra activa otra campaña masiva de sitios e instaladores falsos en español. Estos sitios ofrecen y permiten descargar versiones modificadas de productos gratuitos o pagos, lo cual representa un serio peligro para la seguridad del usuario ya que estas modificaciones pueden incorporar troyanos en el software.

Los delincuentes han creado sitios falsos y en ellos ofrecen programas populares como:

• ESET NOD32: nod32[ELIMINADO].info
• Microsoft Live Messenger: msn-messenger[ELIMINADO] .info, messenger-[ELIMINADO].us, messenger-[ELIMINADO].net, messenger[ELIMINADO].us, messenger-[ELIMINADO].org y messenger[ELIMINADO.]info
• PDF Creator: pdf-crea[ELIMINADO].org
• Macromedia Flash: flash-co[ELIMINADO].com
• Ares: ares-[ELIMINADO].net y ares[ELIMINADO].us
• BitTorrent: [ELIMINADO]bitorrent.us
• Real Player: [ELIMINADO]realplayer.org
• Windows Media Player: [ELIMINADO]windowsmediaplayer.org
• …y muchos otros

También han creado sitios falsos del popular buscador Google (ggooggllee.[ELIMINADO]) y de YouTube (yourtube[ELIMINADO].com).

En este caso muestro uno de los sitios que permite la descarga de ESET NOD32 falso y de una versión antigua:

En el caso del uso de aplicaciones de seguridad falsas, el peligro es aún mayor ya que estas aplicaciones nunca ofrecerán la protección que brinda la aplicación real.

Por eso la mejor opción es descargar las aplicaciones desde el sitio oficial, incluso en su versión de prueba como el caso de ESET NOD32.

Cristian

Categories: Alertas, Malware, Piratería
11 Comments »