Durante el mes de Agosto se ha producido un importante caudal de incidentes en materia de malware del cual destacamos, a continuación, los de mayor repercusión entre los usuarios:

• Durante los primeros días del mes, los atacantes focalizaron sus esfuerzos contra una de las redes sociales de microblogging más populares: Twitter, transformándola en el blanco para llevar a acabo ataques de denegación de servicio e intentos de phishing. La estrategia de ataque se basó en una variante del gusano Koobface propagándose por Twitter y, por ello, la red social comenzó a realizar un análisis de sus URLs para detectar aquellas con contenido malicioso y evitar futuros ataques de este estilo.
• En lo que a nuevos vectores de ataque respecta, la plataforma para compartir presentaciones, Slideshare.net fue utilizada para propagar malware. La estrategia se basó en su aprovechamiento para la distribución de malware a través de falsas diapositivas que redireccionan hacia otra página, cuya interfaz es similar a SourceForge.Net, y desde la cual se habilita la descarga de códigos maliciosos.
• A mediados de mes, apareció el virus que ESET NOD32 detecta bajo el nombre Win32/Induc.A y que dio mucho que hablar debido a que se encuentra diseñado para infectar archivos generados a partir del lenguaje de programación Delphi; es decir que se trata de una nueva amenaza orientada a desarrolladores. ESET Latinoamérica considera que la peligrosidad de este malware es alta y que es fundamental que los desarrolladores se encuentren informados sobre las actividades del mismo. En consecuencia, hemos desarrollado una serie de preguntas frecuentes que describen las particularidades más comunes del mismo.
• Otros aspectos destacados del mes son los producidos por rogue que difunden variados instaladores maliciosos mediante técnicas de Black Hat SEO. Casos como la muerte de Corazón Aquino y los incendios en Atenas son ejemplos concretos mediante los cuales se aprovechó esta técnica para la propagación de malware.
• En el mismo orden, la inyección masiva de códigos maliciosos utilizando técnicas de Drive-by-Download y ataques multi-stage fue otro de los aspectos relevantes debido al importante volumen de sitios que se vieron afectados y a lo relevante que puede ser el daño para la empresas afectadas.
• Casos como el correo que anuncia un supuesto accidente de Xuxa o la supuesta afirmación de que Michael Jackson está vivo demuestran que el spam sigue siendo uno de los principales canales de propagación de malware.  En este sentido este mes observamos que Argentina y Brasil se encuentran entre los 10 países emisores de spam.

Las novedades del malware durante este mes fueron muchas y variadas, lo que demuestra la importancia y las ventajas de poseer un Laboratorio de análisis e investigación en América Latina. Cada amenaza propagada por las técnicas descriptas es detectada de manera proactiva por ESET NOD32.

No está de más recordar que pueden encontrar mayor nivel de detalles sobre los códigos maliciosos más detectados del mes a través de  nuestro Ranking de propagación de amenazas de agosto y en el informe de amenazas publicado en el Centro de Prensa.

Jorge

Categories: Reportes mensuales
1 Comment »

Microsoft ha lanzado la última semana un nuevo parche de seguridad (KB971029) que permite implementar la funcionalidad AutoPlay, que vendrá en Windows 7, en sistemas Microsoft Windows XP, Vista, Server 2003 y Server 2008.

Básicamente AutoPlay se trata de que el Autorun (la ejecución automática de medios) esté solo disponible para unidades de CD y DVD, pero no para dispositivos USB. Este último, ha sido un vector de ataque muy utilizado, especialmente por el gusano Conficker, que en una de sus variantes se ejecutaba a través de Autorun.

De esta forma, ya no será necesario el procedimiento manual para desactivar la ejecución automática de malware a través de USB, sino que solo se debe instalar el parche mencionado.

Recomendamos la instalación del parche de seguridad, especialmente en entornos corporativos, donde los medios removibles suelen  ser una brecha importante de seguridad. Herramientas de administración centralizada de actualizaciones, como WSUS (herramienta gratuita de Microsoft), pueden ayudar a las empresas en esta tareas.

El parche  puede descargarse desde los siguientes enlaces, dependiendo de la versión del sistema operativo:

• Windows XP: http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=96ca61f6-8b16-4157-9635-8cfc0bbf4c35#tm
• Windows Vista: http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=dd6a61a3-b3c6-4b0a-a848-7b32be9f31c5
• Windows Vista 64 bit: http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=12e3fe0f-db79-4a27-aa7d-a456ee1c6ac4
• Windows Server 2003: http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=b8df9256-cbb0-418d-a336-d29dc4415a65
• Windows Server 2003 64 bit: http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=b8df9256-cbb0-418d-a336-d29dc4415a65
• Windows Server 2003 Itaniun: http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=5a21cbb8-da7b-42e0-924b-485950e7de52
• Windows Server 2008:http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=9c404a99-537f-4fee-874d-e50fd6efea3b
• Windows Server 2008 64 bit:http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=d43a9947-f0e0-47dc-9dad-5c8942a3cc91
• Windows Server 2008 Itanium:http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=cfbc98c5-3ba5-4164-83e0-9397e2722ea0

Vale la pena la aclaración que aún existen ataques que pueden simular el USB como una unidad de CD/DVD, pero claramente esta iniciativa de Microsoft reduce el riesgo.

Sebastián

Categories: Educación
16 Comments »

Como mencionabamos en el post sobre un malware muy (poco) profesional, no todos los archivos maliciosos tienen un código complejo ni son difíciles de detectar por parte de los antivirus.

Tal es el caso del virus detectado por ESET NOD32 como ALS/Bursted.B. El mismo tiene la particularidad de estar creado en Autolisp, el lenguaje de desarrollo de scripts para AutoCAD. Desde este punto de vista, el virus es interesante y demuestra una vez más que no hay plataformas a salvo de los códigos maliciosos, y que cualquier atacante puede encontrar un vector de ataque en la misma.

Sin embargo, para observar las rutinas del propio código, no es necesario hacer Ingeniería Inversa, análisis estático de malware, captura de tráfico o desofuscar código. Solo debes ¡abrir un editor de texto!

El virus se encuentra en un archivo de nombre acad.lsp, que se encuentra en una carpeta de imagen de AutoCAD. Si el usuario ejecuta el archivo principal de AutoCAD (de extensión DWG), se ejecutará el archivo LSP con las instrucciones indicadas. Además, deshabilita los comandos EXPLODE, XREF y XBIND del AutoCAD y crea un nuevo comando, BURST, que se ejecutará al iniciar la aplicación y muestra un mensaje (en idioma chino).

El premio mayor de estas amenazas (amateurs), se lo lleva el troyano de archivos por lotes (BAT) detectado como BAT/KillWin.NAQ trojan. Para aquellos que entiendan sólo un poco de programación, con ver la imagen y parte de su código será suficiente:

Se trata de un “malware” que tiene como objetivo borrar todos los archivos de la carpeta del sistema Microsoft Windows. Definitivamente una creación amateur, extremadamente sencilla y promocionado en algunos foros y sitios como un “virus extremadamente peligroso e indetectable”.

Lo que queda claro con este tipo de amenazas, es que aunque el foco tanto por parte nuestra (la industria de la seguridad) como por parte del usuario debe estar puesto en la protección contra amenazas más graves y complejas; siempre hay que estar preparados para un grupo de individuos aficionados, con algo de tiempo libre, y ganas de molestar.

Sebastián

Categories: Malware
6 Comments »

En los últimos días la empresa Apple ha anunciado la liberación el próximo viernes de una nueva versión de su sistema operativo para sistemas Mac OS: Snow Leopard. Una funcionalidad particular ha acaparado la atención de la comunidad de la seguridad: la incorporación de un filtro contra códigos maliciosos.

Al analizar malware para plataformas no Windows y posteriormente en particular la aparición de códigos maliciosos para MAC/OS, ya hemos mencionado la falsa idea de que “Mac no tiene virus”, incluso apoyada por la misma empresa hace muy pocos años con una publicidad comparándose con los PC por la supuesta inexistencia de virus. Asimismo, es un tema recurrente para nosotros las consultas sobre este mito, y hemos mencionado innumerables veces que ninguna plataforma que posea software, se encuentra libre de amenazas de códigos maliciosos, independientemente de la tendencia de un momento dado, por parte de los atacantes, a desarrollar más o menos aplicaciones para dichas plataformas.

Es altamente positivo que la empresa haya abierto el juego para alertar a los usuarios sobre una amenaza existente, aún no en masividad para su suerte, y de la que deberán protegerse si desean sus sistemas seguros. Con el aval de la empresa ahora no quedan dudas: los códigos maliciosos para sistemas Mac OS son una realidad.

Lamentablemente tuvo que pasar mucho tiempo para que algo que profesionales de la seguridad (incluidos nosotros desde nuestro Laboratorio) vienen diciendo hace tiempo, comience a ser comprendido y aceptado por el público en general. Aquellos que nos abocamos a la investigación en materia de seguridad, muchas veces debemos luchar contra el marketing, la cultura y otros factores que hacen que nuestras opiniones parezcan exageradas u oportunistas. Sin embargo, nunca daremos una alerta de una amenaza inexistente. Desde ESET hemos creído siempre que la información al usuario, y su educación, son parte fundamental de una correcta protección; y en ese sentido tenemos la obligación de decir la verdad, y mencionar la realidad, independientemente del agrado o no por parte del público, independientemente de los mitos existentes alrededor de una idea.

En otros términos, Apple aún no ha brindado detalles de cómo ha implementado el filtro, por lo que no se puede aseverar qué nivel de protección este ofrece a los usuarios. Lo que sí es un hecho, es que los códigos maliciosos para sistemas Mac OS son un hecho y, aunque distan en su masividad de las amenazas para sistemas Microsoft Windows, los usuarios deberán eliminar la falsa idea de que “Mac OS es libre de virus”, para no ser víctimas ingenuas de futuras amenazas; no solo por el caudal actual, sino por la clara tendencia de aumento en cantidad de nuevo malware para esta plataforma.

Sebastián

Categories: Educación
1 Comment »

En los últimos días ha sido detectada una nueva inyección de código masiva a sitios web, que ingresó un script malicioso en miles de sitios web de empresas vulnerables (se estima que alrededor de 56 mil):

Si un usuario accede a cualquiera de estos sitios afectados, el script ejecutará un código JavaScript malicioso (x.js) que llama a otro script del mismo tipo (tongji.js), que se encuentra ofuscado. En la siguiente imagen se observa con un capturador de tráfico de red, como se ejecutan ambos scripts en cadena:

Posteriormente, el último archivo JS comienza a llamar varios sitios y páginas PHP, que descargan archivos maliciosos, todos ellos con exploits para infectar al usuario. Se trata de un clásico ataque multi-stage, donde se descargan diversos tipos de archivos para explotar muchos exploits diferentes para distintas aplicaciones.

Este caso en particular, se caracteriza por intentar explotar más de 20 archivos maliciosos diferentes, con extensiones variadas como EXE, JPG, PIF, SWF y otros. El siguiente es el listado de algunos códigos maliciosos que son descargados por esta amenaza, detectados por ESET NOD32:

• Win32/Adware.Coolezweb
• probablemente una variante de Win32/Genetik Troyano
• Win32/TrojanDropper.Agent.OGM Troyano
• Win32/Phyiost.AB Troyano
• Win32/PSW.WOW.NLW Troyano

Independientemente de las características técnicas del ataque, el factor más importante, y que no debe olvidarse es que los códigos maliciosos están inyectados en sitios benignos, sin intenciones dañinas y que contienen vulnerabilidades. ¿Cuántos son los sitios afectados? Una simple búsqueda en Google nos ofrece una idea bastante aproximada:

En un principio, el buscador indexó más de 56 mil sitios afectados por el script malicioso. Muchos de ellos ya han reparado el problema en las últimas horas, pero la gran mayoría de ellos siguen estando afectados por el script.

Muchos de estos sitios (la mayoría) corresponden a empresas u organizaciones que pueden ver seriamente dañada su reputación.

¿Cómo puede dañarse la reputación?Los usuarios que tengan soluciones de seguridad antivirus en sus sistemas, observarán al ingresar al sitio web de la organización un alerta por la existencia de amenazas en el mismo. Lamentablemente muchos usuarios no tendrán conocimiento de que atacantes pueden realizar este tipo de acciones, y asumirá que es la organización quien está propagando malware. Asimismo, aquellos que no tengan soluciones de seguridad antivirus instalados, infectarán sus sistemas desde el sitio web de la compañía, acción seguramente indeseada por cualquier organización.

En resumen, para mantener su organización a salvo, asegúrese que quien administra el sitio web tenga los cuidados necesarios para evitar la inyección de código en el sitio. La prevención es siempre la principal herramienta de protección para evitar este tipo de incidentes.

Sebastián

Categories: Alertas, Educación, Malware, Vulnerabilidades
No Comments »