Escuchá el resumen mensual de amenazas en formato podcast:

Como todos los meses, compartimos con ustedes el resumen mensual de amenazas correspondiente al mes de Agosto. Este mes, nuevamente Wikileaks acaparo la atención de los distintos medios del mundo publicando cables confidenciales.

• Una nueva publicación de más de 250,000 cables fueron liberados por la pagina Wikileasks. Este nuevo caso de fuga de información, proviene de un acceso no autorizado a las embajadas Norteaméricana. Sin lugar a duda, al transcurrir los días se tendrá más información sobre estos cables.
• Se ha anuncia en el blog de uno de los colaboradores del proyecto abierto VLC, sobre varias páginas que contienen versiones modificadas de este reproductor de video. Dichas paginas contienen versiones del software que contienen spyware y adware, todo esto con el objetivo de lucrar.
• Android 2.3, ya cuenta con su primer malware que explota una vulnerabilidad crítica de esta versión. GingerMaster denominado así este malware, tiene como objetivo obtener privilegios de root del sistema. Una vez que logra los privilegios, el malware realiza cambios en la configuración del dispositivo, para el robo de información.
• Nuevamente los usuarios que utilizan los servicios bancarios, se encuentran amenazados por una nueva campaña de código malicioso. Mediante correos masivos y un mensaje con un enlace a una aplicación que imita ser un programa de seguridad bancario, el criminal informático recopila datos sensibles de las víctimas.
• Los usuarios del sistema operativo Mac OS, fueron víctimas de una nueva campaña de propagación de malware, que simula ser el instalador Flash Player. Una vez que la víctima es infectada se modifica el archivo host, para robar información sensible con ataques de phishing.
• Las técnicas de la vieja escuela siempre volverán a aparecer. En este caso se reporto a nuestro laboratorio de análisis de malware, una muestra de un archivo de procesamiento por lote (archivo.bat). Este archivo con todos sus bytes en texto plano, logra transformarse en un ejecutable.
• Los ataques a usuarios bancarios son cada vez mas dirigidos. El siguiente caso fue enfocado a usuarios de Venezuela, para el robo de datos bancarios con técnica de phishing. Mediante un mensaje, en donde se informa a la victima que tiene que restablecer sus datos, logra el criminal informático hacerse de los datos bancarios.

Para obtener mayor información sobre las amenazas destacadas de agosto, pueden visitar nuestro ranking de propagación de amenazas destacadas del mes.

Claudio Cortés Cid
Especialista de Awareness & Research

Categories: Reportes mensuales
4 Comments »

En muchas oportunidades cuando hablamos de malware, mas precisamente de troyanos, lo hacemos refiriéndonos a archivos ejecutables de plataformas Windows cuya extensión es EXE. En esta ocasión hablaremos de otro tipo de troyanos, como el que mostraremos a continuación, que está programado como un script PHP.

Las muestras en cuestión son detectadas por ESET NOD32 Antivirus como PHP/C99Shell, cuyas variantes pueden ser por ejemplo PHP/C99Shell.J y PHP/C99Shell.NAD, solo por citar algunas. Cabe destacar que estas amenazas no son nuevas. Como comentamos en este mismo blog, muchas amenazas aunque utilicen técnicas antiguas o su código sea visiblemente en texto plano, no dejan de ser menos peligrosas que las actuales.

Las diferentes variantes de esta amenaza realizan diversas acciones y utilizan variadas técnicas para lograr su objetivo. Una de las diferencias que puede haber respecto a los ejecutables maliciosos tradicionales, es el uso de diferentes exploits dependiendo de la versión del servidor a atacar. Al ser simplemente un script PHP y al ser en texto plano, su modificación es relativamente sencilla para una persona con conocimientos de PHP scripting, pudiendo así agregar nuevas funcionalidades o actualizar las existentes.

Sin importar que variante de este troyano estemos analizando, todos tienen en común una serie de acciones. La principal es que posibilita al atacante el acceso a la computadora infectada remotamente. Su uso más frecuente es en servidores web comprometidos. Otras acciones que realiza pueden ser la de subir o borrar archivos del servidor, abrir puertos, listar determinados directorios, crear directorios, crear archivos, ver la versión de kernel actual, ver la lista de usuarios logueados, listar procesos, ejecutar código PHP, la capacidad de auto eliminarse , etc.

La interfaz web de esta shell, como vemos en la siguiente imagen, es bastante simple por lo que no se necesitan grandes conocimientos para poder utilizarla:

Este troyano, al igual que los troyanos en archivos EXE son altamente peligrosos por lo que recomendamos poseer una solución antivirus con capacidades de detección proactiva actualizada. De esta manera mantendrán sus servidores protegidos contra este tipo de amenazas.Es muy común ver paginas vulneradas que alojan malware sin el conocimiento de los webmasters. Estas paginas infectadas, al detectarse son bloqueadas por el antivirus para prevenir la propagación de malware; por lo que afectan a los visitantes de la web.

Juan Esteban Forgia
Malware Analyst

Categories: Análisis de malware
1 Comment »