Está muy claro que las técnicas de propagación e infección de malware son cada vez más complejas. La prueba de este hecho es la aparición de una nueva amenaza para dispositivos móviles, específicamente Android, que se está propagando a través de páginas web y ataques “drive-by download”.

Según Lookout Mobile, este es el primer ataque dirigido a dispositivos móviles con sistema operativo Android que utiliza la técnica de “drive-by download” para infectar a los equipos. Aparentemente el nuevo troyano simula ser una actualización y se aloja en el equipo bajo el nombre de “update.apk”.

¿Cómo se produce la infección?

Existen sitios web que se encuentran infectados con este tipo de malware. Específicamente, fueron inyectados con código que utilizan iframes para conectarse a sitios remotos y descargar el malware. Generalmente el código se encuentra al final del sitio web y utiliza etiquetas propiamente configuradas, como por ejemplo la etiqueta style con el valor hidden, para ocultarse de la vista del usuario.

Categories: Alertas, Análisis de malware
2 Comments »

El siguiente post es una traducción adaptada al español de la publicación “OS X Lamadai: Flashback isn’t the only Mac malware threat” escrita para ESET Norteamérica por Alexis Dorais-Joncas. El análisis técnico y la creación del entorno de prueba fue realizado por Marc-Étienne M. Léveillé.

Desde la aparición de OSX/Flashback, la primera botnet relativamente masiva para Mac OS X al lograr infectar miles de computadoras Apple, los medios no han dejado de hablar sobre este código malicioso en cuestión, sin embargo, y pese a lo mediático del mismo, nos parece relevante hablar sobre otro malware para esta plataforma pero no desde el aspecto técnico, sino que desde el punto de vista de cómo un botmaster (persona que manipula una botnet), opera una de estas redes y qué hace con una computadora infectada o zombi para obtener información y enviar órdenes de diverso tipo. La muestra elegida para este fin es detectada por ESET Cybersecurity para Mac como OSX/Lamadai.

OSX/Lamadai es un troyano de puerta trasera o backdoor capaz de realizar algunas acciones maliciosas en la computadora de la víctima como descargar y ejecutar ficheros, obtener archivos del equipo zombi, y abrir una consola de línea de comandos. Dejando de lado el aspecto técnico, pasaremos al análisis netamente de monitoreo. Llevar a cabo este tipo de estudios permite que nuestros laboratorios obtengan valiosa información de inteligencia relacionada al modus operandi del atacante que emplea la amenaza. Esto facilita el descubrimiento temprano de variantes nuevas del troyano o incluso familias completamente distintas de malware, y observar ataques de DDoS que suelen realizarse utilizando los recursos de una botnet.

El trabajo realizado fue el siguiente: nuestros investigadores crearon y pusieron archivos falsos en la carpeta personal del usuario creado para la investigación con el fin de observar cómo el operador reacciona frente a estos ficheros. Al cabo de una semana, el atacante realizó la primera conexión. A continuación se muestran los comandos que utilizó el individuo con el fin de realizar un reconocimiento de la carpeta ~/Documents. Para lograr este objetivo usó el comando Unix ls para listar contenidos de directorios.

Ver m�s… »

Categories: Análisis de malware
1 Comment »

Esta semana recibimos en el Laboratorio de ESET Latinoamérica una muestra de un troyano que es detectado por ESET NOD32 Antivirus como BAT/Agent.NLF Troyano, el cual se propaga a través de un correo electrónico que mediante un supuesto video del novio de una de las integrantes de Big Brother Brasil 2012, intenta persuadir a los usuarios de que descarguen un archivo. Con esta amenaza, recaemos nuevamente en los troyanos brasileños, como ya habíamos publicado en este medio. Luego de realizar un análisis más profundo, se pudo observar que el comportamiento ha cambiado con respecto a las operaciones que lleva a cabo:

Ver m�s… »

Categories: Análisis de malware, Phishing
No Comments »

Con el pasar del tiempo la historia de los códigos malicioso ha ido experimentando drásticos cambios en varios aspectos como el tecnológico y motivacional. El primero es algo obvio, las amenazas suelen ser diseñadas para las computadoras y sistemas operativos de la época al igual que lo que sucede con programas legítimos. Es muy poco usual observar actualmente códigos maliciosos diseñados para funcionar en sistemas antiguos como MS-DOS o Windows 95. Del mismo modo, a medida que la tecnología avanza y tanto el software como hardware permiten utilizar nuevas opciones y funciones como el cálculo asistido de ciertas tareas multimedia (como el renderizado de video) utilizando la amplia capacidad de cómputo que ofrece una GPU (Graphic Processing Unit), los ciberdelincuentes también usufructúan de estas nuevas posibilidades para crear malware “tecnológico” como el caso del troyano Win32/Delf.QCZ.

Con respecto al tema motivacional se pudo observar que en un principio, todos los códigos maliciosos eran creados con fines de “entretención” o simplemente como una forma poco ortodoxa de mostrarle al mundo las capacidades de programación de su autor. Desde luego que esto no significa que ese tipo de malware esté exento de provocar grandes perjuicios económicos como el caso del gusano VBS/LoveLetter que aunque no robaba ningún tipo de información, sí destruía algunos archivos, provocando grandes pérdidas. Esta tendencia o época romántica del malware cambió drásticamente con el pasar del tiempo. En la actualidad es muy difícil encontrar códigos maliciosos creados con otro fin que no sea estrictamente económico, es decir, obtener ganancias ilícitas a través del robo de información sensible empleando amenazas informáticas.

Ver m�s… »

Categories: Análisis de malware
No Comments »

El viernes de la semana pasada estuvimos hablando sobre una muestra de un código malicioso que se hacía pasar por una solución de seguridad gratuita que para cobrarle al usuario por su uso. Analizando el archivo más en detalle se puede observar que el ejecutable se encuentra en un paquete autoextraíble. Al descomprimirlo, curiosamente, el archivo despliega varias escenas de la famosa obra Romeo y Julieta de William Shakespeare:

Con estos comentarios se busca ofuscar algunos parámetros que utiliza el código malicioso para autoejecutarse en la computadora de la víctima. Este autoejecutable, una vez extraído, contiene otro archivo comprimido en su interior. No obstante, el segundo está cifrado con contraseña. Para poder descifrarse en la computadora de la víctima, el archivo necesita que la clave se encuentre embebida en alguna parte. Para eso, el autor de este código malicioso decidió utilizar la obra de Shakespeare para disfrazar su clave de la siguiente forma:

Setup = [ARCHIVO] –e –p [CONTRASEÑA]

Ver m�s… »

Categories: Análisis de malware
No Comments »