Día a día aparecen nuevos códigos maliciosos que buscan constantemente infectar la mayor cantidad de equipos, y bajo esta premisa, mes a mes ofrecemos un resumen de las actividades del malware. A continuación destacamos las más relevantes en febrero:

• Recientemente se difundió un estudio sobre las capacidades delictivas de una botnet creada a través del troyano ZeuS y que se dio a conocer bajo el nombre de Kneber, con aproximadamente 75.000 computadoras reclutadas. En este sentido, constantemente se conocen estrategias de infección por parte de ZeuS, con lo cual la noticia no debería haber causado pánico.
  Sin embargo, lo realmente preocupante es que existe un alto porcentaje de infección aún cuando casi todas las compañías antivirus previenen y detectan esta amenaza. En este sentido, el malware es uno de los problemas más graves en seguridad, lo cual puede ser corroborado a través de ESET Security Report. Esta situación deja en evidencia la importancia de las herramientas proactivas y de la capacitación del personal corporativo sobre los incidentes de seguridad generados por este tipo de crimeware.
• Otro tema relevante del mes lo constituyo una variante del malware detectado por ESET NOD32 como parte de la familia de troyanos Olmarik. Una variante de esta amenaza es incompatible con sistemas operativos MS Windows XP que instalaron la actualización MS10-015, por lo que, luego de la instalación de este parche , algunos usuarios se vieron afectados por una BSoD (Blue Screen of Death, en español, pantalla azul de la muerte).
• Por otro lado, Conficker sigue afectando organizaciones en todo el mundo y durante Febrero se reportaron más casos de incidentes generados por este gusano. Con los diferentes problemas de seguridad que Conficker ha causado a lo largo de su ciclo de vida, ya constituye un claro ejemplo del problema que significa el malware en las empresas, y el crimeware en general, incluso, a través de tecnologías como Cloud Computing.
• También, a principios de mes, se difundió una campaña masiva de infección dirigida a los usuarios de Brasil, utilizando como cobertura dos entidades de confianza como lo son el Banco do Brasil y la Policía Federal del mismo país, mediante la cual se propagaron códigos maliciosos diseñados para realizar ataques de phishing.
• Por último, febrero es el mes de los enamorados, y como es costumbre en las estrategias de propagación, se difundieron diversas amenazas por el Día de San Valentín a través de Ingeniería Social empleando como cobertura esta excusa. Como así otros casos de  similar envergadura de los cuales quizás el más relevante fue el Hoax de Facebook debido a la popularidad de esta red social.

Recuerden que para obtener mayor información sobre las amenazas más destacadas de este mes, pueden visitar nuestro Ranking de propagación de amenazas de febrero y el informe de amenazas.

Jorge Mieres
Analista de Seguridad

Categories: Reportes mensuales
1 Comment »

El comienzo de año suele ser una época muy esperada para muchos: vacaciones, paseos, etc. Sin embargo, los desarrolladores de malware no se toman vacaciones y constantemente buscan nuevas formas y estrategias que permitan propagar sus amenazas e infectar los equipos de los usuarios.

Y como era de esperar, durante enero se produjeron una serie de acontecimientos relevantes en materia de malware, que a continuación les comento.

• Casi a finales del mes, tomo público conocimiento un ataque dirigido contra grandes compañías entre las cuales se encuentran Google, Adobe y Juniper (y muchas más) que se conoció bajo el nombre de “Operación Aurora” y cuyo objetivo, que por el momento no se encuentra claro, tuvo dos posibles hipótesis. Por un lado, el posible robo de información de propiedad intelectual; y por el otro, el robo de credenciales de Gmail de activistas chinos de derechos humanos.
  El origen de este ataque fue la explotación de una vulnerabilidad en Internet Explorer 6, sin embargo, otro aspecto relevante es que la misma técnica utilizada en el ataque se masificó y en este momento está siendo activamente utilizada para la propagación de malware a través de técnicas como drive-by-download y explotando otras versiones del navegador de Microsoft.
• Si bien este notorio incidente de seguridad constituye un claro ejemplo de lo que habíamos advertido como una tendencia para este año 2010: ataques dirigidos a grandes organizaciones, lo cierto es que también despertó la discusión en torno a una vieja problemática constituida por las vulnerabilidades.
  En este sentido y si bien la explotación de vulnerabilidades no es una novedad, a principios de mes una campaña masiva de infección a través de archivos PDF dejó nuevamente en evidencia la importancia de las actualizaciones de seguridad. Sobre todo teniendo en cuenta que este tipo de técnicas maliciosas son uno de los vectores más aprovechados para la propagación de malware en las empresas y que forman parte de un negocio fraudulento que mueve los ejes del crimeware.
• En otro orden de relevancia, en muchas oportunidades hemos comentado que las técnicas de engaño son uno de los puntos clave para la propagación de malware, y que por lo tanto, cualquier evento de amplia difusión en los medios de información constituye una excusa para los propagadores de malware. En este sentido, durante enero una campaña de infección utilizó el problema en Haití para propagar rogue a través de estrategias BlackHat SEO, al igual que el reciente caso del hoax Facebook Unnamed App. Para entender mejor el funcionamiento del rogue pueden ver nuestro video educativo.
• Como es costumbre en materia de seguridad, y durante todo el año, es la problemática que representan para cualquier usuario (sin importar su nivel de conocimiento) y organización (sin importar su envergadura) algunas metodologías “convencionales” dentro del mundo de las amenazas, como el spam que representa un problema de nunca acabar, o el scam que siempre reaparece, en este caso utilizando el nombre de ESET.
• Por último, hemos realizado un breve análisis sobre uno de los códigos maliciosos con mayor volumen de variantes, detectado por ESET NOD32 bajo el nombre de LockScreen, y cuyo método de infección posee conceptos íntimamente relacionados con el ransomware.

Como podrán apreciar, el 2010 comenzó con bastantes actividades maliciosas en materia de seguridad, y particularmente en torno al malware y sus estrategias de propagación.

Para obtener más información sobre las amenazas más destacadas de este mes, pueden visitar nuestro Ranking de propagación de amenazas de enero y el informe de amenazas. En ambos encontrarán más detalles sobre las diferentes amenazas mencionadas.

Jorge Mieres
Analista de Seguridad

Categories: Reportes mensuales
2 Comments »

Como adelantamos el mes pasado, se termina el año pero las estrategias destinadas a la propagación de códigos maliciosos no cesan; y durante este mes fuimos testigos de muchos problemas generados por malware que aprovecharon como excusa las fiestas navideñas. Por tal motivo, como lo hacemos habitualmente, ponemos a disposición un resumen con las noticias de relevancia.

• Como adelantamos durante todo el mes, diciembre suele ser aprovechado para propagar toda clase de códigos maliciosos explotando Ingeniería Social a través de postales digitales, mensajes del tipo hoax y demás acciones fraudulentas, con motivos navideños. Bajo este escenario, son muchos los mensajes de correo electrónico que utilizan como estrategia de engaño simular ser enviadas por algún ser querido a través de servicios del tipo gusanito.com, como es el caso del malware detectado por ESET NOD32 bajo el nombre de Win32/VB.NUB, por lo que es necesario extremar las medidas preventivas en durante los meses con fechas relevantes.
• Por otro lado, diciembre dejó un marcado aumento en las estrategias empleadas para propagar malware del tipo rogue. En este sentido, las técnicas de BlackHat SEO e Ingeniería Social constituyen un aliado para los afiliados de negocio que se encargan de estas maniobras fraudulentas. Ejemplos concretos son los generados a partir de los incidentes protagonizados por Silvio Berlusconi y el Papa Benedicto XVI, donde se comenzó a propagar rogue bajo la promesa de visualizar sus videos.
• En materia de crimeware, está claro que estamos viviendo la madurez de los mismos, y el aumento de programas web destinados a facilitar la administración de botnets a través del protocolo http, como por ejemplo Neon Exploit System, entre otros, es evidente. Incluso, recurriendo a estrategias disuasivas como la utilizada por ZeuS bajo la cobertura de un servicio de Amazon.
• En otro orden, las redes sociales son vectores en potencia para la propagación de amenazas, y casos como el malware que se propaga en nombre de Facebook lo demuestra y deja claro que los niveles de prevención deben aumentar. Además, el gusano Koobface volvió a atacar, siguiendo su carrera de infección, aprovechando las fiestas navideñas para su propagación.
• Otro vector de ataque aprovechado para la propagación de malware es el  correo electrónico no deseado, donde durante este mes se destacó el uso de este combinado con Drive-by-Download, si sumamos a esto a las implicancias directas del spam en materia de seguridad, el tema no es nada trivial.
• Por ultimo, y si bien no tiene mayor repercusión, pero sí es conveniente tenerlo presenta, es que vuelven a dar batalla dos conocidos adware; por lo que es sumamente necesario atender a las buenas prácticas de prevención e implementar una solución antimalware como ESET NOD32.

Para obtener más información acerca de estas y otras amenazas, les recomiendo visitar nuestro Ranking de propagación de amenazas de diciembre y el informe de amenazas. En ambos encontrarán más detalles sobre cada uno de los códigos maliciosos que se destacaron durante el mes.

Jorge Mieres
Analista de Seguridad

Categories: Informes, Malware, Reportes mensuales
1 Comment »

Se acerca fin de año y las actividades maliciosas no cesan. Constantemente buscan retroalimentar el negocio fraudulento que representan a través de diferentes técnicas y metodologías que en todos los casos intentan vulnerar la seguridad de los usuarios.

En este sentido noviembre no fue la excepción y, como lo hacemos habitualmente, a continuación ofrecemos un resumen mensual con las actividades maliciosas que más se destacaron.

• Sin lugar a dudas, el gusano Conficker fue uno de los códigos maliciosos del cual más se ha hablado a los largo de todo este año debido a la tasa de infección que provocó. Recientemente, ha cumplido un año de la aparición de su primera versión, por octubre del 2008, diseñada para explotar una vulnerabilidad en los sistemas operativos de Microsoft. En consecuencia, ESET Latinoamérica ha desarrollado un documento técnico llamado Conficker en números mediante el cual se explica de forma detallada las actividades maliciosas de este malware.
• También durante noviembre, los usuarios de iPhone fueron victimas de diversas actividades maliciosas. A principios de mes se conoció un ransomware diseñado para esta tecnología móvil que solicitaba U$S 5 a cambio de la solución para el problema; unos días después conocimos el primer gusano para iPhone y a posteriori, las noticias repercutieron con iPhone/Privacy.A, otro gusano que utiliza las mismas metodologías que el anterior pero más dañino.
• Siguiendo la misma actividad maliciosa de “secuestro”, a mediados de mes se conoció la actividad de un nuevo ransomware, en este caso detectado por ESET NOD32 bajo el nombre de Win32/Ransom.G que bloquea el sistema operativo exigiendo el envío de un SMS para obtener la clave de desbloqueo.
• Asimismo, a principios de mes fuimos testigos de la importante tasa de propagación de convite, un troyano detectado por ESET NOD32 como Win32/VB.ONU que, al igual que el caso reciente del malware que aprovecha el nombre del grupo Miranda!, utiliza Ingeniería Social para captar la atención de las potenciales víctimas.
• Por otro lado, nuevamente ha quedado en evidencia que existen actividades fraudulentas que muchas veces están asociadas a códigos maliciosos, y que buscan ejecutar, también de forma fraudulenta, para obtener algún beneficio. Casos como el spam en Twitter, scam con Microsoft y BMW y los ataques de phishing generados por ZeuS son ejemplos concretos.
• Otro factor importante que se destacó este mes fue la explotación de vulnerabilidades antiguas y la del tipo 0-Day que se detectó para Windows 7, que marcan una vez más la importancia de las actualizaciones en los sistemas operativos y las aplicaciones instaladas en estos.

Para obtener más información sobre las amenazas más destacadas de este mes, pueden visitar nuestro Ranking de propagación de amenazas de noviembre y el informe de amenazas. En ambos encontrarán más detalles sobre las diferentes amenazas mencionadas.

Jorge  Mieres
Analista de Seguridad

Categories: Informes, Malware, Reportes mensuales
4 Comments »

Para quienes estamos día a día detrás de este blog, octubre fue un mes bastante agitado en el que hemos ofrecido capacitaciones en varios países. Sin embargo, las acciones maliciosas generadas por el malware tampoco se tomaron descanso.

Como lo hacemos cada mes, les proponemos un resumen de los hechos más relevantes en materia de códigos maliciosos:

• A través de un pequeño informe llamado “Cazando mitos: https“, se ha reforzado el consejo sobre la seguridad que ofrece el protocolo SSL durante el proceso de transmisión de datos entre la computadora del usuario y la página web en la cual se accede información privada, alertando que si bien es un aspecto fundamental de la seguridad también puede ser empleado por los atacantes para realizar ataques de phishing utilizando certificados SSL. De este modo, se dio por tierra con un viejo mito acerca de los protocolos HTTPS como garantía de seguridad.
• A principios de mes, comenzó a circular por correo electrónico un mensaje falso supuestamente emitido por Microsoft advirtiendo sobre una actualización para su cliente de mensajería. A finales del mismo, una seguidilla de mensajes similares, como la notificación falsa de TIM Brasil y la estrategia utilizada por ZeuS que propaga malware a través de un mensaje falso que advierte sobre una actualización en Outlook, dejan en evidencia una vez más que el correo electrónico es uno de los canales más empleados para la propagación de malware.
• Durante este mes, también se advirtió sobre una nueva modalidad delictiva gestada a través de la fusión de las características propias de dos códigos maliciosos muy conocidos: adware y ransomware. Por un lado, se despliega publicidad  a través del navegador (adware) y para poder removerla se solicita el envío de un mensaje SMS (ransomware). ESET detecta esta amenaza como Win32/BHO.NQT.
• También se conoció una nueva ola de propagación del conocido malware Koobface a través de redes sociales. Este código malicioso transforma al equipo del usuario en una zombi, colaborando así con la red organizada de negocios fraudulentos. Además, redirige al usuario hacia la descarga de otro malware pero del tipo rogue.
• Por último, las estrategias destinadas a automatizar los procesos delictivos continúan con su afán de incrementar el negocio del malware, ofreciendo aplicaciones que permiten crear, en este caso, exploits (for dummies) sin esfuerzo alguno.

Como se habrán dado cuenta, todos los meses damos noticias sobre cuestiones relevantes de las actividades de los códigos maliciosos que remarcan la importancia de contar con soluciones de seguridad y antivirus con capacidades proactivas, como ESET NOD32 Antivirus.

Si desean obtener más información pueden visitar nuestro Ranking de propagación de amenazas de octubre y el informe de amenazas en los cuales encontrarán más detalles sobre cada uno de los códigos maliciosos que se destacaron durante este mes.

Jorge

Categories: Reportes mensuales
2 Comments »