El tema del amor es algo que le resulta útil a los cibercriminales, quienes utilizan este tópico como táctica de Ingeniería Social para infectar con códigos maliciosos a usuarios incautos.

Esto suele repetirse durante el año, intensificándose considerablemente cuando nos acercamos a las celebraciones del día de San Valentín, período propicio para que los autores de estas amenazas informáticas aprovechen la ocasión en que las personas están más susceptibles y curiosas respecto a seguir hipervínculos “amorosos” que lleven a supuestas postales, poemas, canciones o videos. A continuación se muestra una vista del correo electrónico recibido en este caso:

Ver m�s… »

Categories: Alertas, Malware
5 Comments »

Hace unos días, compartimos con ustedes parte del informe realizado por investigadores de ESET acerca del crecimiento y la evolución de los bootkit durante el 2011. Hoy vamos a hablar acerca de algunas de las técnicas utilizadas por estos códigos maliciosos para ocultar información dentro del sistema. Repasaremos cómo hacen amenazas como TDL4, Olmasco y ZeroAccess para ocultar su actividad en un sistema infectado mediante la implementación de un sistema de archivos propio, evitando utilizar los servicios del sistema operativo y dificultar su detección.

Sistema de archivos de TDL4

Detectado por ESET NOD32 Antivirus como Win32/Olmarik, el sucesor de TDL3 y TDL3+ esta familia de códigos maliciosos utiliza técnicas de sus predecesores en cuanto al almacenamiento de su información. Mediante la protección con un cifrado RC4 y la utilización de hooks de bajo nivel,  reserva espacio al final del disco duro en dónde crea su propio sistema de archivos. Un análisis detallado de este código malicioso se puede encontrar en el trabajo de investigación realizado por Eugene Rodionov y Aleksandr Matrosov: “The Evolution of TDL: Conquering x64“.

Sistema de archivos de Win32/Olmasco

Los desarrollares de esta amenaza fueron más lejos en el diseño y los detalles de implementación del sistema de archivos oculto. El sistema de archivos de Olmasco, se asemeja al esquema utilizado por TDL4 pero cuenta además con otras funcionalidades:

• Un esquema de soporte para la organización de archivos y carpetas.
• Verificación de integridad de archivos para corroborar si los componentes están dañados.
• Mejor gestión de las estructuras internas del sistema de archivos.

A diferencia de la implementación de TDL4, que solo puede almacenar archivos, las capacidades de Win32/Olmasco le permiten organizar la información en carpetas y directorios. El directorio raíz se denota con una contra barra (backslash “\”), igual que en los sistemas de Microsoft.

Por ejemplo, si se observa a la VBR (Volume Boot Record) de la partición oculta creada por Win32/Olmasco, el código de esta amenaza carga un archivo con el nombre boot desde el directorio raíz.

Ver m�s… »

Categories: Análisis de malware, Malware
1 Comment »

Compartiremos con ustedes parte del informe realizado por David Harley, Eugene Rodionov y Aleksandr Matrosov. Acerca del crecimiento y evolución durante el 2011 de los códigos maliciosos que atacan a sistemas operativos de 64 bits: bootkits. El 2011 presentó un gran crecimiento en la cantidad de amenazas técnicamente complejas.  A lo largo del año pasado hemos sido testigos de un incremento en la cantidad de códigos maliciosos apuntando contra la plataforma 64 bits de Microsoft Windows, particularmente las bootkits. En el diagrama a continuación se puede observar esta evolución a lo largo del tiempo:

TDL4 bootkit

Durante el 2010, especialistas de ESET habían predicho una evolución de este código malicioso a lo largo del año pasado. TDL4, detectado por ESET NOD32 Antivirus como Win32/Olmarik presentó distintas variantes que incluían nuevas funcionalidades. Los desarrolladores de esta amenaza intentaron sobrepasar la actualización de seguridad KB2506014, que contenía una vulnerabilidad que les permitía abusar del Entorno de preinstalación de Windows (Windows PE).

TDL4 es uno de los primeros bootkit propagados que infecta a sistemas de 64 bits. Con el objetivo de controlar el equipo antes de la carga del sistema operativo, sobreescribe el código de la MBR (Master Boot Record) sin modificar la tabla de particiones.

Ver m�s... »

Categories: Malware
1 Comment »

Está circulando a través de correo electrónico, un supuesto video de Magdalena Piñera, hija del Presidente de Chile, teniendo relaciones íntimas en el Palacio de la Moneda, sede gubernamental de ese país. El mensaje simula provenir del portal Chile.com, medio de información que ofrece diversos datos y servicios como el clima, noticias, lugares de interés, entre otros tópicos. Para que este engaño parezca lo más genuino posible, los ciberdelincuentes utilizaron el mismo diseño empleado por el sitio antes mencionado y dejaron algunos hipervínculos reales como el de chile.com y playboy.com para disminuir la sospecha de los usuarios más cautos.

Para explotar aún más la curiosidad, se hace alusión a otros videos en los que aparecería Sebastián Piñera en conductas eróticas y de sadomasoquismo.

Pese a todo lo anterior, el mensaje contiene variadas faltas de redacción y ortografía, error que suelen cometer los cibercriminales cuando utilizan temas escabrosos o de interés como táctica de Ingeniería Social. Por otro lado, un usuario observador notaría inmediatamente que el remitente de este correo es muy sospechoso puesto que el dominio @sonico no se relaciona en absoluto con el portal chileno.

Ver m�s… »

Categories: Alertas, Malware
No Comments »

Los códigos maliciosos pueden comprometer seriamente un sistema y de la misma forma a sus usuarios. Por eso, habitualmente siempre estamos hablando del impacto que tienen en las personas. El primer aspecto que tendemos a considerar es el económico, ya que muchas de estas amenazas suelen comprometer las credenciales de acceso que, la mayoría de las veces, son utilizadas para causar prejuicios financieros al usuario.

No obstante, los códigos maliciosos también pueden causar otro tipo de daños que también son muy relevantes y que no necesariamente están vinculados con el dinero. Uno de estos ejemplos es lo ocurrido en Florida, Estados Unidos; donde Randy Chaviano, acusado de cadena perpetua en 2009, es llevado nuevamente a juicio porque un virus destruyó toda la información recolectada por la estenógrafa encargada que además, no contaba con respaldo de los datos. Esto significa que deberán repetirse muchos pasos del juicio en donde los testigos tendrán que ser escuchados nuevamente demorando el proceso e incrementando sus costos.

Otro caso relacionado con los efectos del malware es el ocurrido en un hospital de Georgia, también en el país norteamericano. El Centro Médico Gwinnett fue forzado a rechazar pacientes debido a una vulnerabilidad en sus sistemas, derivando sus nuevos ingresos a otros hospitales de la zona. Esto llevó a que los enfermeros y los médicos estuvieran imposibilitados de acceder a los historiales de los pacientes, así como también a demás recursos de la red dificultando el ejercicio de su tarea.

Ver m�s… »

Categories: Curiosidades, Malware
3 Comments »