Ya se acerca esa época del año en la que empezamos a observar pinos, luces de colores y regalos. Así es, navidad, una celebración que, entre otras cosas, se caracteriza por recibir algún que otro presente. Lamentablemente, en lo que se refiere al ámbito del malware, no solo no nos regalan nada, sino que buscan robarnos algo. En ocasiones anteriores les mencionamos algunas practicas comunes para las fiestas, pero ahora queremos mencionarles algunas otras.

Hace unos días recibimos en nuestro Laboratorio de Análisis e Investigación de Malware el siguiente script escrito en lenguaje BATCH, el cual, además de llamarse “Cold xmas.bat” (un nombre relacionado a Christmas, la expresión en inglés de navidad), realiza un serie de tareas curiosas:

Más allá de la utilización de lenguaje vulgar para definir las variables y posteriormente utilizar la combinación de las mismas para armar un comando, se observa cómo crea una serie de carpetas con los nombres normalmente utilizados por programas peer-to-peer.

Posteriormente busca copiar a una de las carpetas creadas todos los archivos con nombres referentes a licencias dentro de la unidad C:, y los posibles archivos de licencia de diversas soluciones antivirus, donde se destaca un nombre que apunta a los productos de ESET. Los usuarios de ESET NOD32 Antivirus pueden estar tranquilos ya que no es esta la ruta donde se guarda la licencia del producto.

Por último comparte toda la unidad C: y agradece de forma irónica las posibles licencias compartidas. Es más que claro que no es un script muy elaborado ni genérico, pero es importante destacar de todo esto que la utilización de las fiestas venideras como método de engaño es algo real y que en los próximos días probablemente se vuelva muy presente.

Es por esto que queremos facilitarles una serie de recomendaciones para evitar ser víctimas de dichos engaños:

• Ser precavido con los correos que se reciban con supuestos saludos y postales navideñas que contengan enlaces. El hecho que los mismos provengan de contactos conocidos no es un factor determinante para catalogarlos como seguros.

• Algunos correos y publicidades web alegan brindar grandes descuentos o, incluso, regalar productos novedosos simplemente para atraer la atención de usuarios curiosos. Bajo ningún punto se debe hacer clic en los mismos.

• En esta época no son nada raros los sorteos, tendencia que muchos usuarios maliciosos suelen aprovechar para robar información sensible. A menos que el formulario se encuentre alojado en un sitio web cuya autenticidad haya sido verificada, se recomienda no llenar los mismos.

• Las populares cadenas navideñas a veces poseen un propósito no tan amigable como su contenido, ya que buscan robar las listas de direcciones de correo dentro de las mismas, para luego venderlas a spammers. En caso que se desee compartir dicha cadena se recomienda reenviar la misma agregando los contactos dentro del campo “copia oculta” y eliminando las direcciones de correo que se encuentren dentro del cuerpo del mensaje.

• En caso de querer realizar las compras navideñas de manera online, se recomienda utilizar sitios conocidos y que posean un certificado de seguridad valido. Esto se puede verificar haciendo clic en el logo del candado que suele aparecer al lado de la dirección web y luego verificar que la URL que allí aparece sea idéntica a la que accedimos mediante el navegador.

Adicionalmente a estas recomendaciones siempre es importante disponer de una solución antivirus con detección proactiva de amenazas. Este es un momento del año muy especial como para verlo amargado por una infección o estafa, es por eso que es preferible tomarse unos segundos antes de hacer clic.

Joaquín Rodríguez Varela
Malware Lab Engineer

Categories: Análisis de malware, Malware, Malware en imágenes
4 Comments »

En el día de ayer les dejé la primer parte del resumen de amenazas del año 2010, un trabajo que hicimos con el equipo de Laboratorio de ESET Latinoamérica sintetizando cuáles fueron los incidentes más importantes que ocurrieron en el año. En la primer parte les contaba sobre los ataques dirigidos, una tendencia que se marcó a principio de año y que tuvo al gusano Stuxnet como protagonista constante, y en esta ocasión les entrego el resto de los hechos importantes que ocurrieron durante el 2010.

Redes botnet

En segundo lugar, las redes botnet han ocupado a lo largo de los meses diversos incidentes que certifican su crecimiento como amenaza. Amenazas como Zeus, el panel de administración de botnet más utilizado en todo el mundo, ha tenido diversas apariciones a lo largo del año, especialmente asociadas al robo de información de credenciales bancarias, una de sus características más relevantes y funcionales, de una red botnet que está asociada a muchos de los códigos maliciosos más populares del año, como es el caso de Koobface, otra de las amenazas que siguió viva durante el año, con diversas campañas de propagación en abril (campaña de falsos videos y codecs), mayo (campaña similar sobre Flash y videos) y agosto (sobre falsos videos de cámaras de seguridad); y finalmente la aparición a fin de año de una nueva variante del troyano que afectaba sistemas Linux y Mac OS.

Sobre el final del año, Zeus recobró protagonismo ya que su autor anunció el fin del desarrollo del mismo (y su posible fusión con SpyEye) y, unas semanas después, diversas operaciones concluyeron en la detención de delincuentes utilizando Zeus a lo largo del mundo, resultando atrapadas ocho personas tanto en Estados Unidos como en Moldavia.

La persecución a administradores de botnet y criminales asociados al negocio delictivo que estas integran también ha sido observado durante el año: a principio de año se realizó el desmantelamiento (proceso de dar de baja las redes, conocido en inglés como takedown) de dos importantes redes, como Mariposa y Waledac (en esta última investigadores de ESET colaboraron brindando información). En el segundo semestre se observó en Holanda el desmantelamiento de Bredolab, otra importante red que durante dos años infectó más de 30 millones de sistemas, aunque algunos indicios permiten aún identificar actividad de nuevas variantes de este troyano. Finalmente, aunque no pudo ser desmantelada, sí fueron dados de baja algunos de los centros de comando y control de Koobface, lo cual permitió conocer datos sobre su funcionamiento y éxito, aunque aún no se ha logrado la baja completa de la red.

Finalmente, también fueron noticias asociadas a las botnet los experimentos realizados para crear equipos zombis móviles (con teléfonos celulares de alta gama), logrando armar una red de más de ocho mil víctimas, aunque sólo fue utilizado con fines de investigación. También se destacaron las tecnologías para administrar botnet desde Twitter, donde el Laboratorio de ESET detectó dos amenazas a lo largo del año utilizando estas tecnologías.

Ver más… »

Categories: Informes, Malware
2 Comments »