Escuchá el resumen mensual de amenazas en formato podcast:

Nuevamente compartimos un resumen mensual de amenazas correspondiente al mes de septiembre. Se reporto durante este mes una nueva propagación de una amenaza denominada Ramnit. La amenaza fue calificada como severa (la más alta), por el centro de protección de Microsoft:

• Ramnit un malware del tipo virus que se encuentra propagándose por la red. Este virus en poco tiempo se ha ubicado entre las 10 amenazas mas propagadas de América latina. Una vez infectado el sistemas, este realiza un búsqueda de archivos ejecutables y librearías y en cada uno agrega una sección que ejecutara antes del código original. Este malware también explota vulnerabilidades en varios sistemas operativos de Microsoft, permitiendo tener más control del sistema.
• SPITMO, la versión de móvil de SpyEye, se encuentra siguiendo los pasos de Zeus. Este malware que afecta a los sistemas móviles de Android, está causando pérdidas millonarias a diferentes victimas. Esta versión posee la capacidad de guarda la información de autentificación del home banking de la víctima.
• Se han reportado un caso de phishing que simula ser una página oficial de Skype, todo esto con el objetivo de robar credenciales de acceso e información bancaria. El sitio presenta iconos falsos, para hacer creer a la victima que se encuentra en un sitio seguro.
• Los desarrolladores de código malicioso se encuentran trabajando constantemente en mejorar de sus amenazas, este es el caso de Mebromi.  Este malware posee la capacidad de infectar la BIOS del equipo a través de un driver que se ejecuta en modo kernel para luego pasar a infectar la MBR del sistema operativo. Cada vez que la victima inicia el sistema siempre se ejecutara en primer término otro código malicioso.
• Un ataque que ha comprometido a varios sitios alojados en Go Daddy, fueron utilizados para la propagación de malware. Estos sitios re direccionaba al visitando a una página la cual contenía código malicioso. Un total de 445 cuentas fueron afectadas en este ataque.
• Los ataques de phishing al sistema Brasileño, cada vez se están volviendo más constantes, durante este mes se reportaron dos casos que utilizaron las mismas metodología para montar estos sitios. En el primer caso se pudo encontrar que en el servidor vulnerado se encontraban diferentes paquetes para montar phishing de distintas entidades bancarias. En el segundo caso, se pudo encontrar el backdoor utilizado para subir los archivos al servidor.
• La pornografía es utilizada muchas veces para atraer nuevas víctimas. En este caso se pudo encontrar un malware del tipo ransonware que imitaba ser un video con contenido pornográfico, una vez infectado el sistema operativo de la víctima se le pedía una contraseña.
• El negocio del rogue o falsas soluciones de seguridad, sigue generando perdidas alrededor del mundo. System recovery es un nuevo malware, que utiliza técnicas para inducir a la victima a ingresar los datos de las tarjeta bancaria.

Para obtener mayor información sobre las amenazas destacadas de septiembre, pueden visitar nuestro ranking de propagación de amenazas destacadas del mes.

Claudio Cortés Cid
Especialista de Awareness & Research

Categories: Reportes mensuales
No Comments »

A lo largo del último tiempo, Microsoft ha tomado parte en el desmantelamiento de distintas botnet entre las cuales encontramos a Rustok, a inicio de este año y Waledac hace ya algún tiempo. En esta oportunidad, el gigante de Redmond ha vuelto a tomar acciones en contra de una red de computadoras zombies conocida como Kelihos y además, inició acciones legales contra algunos de sus administradores en una operación conocida como “Operation b79” .

Si bien el tamaño de Kelihos no se asemeja al de Rustok, ya que se estima de un total de 41.000 bot (enviando 3.8 millones de correos por día), es la primera vez que ha logrado iniciar una demanda contra los administradores de la botnet. Según la investigación realizada por Microsoft, Dominique Alexander Piatti y John Doe eran los administradores de varios dominios utilizados para controlar dicha red.

Kelihos era una botnet principalmente destinada al envío de spam en donde una vez que un equipo era infectado por un código malicioso, comenzaba a formar parte de esta red, para luego recibir órdenes desde el centro de control (C&C). Entre las funcionalidades con las que contaba, además de enviar spam, también realizaba el robo de contraseñas y el almacenamiento de contenido ilegal en las máquinas comprometidas.

Para poder llevar a cabo el desmantelamiento de la red, Microsoft obtuvo una orden judicial que le permitió desconectar 21  direcciones de dominio, incluyendo uno con extensión cz.cc, perteneciente a un servicio de registro de dominios en la República Checa. Una vez que los más de 41.000 equipos zombies fueron desconectados del panel de control y dejaron de recibir las órdenes del botmaster la denuncia se hizo pública, notificando directamente a los acusados.

Este es el tercer desmantelamiento de una botnet efectuado por el gigante de Redmond, quien además declaró que seguirá trabajando para dar de baja las redes de computadoras zombis que todavía continúan activas. En parte es una actitud proactiva por parte de una compania informática con el objetivo principal de garantizar la seguridad de los usuarios.

Con la intención de mantener los equipos protegidos contra este tipo de códigos maliciosos es necesario contar con una solución antivirus con capacidad de detección proactiva y además hace uso de las buenas prácticas para navegar por Internet.

Pablo Ramos
Especialista en Awareness & Research

Categories: Malware
1 Comment »