Es común que hablemos las botnet y que mencionemos sus características para infectar y controlar usuarios, pero no es habitual encontrar centro de Comandos y Control (C&C) latinos, es decir que el sistema desde donde se controla la red, haya sido desarrollado en Latinoamérica.

Por eso llama la atención el sistema SAPZ (Sistema de Administración de PCs Zombi) que mostramos a continuación, desarrollado por delincuentes latinos y que permite el control de una gran cantidad de usuarios infectados a través de troyanos como el que ESET NOD32 detecta como Win32/Qhost.NMX.

Al ingresar al panel de administración de esta botnet, puede apreciarse la cantidad de equipos infectados, así como los que en ese momento se encuentran accesibles y a  los cuales se puede enviar comandos para controlarlos:

Con esto queda claro que los mismos delincuentes “declaran” que son rateros y que lo que hacen debe ser considerado un delito, pero además deja en evidencia que la creación de malware se ha profesionalizado en América Latina y que es necesario contar con herramientas, educación y legislación para detenerlos.

Cristian

Categories: Malware
9 Comments »

La empresa responsable del buscador más popular de Internet, Google, ha realizado un breve informe en su blog de seguridad, reportando estadísticas de su sistema de listas negras con sitios que posean contenido malicioso.

Este servicio, es provisto por Google para alertar a los usuarios que deseen visitar, desde los resultados del buscador, dominios que hayan sido reportados como dañinos. Además, navegadores como Opera y Firefox utilizan el servicio de Google para alertar también a sus usuarios.

El siguiente gráfico muestra el número de sitios existentes en la lista de dominios con malware de los últimos 15 meses:

Como se puede observar, en el último año se ha duplicado el número de sitios registrados en la lista negra. Además, esta tendencia marca un claro aumento a partir de Abril de 2009, registrándose desde esa época ataques de inyección de código masiva a sitios web. Este tipo de ataques masivos, infectan cientos de sitios legítimos con contenidos maliciosos, y muchos de ellos no son reparados.

Si se trata de sitios corporativos, este tipo de incidentes puede dañar la reputación de su empresa, por lo que se recomienda a los administradores de estos servidores estar atentos a las medidas de seguridad para evitar estos ataques.

Además, otro gráfico muestra que el número de resultados en el buscador con contenidos maliciosos se ha mantenido estable en los últimos meses. Más de la mitad de las búsquedas que se realizan poseen como resultado al menos un sitio catalogado como maliciosos por Google, como mostramos ayer por ejemplo en el caso de la muerte de Patrick Swayze.

Este tipo de estadísticas, no hace más que ratificar las tendencias en el crecimiento de los ataques vía web, que hemos anunciado reiteradas veces desde ESET Latinoamérica.

Sebastián

Categories: Estadísticas
1 Comment »

Los comentarios previos a la muerte y el posterior deceso del conocido artista norteamericano Patrick Swayze en el día de ayer, esta siendo aprovechada como vector de ataque promocionando, a través de técnicas de Black Hat SEO, sitios con supuestas noticias sobre el hecho.

Los comentarios iniciales sobre su muerte a causa del cáncer habían surgido en Twitter. Actualmente si el usuario realiza búsquedas relacionadas en cualquier buscador, llegará a noticias falsas que en realidad terminarán infectándolo con herramientas falsas de seguridad, conocidas como rogue:

Como puede verse, en esa búsqueda en particular, Google informa sobre el riesgo pero de todos modos vale la pena estar protegidos, atentos y alertas ante este tipo de técnicas que se perfeccionan, aprovechando cada noticia que pueda ser interesante para el usuario,  para estos fines.

En este caso, el usuario ingresaría a sitios tales como clean-all-spyware[ELIMINADO].com, getfreedis[ELIMINADO].com o fast-virus-sca[ELIMINADO].com; todos ellos utilizados para descargar archivos dañinos que ESET NOD32 detecta como Win32/Adware.PersonalAntivirus o Win32/Adware.XPAntivirus.

Cristian

Categories: Alertas, Rogue
No Comments »

El rogue es una de las amenazas de mayor propagación en los últimos tiempos. Asimismo, hemos alertado los últimos meses sobre el aumento de inyección de código malicioso en sitios web, una estrategia por demás efectiva para los atacantes, que logran vulnerar sitios benignos convirtiéndolos en maliciosos.

Un caso similar sufrió en los últimos días el popular diario estadounidense, The New York Times, que fue afectado por un agresivo rogue que mostraba eventualmente, cuando los usuarios accedían al sitio web, un alerta de infección y direccionaba las visitas a un falso producto antivirus.

El mismo diario ha anunciado en su portal la existencia del ataque, y alertando a sus usuario que, en caso de encontrarse con el alerta, “no deben hacer clic en ella. En cambio, deben salir y reiniciar su navegador“.

Aparentemente, la inyección de código no fue realizada al propio diario, sino a uno de sus anunciantes, según el análisis de la anatomía del ataque realizado por un usuario afectado. De todas formas, no ha trascendido una respuesta oficial respecto a cómo fue logrado con éxito el ataque.

El anuncio enlazaba a los usuarios a un sitio web con una nueva versión del falso explorador de Windows, que alerta al usuario sobre infecciones inexistentes. Una clásica estrategia de este tipo de amenazas. En este caso, el archivo ejecutable que se descargaba es detectado por ESET NOD32 como Win32/Adware.XPAntivirus.

Queda claro con este tipo de incidentes, que portales benignos y populares son un blanco de ataque rico para los creadores de estas amenazas. La inyección de este tipo de códigos en sitios web corporativos, puede dañar la reputación de la empresa, por ser esta quien finalmente enlaza a los usuarios con los contenidos maliciosos.

Cuidar sus servidores y sus sitios web, es también cuidar a sus usuarios y clientes. El caso del New York Times es un claro ejemplo de ello, debiendo la empresa disculparse con sus lectores y habiendo recibido cientos de críticas en la comunidad en línea, dado el incidente en su sitio web.

Sebastián

Categories: Alertas, Malware, Rogue
1 Comment »

Nota publicada previamente en el Blog de ESET en inglés

Durante los últimos meses, el equipo de investigación de ESET ha estado analizando la información obtenida de nuestro ESET Online Scanner. La herramienta está disponible en forma gratuita en nuestro sitio web, y le permite a cualquier usuario explorar su sistema en busca de malware, sin necesidad de tener instalado nuestro producto. Los datos de ESET Online Scanner son interesantes, porque proviene de sistemas que no tienen instalado ESET NOD32 (o incluso no tienen instalado ningún antivirus). En los últimos tres meses, más de medio millón de computadoras utilizaron el servicio, y nuestros descubrimientos analizando los resultados han sido muy interesantes.

En primer lugar descubrimos que, cuando un sistema está infectado, se encuentran en promedio 13 archivos maliciosos en el mismo. Una infección de malware no significa un archivo maliciosos en el sistema – muchos archivos infectados en una computadora pueden corresponder al mismo código malicioso. Este número puede ser explicado por la vuelta en escena de la infección de archivos. Familias modernas como WMA/TrojanDownloader.Getcodec infectan archivos multimedia, y ejecutar cualquiera de estos archivos infectará el resto del sistema. Por ejemplo, si usted tiene 500 canciones en su computadora y se infecta con esta amenaza, tendrá más de 500 archivos maliciosos en su PC. Otro ejemplo es la familia Win32/Virut que, además de infectar archivos ejecutables, agrega un iframe a los archivos HTML del sistema.

La segunda observación interesante que encontramos, fue que el promedio de familias de malware en sistemas infectados es de 3. Cuando una computadora posee malware, tres familias diferentes son encontradas en esta. Esto demuestra otra clara tendencia en el mercado del ciber crimen: el “pague por instalación” que hacen uso los criminales, para propagar malware. Muchos creadores de códigos maliciosos pagan a otros ciber criminales (por lo general administradores de botnets o troyanos del tipo downloader) para propagar su amenaza. Un buen ejemplo de esto son los Rogue, que no se propagan autoḿaticamente por la red. Frecuentemente, estos pagan a otros ciber criminales para instalar la amenaza en diversos sistemas. Por citar otro ejemplo, el último abril una variante del gusano Win32/Conficker instalaba una variante de Win32/Waledac. Además, este último descargaba un rogue en los sistemas infectados. Este es un típico escenario que explica el dato estadístico que acabamos de presentar. Esta segunda estadística es diferente a la primera, ya que cada familia puede infectar múltiples archivos en un sistema.

Desde nuestro sistema de monitoreo ThreatSense.net, también hemos obtenido interesante estadísticas sobre la actividad maliciosa en equipos que utilizan ESET NOD32 Antivirus. En un día normal, el 3,3% de las computadoras detectan y bloquean al menos una amenaza. Es decir, que si su empresa posee 1.000 computadoras conectadas a Internet, en los próximas 24 horas 33 de ellas tratarán de acceder a un malware, o recibirán un archivo dañino por correo o serán atacados por un gusano.

En resumen, estamos observando más malware infectando sistemas y también más archivos dañinos en cada sistema infectado. Nuestro laboratorio recibe 100 mil nuevas muestras de malware por día. Hay más desarrolladores de malware que nunca, y las tecnologías son mejores para crear variantes de amenazas ya existentes.

Pierre-Marc Bureau Senior Researcher de ESET – Traducido por Sebastián

Categories: Educación, Estadísticas
1 Comment »