Una vez más, como todos los meses, compartimos con ustedes el reporte mensual de amenazas, esta vez el correspondiente a  noviembre. Este mes se caracterizó por el descubrimiento de un bootkit para Windows 8:

• Stoned Lite es el nombre del exploit, creado por el ingeniero en software Peter Kleissner para saltar las políticas de seguridad de Windows 8. Este exploit debe ser ejecutado vía USB o CD al inicio del sistema y así permitir la ejecución de aplicaciones que no estén firmadas digitalmente, es decir, que no posean permiso de Windows para ser ejecutadas.
• AnserverBot es una amenaza creada para atacar los smartphones con sistemas Android que se propaga inyectado dentro de otras aplicaciones ubicadas en repositorios de aplicaciones en China alternativos al Android Market. La funcionalidad principal de este malware es convertir al dispositivo en parte de una botnet, mientras que también tiene la capacidad de carga dinámica y ofuscación de código, cifrado de datos, auto verificación de firmas y la posibilidad de detectar y eliminar ciertas herramientas de seguridad para dispositivos móviles.

• Se descubrió un troyano bancario el cual está focalizado en 5 bancos brasileros. Esta amenaza, al infectar el sistema, no modifica el archivo hosts como acostumbran hacerlo este tipo de malware, sino que modifica la configuración del sistema a través de un proxy.

• Un nuevo ataque de phishing a Facebook encubierto bajo la promesa de un nuevo video con contenido sexual de Silvina Luna. Al hacerse miembro del grupo se podrá acceder al link con el supuesto video, que llevará a la víctima a un sitio web de aspecto similar a la famosa red social para que ingrese nuevamente sus credenciales.

• El envío de spam y malware en las redes sociales es importante en estos días, por lo que es importante para los cibercriminales poseer distintos perfiles. Para esto han creado una herramienta que genera múltiples perfiles de Facebook con tan sólo unos pocos clics.

Para obtener mayor información sobre las amenazas destacadas de Noviembre, pueden visitar nuestro ranking de propagación de amenazas destacadas del mes.

Gonzalo Presa
Analista Jr. de Seguridad

Categories: Malware, Reportes mensuales
1 Comment »

El día de ayer el creador de la popular herramienta de escaneo de puertos Fyodor publicó una carta abierta anunciando cómo el popular sitio de descargas de C|Net había troyanizado el instalador de Nmap. Según el popular hacker, la versión de Nmap disponible desde el sitio web mencionado, instala una toolbar, modifica el motor de búsqueda del usuario y modifica la página de inicio. Según el texto, el popular sitio web estaría haciendo lo mismo con populares programas como VLC.

Aquí traduzco libremente algunos otros fragmentos del texto escrito por Fyodor:

Desde la página de descargas de C|Net se ofrece la descarga del instalador de Nmap para Windows. Ellos incluso indican el tamaño de archivo del instalador legítimo, pero los usuarios se descargan un troyano. Este programa hace el “trabajo sucio” antes de descargar y ejecutar el instalador original de Nmap.

[...] Los usuarios confían en que se están descargando el instalador original y que el proyecto Nmap nunca pondría código malicioso en él. Sin embargo, la próxima vez que habrán su navegador se encontrarán con extrañas toolbars [...] y lo peor es que ¡pensarán que nosotros lo hicimos!

[...] Este acto viola claramente el copyright de Nmap.

[...] De hecho, si se desempaca con UPX el troyano y s elo envía a VirusTotal.com, es detectado como malware [...]: http://bit.ly/cnet-nmap-vt (Nota de ESET: nuestros productos detectan el archivo proactivamente como una variante de Win32/InstallCore.C).

[...] De acuerdo a las propias estadísticas del sitio, ¡miles de personas descargan el troyano cada semana! Por lo tanto lo primero era alertar a la comunidad para que nadie más sea víctima. Por favor, difundir el mensaje.

Este tipo de incidentes engloban dos conceptos fundamentales que están muchas veces muy relacionados: el spyware y el greyware. Este último, se refiere a aplicaciones que son ofrecidas por “medios legítimos” de distribución, pero cuyas acciones pueden ser maliciosas en algunos casos, o al menos no siempre comunicadas de forma transparente a los usuarios. Como su nombre lo indica, representan un gris sobre el cual ya hemos comentado reiteradas veces. Así también hemos conversado sobre un tema similar, el spyware en smartphones, y cómo muchas aplicaciones contienen características asociadas al robo de información, especialmente en este tipo de dispositivos.

Este tipo de incidentes ratifican un concepto que hemos mencionado reiteradas veces en este espacio: la importancia de descargar las aplicaciones desde sitios web oficiales. Lamentablemente muchos sitios web están siendo descubiertos con este tipo de prácticas, que terminan perjudicando al usuario que instala en su sistema aplicaciones no deseadas o modifica configuraciones sin ser avisado al respecto.

Sebastián Bortnik
Coordinador de Awareness & Research

Categories: Alertas, Malware
2 Comments »