Leíamos el día de ayer sobre una iniciativa del artista Aram Bartholl, titulada Deap Drops (en español, Gotas Muertas). La misma consiste, según explica el autor en su blog personal, en crear “una red peer to peer anónima y off line en el espacio público“, y luego agrega:

Estoy “inyectando” dispositivos USB en paredes, edificios y otros lugares públicos accesibles. Están invitados a ir a esos lugar (por el momento cinco en Nueva York) y dejar sus archivos o llevarse otros. Conecten su computadora portátil y compartan sus archivos favoritos o información.

Posteriormente el creador indica su intención de agregar más dispositivos y en más ciudades. Acá pueden ver una imagen de cómo se ven los USB sobre las paredes, extraída de la galería de imágenes oficial del proyecto:

Sin embargo, más allá de lo curioso u original de la iniciativa, vale destacar un punto importante: los riesgos de las redes P2P online siguen siendo aplicables a esta nueva off line. Cualquier persona malintencionada podría dejar archivos con nombres tentadores para los usuarios y así propagar troyanos por todas las personas que se conecten a la red a través de las paredes, tal cual se realiza cotidianamente en la redes P2P, con archivos tentadores para el usuario como por ejemplo series y películas que en realidad son malware.

Resulta interesante esta noticia para ver cómo la esencia de la inseguridad se mantiene, incluso en redes fuera de Internet: los espacios para compartir archivos, y los usuarios utilizando estos sin los cuidados necesarios son una oportunidad para propagar amenazas a través de Ingeniería Social.

Pero no sólo la propagación de troyanos conocida desde siempre en las redes peer-to-peer, sino que en esta iniciativa también habrá que ocuparse de una de las problemáticas más comunes en materia de malware. Como los lectores frecuentes del blog sabrán, la ejecución de malware a través de dispositivos USB y el archivo autorun.inf es cada vez más frecuente, convirtiéndose en uno de los vectores más frecuentes, que se viene ubicando en nuestro ranking de amenazas mensuales mes a mes como las variantes de malware más detectadas. ¿Qué nos hace pensar que estos dispositivos no estarán infectados con variantes de este tipo? Nada, lo más probable es que en el corto plazo algún usuario ya infectado propague la amenaza al dispositivo, y de ahí en más cada usuario que se conecte se expondrá a infectarse con el gusano.

Como aspecto positivo, entre muchos comentarios alentando la iniciativa, muchos lectores del blog de Bartholl han prestado atención y dado el alerta respecto a los riesgos existentes:

Gran idea – pero deberías pensar en el spyware, hackers y virus. (Bertil Hatt)

Interesante idea [...] pero pronto las personas borrarán los archivos, formatearán el disco o instalar virus en formato autorun.inf. (Slava)

Se puede volver peligroso si la gente guarda virus. (Miranda)

Aunque no deja de resultarnos interesante la apuesta de este artista, y algunos de los recursos que ofrecen las redes P2P, vale destacar los riesgos existentes y recomendar a los usuarios estar protegidos, tener cuidado con los archivos que se descargan de redes de este tipo, y explorar todos los archivos con una solución antivirus con capacidades proactivas de detección antes de ejcutarlos, podrían ser amenazas.

Sebastián Bortnik
Coordinador de Awareness & Research

Categories: Alertas, Curiosidades
1 Comment »

A continuación les presentamos una traducción de un texto realizado por David Harley y Pierre-Marc Bureau, el mismo fue publicado en el blog de ESET en inglés. El mismo presenta un análisis provisional acerca el malware conocido como Boonana (el nombre asignado a la nueva variante multi-plataforma de Koobface, de la cual ya hablamos la última semana).

Nuestro análisis parcial de una versión de malware detectada como Java/Boonana.A o como Win32/Boonana.A (dependiendo de cuál es el componente detectado de este ataque multi-plataforma), varían en ciertas características de otros reportes que hemos visto anteriormente.

La diferencia más clara es el mensaje enviado a los contactos del usuario infectado, mediante el uso de Ingeniería Social y un mensaje que realmente capta su atención. En otros reportes (incluyendo el de Randy Abrams hace unos días) se documentó  una versión que utilizaba el mensaje “Is this you in this video?” (en español, ¿Eres tú en este video?) para llevar a los usuarios a través de un enlace a un video de Youtube.

En este caso en particular, el mensaje era más que preocupante:

Como eres uno de mis contactos, pensé en decirte que decidí terminar con mi vida. Por razones que nunca van a ser claras te pido que visites mi video en este sitio. Gracias por haber sido mi amigo

El mensaje citado más arriba, ilustra un ejemplo más que particular acerca del arte de la Ingeniería Social, este tipo de mensajes ha estado en la red desde hace ya un tiempo, sin embargo no ha atraído la atención de muchos usuarios como hemos esperado. Puntualmente, el análisis del encabezado perteneciente al archivo binario muestra que fue compilado el primero de marzo. En esa ocasión el mensaje fue enviado a través de un correo electrónico en vez de un mensaje de Facebook.

Sin embargo, el seguimiento de ambos mensajes es el que se indicó en el post anterior: cuando la víctima potencial intenta ver el “video”, un mensaje le sugiere que el mismo no puede ser visto si no se instala previamente una aplicación.

Si el truco funciona, el aplet de Java se ejecutará sin problemas en sistemas Windows y OS X, como también podemos confirmar que funciona en Linux. Para los sistemas Windows, sin embargo, se agrega una entrada al registro; mientras que en OS X los archivos se copian a /Library/StartupItems y se crea un script con el nombre OSXUpdates. Según mi entendimiento, el mecanismo utilizado se asemeja un poco a los macro virus utilizados a mediado de los noventa, en donde generalmente se infectaban computadoras Mac como las PC de Windows, aunque el objetivo principal son los equipos con sistemas operativos Windows. En este caso en particular el objetivo es el usuario, no la plataforma. Como he mencionado anteriormente:

Estamos hablando de malware focalizado en Ingeniería Social: su ataque inicial es sobre el usuario, no sobre la plataforma, y en primer instancia no es auto ejecutable. Si nos parece extraño al aparecer el prompt de instalación, el malware no puede cambiar los archivos del sistema por lo que debe permitir el acceso externo sin notificaciones. Por lo tanto, la mayoría del malware (tanto en Windows como en OS X) depende parcial o totalmente de la autorización del usuario para permitir la ejecución del código malicioso.

Mientras que su funcionalidad no es muy diferente, el código no se parece particularmente al de Koobface, motivo por el cual finalmente hemos usado otro nombre como identificador de la firma.

Cuando un equipo es infectado, verifica una lista de 161 dominios. Para cada dominio, el malware realiza una consulta “HTTP HEAD” en búsqueda del archivo applet_hosts.txt. Cuando un dominio responde a la consulta, normalmente envía el código HTTP 300 que resulta ser un enlace que será accedido por el malware. Este comportamiento parece haber sido elegido por el desarrollador del código malicioso, pero el direccionamiento puede haber sido realizado por los dominios que fueron dados de baja desde hace algún tiempo atrás: dicha lista de dominios parece haber sido cargada anteriormente a la creación del malware.

David Harley
Pierre-Marc Bureau

Categories: Malware
3 Comments »