Las plataformas móviles han crecido a un ritmo increíble durante el este último tiempo y continuarán creciendo, es por ello que los desarrolladores de códigos maliciosos van poco a poco pisando más fuerte en estas plataformas. En esta ocasión compartimos con ustedes el análisis de un código malicioso cuya función es el envío de mensajes de texto sin el conocimiento del usuario.

El archivo en cuestión es un .jar, con lo cuál es posible ejecutarlo en equipos móviles que utilizan Symbian, el sistema operativo para dispositivos móviles más utilizados de la actualidad. La aplicación se enmascara en un programa para editar fotografías pero sin saberlo realiza el envió de mensajes de texto.

En primer instancia, para analizar cómo funciona, este código malicioso fue instalado en un emulador, y en él se pudo ver el comportamiento con cierto nivel de detalle en detalle. Sus funcionalidades eran básicas, al iniciarlo se observa un visor de la cámara y una vez se ha realizado una captura se puede seleccionar alguno de los cuatro botones: A,B,C, y D

Ante la ejecución de cualquier de las opciones (y también la primera vez que se ejecuta el programa), este solicita por permisos para el envío de mensajes de texto. Ahora, ¿por qué un programa de fotos solicita estos permisos? La respuesta es sencilla, para enviar mensajes de texto sin el consentimiento del usuario a determinados números de teléfonos con el fin de que el desarrollador del código malicioso obtenga algún beneficio económico.

Como se mencionaba anteriormente, al momento de ejecutar por primera vez la aplicación solicita autorización para el envío de SMS, y este es el punto en el cual el usuario debería desconfiar de la aplicación:

Si en este momento el usuario elije darle permisos a la aplicación para enviar un mensajes al número que solicita, se está exponiendo al envío de mensajes a un número desconocido que le puede significar un costo. Esta amenaza es detectada con el nombre J2ME/TrojanSMS.Jifake.AT por ESET Mobile Security, la solución de seguridad con protección antivirus para dispositivos móviles.

Está claro que el mismo programa es quien debería de llamar la atención del usuario al solicitar estos permisos ya que lo hace de una manera directa, pero a veces la falta de educación del usuario ante las amenazas existentes lo expone más de lo necesario y es por ello que incluso en plataformas móviles es recomendable contar con una solución antivirus. Esto, en conjunto con una concientización por parte del usuario acerca del uso seguro de dispositivos móviles minimiza el riesgo de comprometer el equipo. En un siguiente post le mostraremos más en detalle cómo es que se encuentra compuesto el código de esta aplicación y genera los mensajes de texto.

Pablo Ramos
Especialista de Awareness & Research

Categories: Análisis de malware
No Comments »

Nuevamente podemos observar que la técnica de Ingeniería Social sigue siendo la manera preferida a la hora de infectar grandes cantidades de victimas. Desde nuestro Laboratorio hemos identificado una nueva amenaza de infección, la cual se está trasmitiendo por mensajería instantánea. En este caso es a través del mensajero Windows Live Messenger, aunque también utiliza la famosa red social Facebook con el objetivo de que a la víctima se le genere confianza al acceder a este sitio, para luego descargar el malware. Comenzando con el análisis, el siguiente cuadro es una captura del mensaje enviado automáticamente por una victima previamente infectada, a todos los contactos de su cliente de mensajería instantánea:

Como podemos ver, el enlace nos lleva a una página oficial de Facebook, donde esta nos advierte que nos encontramos saliendo del dominio del mismo. Vale destacar que esto ocurre, tanto si el usuario está logueado como si no… Posteriormente, se advierte sobre los peligros de seguridad del re direccionamiento:

Si el usuario avanza, se llega a una página de un scam de Facebook, en el cual aparece una supuesta foto, y se ofrece la descarga de un archivo de nombre “image96523489″, el cual es detectado por ESET NOD32 con el nombre Win32/Yimfoca.AA:

Estos son los datos del archivo en cuestión:

• Nombre del archivo: image96523489
• Tamaño del archivo: 65.024 bytes
• MD5: 4f2fa7233465d8800be0497aa8a871ed

Una vez que el archivo está en ejecución, el malware realiza una copia de sí mismo con el nombre nvsvc32.exe y este crea las siguientes claves de registros haciendo alusión a la compañía NVIDIA (para evitar que el usuario las considere sospechosas):

• HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\NVIDIA driver monitor: “c:\windows\nvsvc32.exe”
• HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run\NVIDIA driver monitor: “c:\windows\nvsvc32.exe”
• HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ NVIDIA driver monitor: “c:\windows\nvsvc32.exe”

Continuando con la infección, el malware se añade en la siguiente clave de registro, en la lista de excepciones del firewall de Windows:

• HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\Documents and Settings\Usuario\Escritorio\image96523489.exe: “c:\windows\nvsvc32.exe:*:Enabled:NVIDIA driver monitor”

Finalmente, como parte del proceso de infección, el malware inyecta código en otros procesos de Windows tales como:

• iexplorer.exe
• svchost.exe

Seguiremos analizando la evolución de este malware en nuestro Laboratorio, para aportarles más datos del mismo si este evoluciona o aparecen nuevas variantes. Es impórtate que ante situaciones como esta, se recuerde que la concientización es la mejor manera de evitar estos ataques. Por tal motivo, elaboramos un decálogo de seguridad para navegar de manera más segura.

Cerrando, a todos nuestros lectores, y en representación de todo el equipo de Educación e Investigación de ESET Latinoamérica, ¡les deseamos unas felices fiestas!

Claudio Cortés Cid
Especialista de Awareness & Research

Categories: Botnet, Malware
2 Comments »

Uno de los temas de mayor interés en las últimas semanas ha sido sin duda el de la fuga de información, en base a los sucesos protagonizados por Wikileaks y todo lo que trajo a colación. Sin embargo, es interesante destacar que el tema no es nuevo para la industria de la seguridad de la información, solo que hoy en día es mucho mas difícil evitarlo en las mesas de discusión sobre la privacidad y la confidencialidad en las empresas y también en el ámbito personal.

Podemos separar en principio el tema en dos grandes ramas, la primera relacionada con la tecnología, y la segunda con las personas. Para la primera existen innumerables mecanismos, conocidos con distintas siglas, entre las que se encuentran de manera un poco confusa: Data Loss Prevention (DLP), Data Leak Prevention (también DLP), Information Leak Detection and Prevention (ILDP), Information Leak Prevention (ILP), Content Monitoring and Filtering (CMF) y Information Protection and Control (IPC).

Estas tecnologías no funcionan solas, sino que deben ser minuciosamente configuradas, para lo cual se requiere previamente conocer el valor de la información, que se obtiene luego de realizar un estudio de valuación de activos, de manera que se sepa cuánto valen los activos que se desean proteger. Esta es la razón por la cual muchas empresas sencillamente no pueden disponer de un sistema que técnicamente proteja contra la fuga de información, dado que no tienen realizado un estudio que determine el valor de sus datos. Más allá de esto, la información se debe clasificar en función de su nivel de requerimientos de confidencialidad, integridad y disponibilidad, cosa que también ayudaría a implementar un sistema como los mencionados. Evidentemente es difícil encontrar este nivel de madurez en las empresas pequeñas y medianas, pero en las grandes compañías y organizaciones no suele ser opcional, por lo que son las mejores preparadas para enfrentar problemas relacionados con estos procesos previos.

Ver m�s… »

Categories: Fuga de información, Gestión
4 Comments »

La conocida botnet SpyEye es una de las más grandes y antiguas en existencia. La misma adquirió mas fuerza al unirse supuestamente con Zeus, otra reconocida botnet, a fines de octubre del corriente año. Adicionalmente, este año  observamos varios operativos realizados a lo largo de todo mundo por diversas entidades, donde se logró inutilizar total o parcialmente varias botnets y se destacó el arresto de 8 individuos vinculados con Zeus.

El día de hoy les traemos un analisis un poco más en profundidad de un malware detectado por ESET NOD32 Antivirus como Win32/AutoRun.Agent.ZJ, el cual busca “reclutar” victimas a la red de SpyEye. Lo que se observa en la imagen a continuación es la utilización de varios métodos para propagar la muestra en cuestión:

Como se detalla en la imagen, la amenaza busca una serie de nombres de procesos en ejecución pertenecientes a conocidos mensajeros para, posteriormente, enviar un mensaje a todos los contactos del usuario afectado. Lo particular de esto es que el mensaje que será enviado es obtenido de un archivo de texto online, permitiendole al desarrollador malicioso cambiar el mismo de acuerdo a eventos reciente para lograr tasas de infección más altas. Adicionalmente la amenaza utiliza una serie de variables para agregar, al mensaje enviado, el segundo link que se observa en la imagen, el cual descarga el mismo malware que estamos analizando.

En el centro de la imagen observamos una porción de código, la cual es utilizada para propagar la amenaza por medio de dispositivos de almacenamiento masivo. Lo que se observa allí es el contenido del archivo autorun.inf que será creado para infectar dichos dispositivos conjuntamente con el archivo ejecutable al cual hace referencia.

Analizando la URL que se observa en la imagen, encontramos el panel de administración característico de SpyEye. Lo curioso de esto es que el mismo es mencionado en otros sitios de análisis de sitios maliciosos como el entorno de administración de un servidor de la botnet Zeus. Con esto queda más que claro que la fusión entre Zeus y SpyEye que antes mencionamos fue efectivamente realizada.

Posterior al análisis realizado, podemos concluir que esta amenaza fue completamente diseñada para poder “alterar” su funcionamiento y metodologías de infección de forma completamente remota y sencilla, permitiendole al desarrollador lograr altos niveles de infección con el menor esfuerzo.

Joaquín Rodríguez Varela
Malware Lab Engineer

Categories: Análisis de malware, Botnet, Malware
1 Comment »

Finalizamos con esta entrega esta triada de post donde compartí con ustedes las principales tendencias en (in)seguridad para el 2011, las cuales recuerden que pueden ver completas en el informe “Tendencias 2011: las botnet y el malware dinámico“. Luego de haber mencionado las tres tendencias más importantes para el 2011 (redes botnet, malware multi-plataforma y BlackHat SEO Social), vale destacar que otras “tendencias” lo serán también, no por lo novedoso o explosivo de sus estrategias o metodologías, sino simplemente por ser la continuidad de algunas técnicas o metodologías que ya han sido tendencia en años anteriores.

Aquí están, estás son, las tendencias de siempre:

• Vulnerabilidades de software: los gusanos que aprovechan vulnerabilidades de software seguirán siendo, sin lugar a duda, uno de los vectores de infección más importantes, ya que permiten la ejecución de código sin la intervención del usuario, y por lo tanto la infección puede pasar desapercibida para la víctima hasta que no aparezcan síntomas en el sistema. En este contexto, las vulnerabilidades del tipo 0-day (sin parche de seguridad disponible) representan una oportunidad para los atacantes, y que seguirá siendo aprovechada a medida que estas aparezcan. En casos ocurridos durante 2010, como el del gusano Stuxnet, ESET Latinoamérica detalló la cronología del ataque, indicando sus analistas que se concretaron “16 días desde la publicación de la vulnerabilidad hasta la existencia de un parche definitivo por parte del fabricante, ventana de tiempo durante la cual varios códigos maliciosos aprovecharon, causando numerosos problemas a entornos informáticos y atentando contra la seguridad de la información”. Solo aquellos usuarios que utilizaron software antivirus con capacidades proactivas de detección, como ESET NOD32, estuvieron protegidos durante esa “ventana de tiempo” en que la vulnerabilidad estuvo a disposición de los atacantes para propagar sus amenazas.Sin embargo, no solo las vulnerabilidades 0-day son aprovechadas por los atacantes, sino también cualquier tipo de estas es una oportunidad para los desarrolladores de malware. Por ejemplo, el gusano Conficker está en actividad desde octubre del 2008, y más de dos años después sigue en actividad, ocupando los rankings realizados por ESET Latinoamérica en cuanto a los códigos maliciosos más detectados mes a mes:

  

Ver m�s… »

Categories: Informes
No Comments »