Los atacantes siempre ponen su cuota de originalidad para propagar amenazas y uno de estos casos es la técnica conocida como Typosquatting. Esta, consiste en registrar nombres de dominios similares a otros conocidos o populares, para así obtener tráfico de forma automática.

¿Cómo funciona? Muy sencillo, se basan en los errores ortográficos o de tipeo que pueden cometer los usuarios al ingresar una dirección URL en el navegador. Por ejemplo, un usuario que quiera ingresar al sitio oficial de ESET Latinoamérica (www.eset-la.com) podría omitir el guión y entrar en www.esetla.com. Es un error común, por desconocimiento del dominio correcto, o por imprudencia al momento de escribirlo. Un atacante podría aprovechar y registrar dicho dominio (en este caso no podría porque ya es enlazado al sitio real) y aprovecharlo para diversos motivos como:

• Publicidad no deseada: promoción de productos o servicios al mejor estilo spam pero a través de la web.
• Distribución de malware: sitios que poseen enlaces de descarga o diversos ataques para propagar códigos maliciosos.
• Enlaces a otros sitios: se destacan entre los usos más comunes sitios pornográficos.
• Realizar ataques de phishing.

Para graficar este tipo de ataques, veamos un ejemplo muy común, el portal fasebook.com (CUIDADO: el sitio web posee una amenaza y los lectores deben evitar visitar el sitio web). Claramente se aprovecha de aquellos usuarios que coloquen mal (equivocando la “s” donde debería ir una “c”) el dominio de la popular red social Facebook. Si el usuario accede al sitio web en cuestión, el mismo posee un script para direccionar a la víctima a otro sitio web, como se observa en la siguiente imagen:

En ese sitio web, se observa una encuesta que posee una interfaz (colores, disposición de los objetos) similar a la de Facebook para seguir engañando al usuario:

La encuesta es para acceder a una supuesta promoción de productos de Apple, y finalmente se trata de un ataque de scam donde el usuario termina ingresando información personal y para participar de la promoción debe enviar un mensaje de texto que le servirá al atacante para hacer dinero.

En resumen, el typosquatting aprovecha situaciones cotidianas que le ocurren a los usuarios para realizar distintas actividades poco benignas. Así que ya saben: a estar atentos y revisar siempre las direcciones URL.

Sebastián Bortnik
Analista de Seguridad

Categories: Alertas
4 Comments »

Durante el mes de junio, y particularmente las últimas dos semanas, hemos observado un código malicioso que, por un lado, no ofrece grandes innovaciones desde el punto de vista técnico pero que, por el otro, ha logrado indices de propagación elevados para este tipo de malware, llegando a ser detectado algunos días en el 2% de nuestros usuarios, según ThreatSense.Net. Se trata del script detectado por ESET NOD32 Antivirus como JS/TrojanDownloader.Pegel.BR, un código que viene embebido en archivos HTML y que utiliza técnicas de drive-by-download para descargar un archivo dañino en la computadora de la víctima.

Su propagación es a través del correo electrónico, como pueden ver en la siguiente imagen de un mensaje que ha sido filtrado por el antivirus ya que el malware fue detectado en el adjunto open.html:

Si se analiza el archivo HTML adjunto, el mismo posee un scripts ofuscado como se muestra en la siguiente imagen:

El archivo redirige el contenido hacia otro sitio con un script en Java que posee un exploit (detectado como JS/Exploit.JavaDepKit exploit, muy utilizado en algunos paquetes de exploits como Phoenix Exploit Kit) y este finalmente descarga a la computadora de la víctima el archivo detectado por ESET NOD32 como Win32/TrojanDownloader.Bredolab. Si el usuario accede desde un navegador no vulnerable (donde no es posible ejecutar el exploit), el mismo es direccionado a diversos sitios que van desde la venta de viagra hasta página promoviendo la “industria verde”, según la campaña en cuestión.

Como decía al comenzar, a pesar de que la amenaza no posee grandes innovaciones, su campaña de envío de spam (probablemente desde alguna red botnet) ha sido tan masiva que ha impactado directamente en su tasa de éxito, por lo que los usuarios estarán recibiendo esta amenaza en mayor proporción que otras similares.

Sebastián Bortnik
Analista de Seguridad

Categories: Alertas, Malware
9 Comments »

Sabemos muy bien que las técnicas tendientes a engañar a los usuarios para cometer fraudes se encuentran a la orden del día. Y bajo este aspecto, el correo electrónico constituye uno de los vectores más utilizados para difundir diferentes tipos de publicidades no solicitadas (spam).

En este caso, la maniobra no se escapa de esta opción. A través de un mensaje cuya apariencia se asemeja a los “dibujos en ASCII” se distribuye un spam cuya imagen podemos observar a continuación.

La misma posee dos enlaces junto a frases en inglés que se podrían traducir como: “hermosas niñas rusas” y “el precio del amor“. Ambos enlaces redireccionan a dos conocidos scam, que hemos tratado en varias oportunidades.

El primero de ellos se trata de Russian dating (citas de Rusia), un supuesto sitio de encuentro para quienes buscan parejas femeninas en Rusia y Ucrania (dos de los países con mayor actividad delictiva en Europa).

Existen muchas “agencias” relacionadas a esto (en este caso se llama AnastasiaDate); sin embargo, los objetivos son siempre los mismos: obtener información de quienes se registran para formar extensas bases de datos que luego pueden ser utilizadas para cualquier tipo de maniobra delictiva, y conseguir un rédito económico a través de la compra del servicio para intercambiar correos con las potenciales parejas víctimas.

El segundo scam, es de la farmacia en línea Canadian Pharmacy, cuya publicidad se realiza a través de diferentes canales y actividad data desde hace varios años, donde en todos los casos las estrategias son dañinas y fraudulentas. El último que hemos mencionado fue durante la campaña de infección y spam a través de Twitter.

A pesar de, en primera instancia, no parecer aspectos relevantes para la seguridad de nuestros equipos, estas actividades se encuentran íntimamente relacionadas con los circuitos delictivos del crimeware y poseen una tasa de implicancia muy alta para la confiabilidad de la información. Tanto a nivel hogareño como a nivel corporativo, ya que el mayor volumen se canaliza a través de infecciones, lo cual genera graves problemas para los usuarios y al mismo tiempo son aspectos críticos en cualquier tipo de organización, no solo por el problema que en la actualidad plantea cualquier incidente relacionado con malware, sino que también por el importante caudal de spam, con todo lo que ello representa, al cual debe hacer frente la organización.

Por eso es sumamente importante que los mecanismos de seguridad implementados se encuentren a la altura de las circunstancias. Que detecte de forma proactiva los códigos maliciosos y frene el correo electrónico a través de un filtrado inteligente. Propiedades nativas de ESET Smart Security.

Jorge Mieres
Analista de Seguridad

Categories: Alertas, Spam
No Comments »

Si bien la industria del crimeware focaliza sus actividades de origen en países que para nosotros se encuentran del otro lado del mundo (Rusia, Ucrania, China, etc.), las actividades delictivas no se limitan a Europa del Este, y en general la percepción que se obtiene del asunto es que este escenario no es una cuestión relevante que afecte de forma directa a países de América Latina, lo cual es completamente erróneo.

De hecho, los niveles de incidentes de seguridad generados a través de ciber-criminales se incrementan constantemente en la región y los modelos de negocio delictivo se transforman en aspectos a copiar por parte de ciber-delincuentes latinoamericanos.

Para obtener casos concretos que ejemplifican este aspecto en Argentina, Chile y México, les recomiendo la lectura de Crimeware en Latinoamérica.

El crimeware representa un importante problema a nivel global que se manifiesta a gran escala y del cual nadie queda exento, la información sensible de usuarios hogareños como los activos (donde también se incluye información confidencial) de cualquier tipo de corporación son el blanco de los delincuentes.

Y si bien lo cierto es que estas acciones poseen un marco que establece la respuesta del por qué la mayor cantidad de actividades delictivas se cometen, por ejemplo, a través de países de Europa del Este (un marco legal débil en materia de seguridad informática por parte de algunos de estos países, lo que genera en los delincuentes la posibilidad de gozar de un mínimo porcentaje de ser descubiertos y consecuentemente atrapados), esta especie de paraíso delictivo no constituye un limitante para los delincuentes que se encuentran en América Latina, ya que la legislación en este ámbito sigue siendo débil.

Bajo todo este escenario, es posible “regionalizar” los incidentes de seguridad generados a través del crimeware y establecer tendencias por países (o por regiones) que nos permiten dibujar a grandes rasgos un “mapa delictivo”.

Entonces… ¿qué pasa de este lado del mundo?

La mayor tasa de propagación de spam se encuentra en EEUU y países de Sudamérica. Un aspecto fundamental en seguridad que sin lugar a dudas representa un problema universal, es el spam. En este sentido y según Spamhaus, EEUU se encuentra en la cabeza de los 10 mayores países emisores, seguido por Argentina y Brasil en lo que respecta a Sudamérica. Siendo Argentina quien posee el primer lugar en torno a los Proveedores de Internet (ISP) que registran mayor actividad spam.

Brasil y ataque de bankers. A pesar de poseer el tercer lugar en torno a la propagación de spam, Brasil se caracteriza además por ser la fuente de desarrollo de troyanos diseñados para robar información de índole financiera y bancaria, que ESET detecta  como familia de Win32/Spy.Banker.

Perú y México incursionan con el desarrollo de crimeware. Generalmente, las aplicaciones web diseñadas para el control y administración de botnets suelen ser desarrolladas en Rusia, por lo menos una importante cantidad, sin embargo, esta característica se  está asentando en América Latina y dimos cuenta de ella durante el 2009 con SAPZ (Sistema de Administración de PCs Zombi) y este año con la botnet Mexicana denominada “Mariachi”, descubierta por nuestro Laboratorio de Análisis e Investigación de Latinoamérica.

¿Y del otro lado las cosas siguen igual?

China y ataques dirigidos. Según Spamhaus China se encuentra en el segundo lugar como emisor de spam. Sin embargo, esta situación no es la que causa mayor grado de “notoriedad” en torno a incidentes de seguridad. China posee una importante actividad delictiva a través de ataques de DDoS (Denegación de Servicio Distribuido). Muchos incidentes de seguridad causaron repercusión alta en los medios de información a nivel global, pudiéndose destacar el ataque que se conoció bajo el nombre Operación Aurora, dirigido a activistas de derechos humanos en China; o la reciente oleada de ataques desde China contra Google.

Rusia y recursos para el crimeware. Rusia se destaca principalmente por ser el mayor desarrollador de recursos orientados a incrementar la economía del crimeware. Una importante cantidad de malware kit como ZeuS y los exploits pack como Liberty activamente explotados por delincuentes poseen sus orígenes en desarrolladores rusos. Asimismo, una amplia cobertura de fraudes, entre muchas otras actividades ilícitas, también se originan en Rusia, desde donde generalmente no solo se registran dominios empleados para propagar malware desde el mismo país sino que también en otros como Irán, China y Ucrania.

En definitiva, lo cierto es que la industria delictiva crece y se profesionaliza día a día, afectando la seguridad a nivel mundial y retro-alimentando la economía clandestina que generan los delitos que aprovechan Internet como infraestructura de ataque. Bajo este panorama no importa en qué lugar del mundo nos encontremos, sólo basta con estar conectados a Internet para convertirnos en potenciales, y rentables, blancos de la delincuencia informática.

Esto conlleva a la conclusión de la inevitable necesidad de establecer en nuestros entornos de información, medidas de seguridad acordes a las circunstancias, que permitan adelantarnos al potencial problema y actuar proactivamente en todo momento, incluso, atendiendo a buenas prácticas de seguridad para mejorar la prevención.

Jorge Mieres
Analista de Seguridad

Categories: Declaraciones, Malware
2 Comments »

AMTSO es la Organización para los Estándares de Evaluación Anti-Malware (en inglés, Anti Malware Testing Standards Organization) de la cual ESET es miembro junto a otros fabricantes de antivirus, proveedores de soluciones, organismos independientes, e instituciones académicas. Fue fundada en 2008 con el objetivo de mejorar la calidad, relevancia y objetividad de las metodologías utilizadas para la evaluación de soluciones de seguridad informática contra malware y otras amenazas informáticas. AMTSO trabaja en conjunto con otras organizaciones de evaluación y publica lineamientos y documentación que ha sido consensuada por todos sus miembros, algunos de ellos ya han sido traducidos al español por el equipo de ESET Latinoamérica.

La temática de la Certificaciones Antivirus es tratada en todos los seminarios educativos que dictamos en la Gira Antivirus, y una de las temáticas que surgen con frecuencia en los mismos es cómo hacen las entidades certificadoras para conseguir las muestras al momento de hacer las evaluaciones. Y una de las hipótesis que suele surgir entre los estudiantes es la posibilidad de crear muestras para poder hacer las comparativas. Aunque este es un debate frecuente, y algunas organizaciones han intentado utilizar estos métodos; la realidad es que estos no son efectivos y tienen una serie de inconvenientes que son el motivo por el cual AMTSO no acepta que sean realizadas de esta forma las evaluaciones.

Por tal motivo, la organización promovió un documento titulado Problemas relacionados a la creación de muestras para evaluaciones (en inglés, “Issues involved in the creation of samples for testing“) donde analiza extensamente cuáles son los inconvenientes en utilizar esta práctica para hacer comparativas antivirus.

Los principales puntos del documento (que para aquellos que entiendan el inglés recomiendo leer en su totalidad), son los siguientes:

• La compresión de archivos no puede ser considerada “creación de malware” porque no agrega funcionalidades realmente al malware ya existente, y sólo antivirus muy rudimentarios fallarán en su detección.
• El empaquetamiento de archivos posee el mismo inconveniente: no agrega funcionalidades, se trata del mismo malware, no hay creación real.
• La utilización de Kits de creación de malware tampoco agrega funcionalidades que no hayan sido vistas anteriormente. Lo mismo aplica a los sistemas de polimorfismo.

La única forma de creación real es efectivamente desarrollar software malicioso con técnicas ya existentes o nuevas, pero se encuentran los siguientes problemas:

• Si se crean nuevas muestras, estas podrían servir como guías para los verdaderos creadores de malware, por lo que no es posible su publicación.
• La creación artificial de malware no puede garantizar que refleja lo que realmente ocurrirá en el mundo real.
• Existen formas de evaluaciones retrospectivas (“congelamiento” de bases de firmas) que no requieren la creación de malware y son efectivas, ¿para qué crear malware?
• Si los creadores de malware van a crear una muestra como la creada, sólo es cuestión de esperarlos. Si no lo harán, esa muestra no tiene utilidad.

Para resumir todo el documento, y la idea esencial del post, prefiero tomar prestadas las palabras de David Harley, Director de Inteligencia de Malware de ESET, en el blog de ESET en inglés:

… si estás creando tu propio malware porque no puedes obtener muestras de otras fuentes, existen muchas posibilidades de que no tengas el conocimiento suficiente para crear muestras que representen las amenazas del mundo real.

Sebastián Bortnik
Analista de Seguridad

Categories: Educación, Informes
1 Comment »