Compartiremos con ustedes parte del informe realizado por David Harley, Eugene Rodionov y Aleksandr Matrosov. Acerca del crecimiento y evolución durante el 2011 de los códigos maliciosos que atacan a sistemas operativos de 64 bits: bootkits. El 2011 presentó un gran crecimiento en la cantidad de amenazas técnicamente complejas.  A lo largo del año pasado hemos sido testigos de un incremento en la cantidad de códigos maliciosos apuntando contra la plataforma 64 bits de Microsoft Windows, particularmente las bootkits. En el diagrama a continuación se puede observar esta evolución a lo largo del tiempo:

TDL4 bootkit

Durante el 2010, especialistas de ESET habían predicho una evolución de este código malicioso a lo largo del año pasado. TDL4, detectado por ESET NOD32 Antivirus como Win32/Olmarik presentó distintas variantes que incluían nuevas funcionalidades. Los desarrolladores de esta amenaza intentaron sobrepasar la actualización de seguridad KB2506014, que contenía una vulnerabilidad que les permitía abusar del Entorno de preinstalación de Windows (Windows PE).

TDL4 es uno de los primeros bootkit propagados que infecta a sistemas de 64 bits. Con el objetivo de controlar el equipo antes de la carga del sistema operativo, sobreescribe el código de la MBR (Master Boot Record) sin modificar la tabla de particiones.

Ver más… »

Categories: Malware
1 Comment »

Para cerrar el año y completar lo descrito hace unos días, compartiremos lo que a criterio del equipo de Laboratorio de ESET Latinoamérica son las tendencias más importante en materia de malware y cibercrimen para el siguiente año. Es decir, un resumen de lo que hemos descrito más detalladamente en nuestro informe “Tendencias 2012: El malware a los móviles“. Allí, hemos analizado cuáles serán las amenazas informáticas más relevantes para el año 2012 y cómo seguirán evolucionando los códigos maliciosos; y ya he compartido con ustedes la primer entrega de estos post, donde detallamos la tendencia más importante: el malware en los dispositivos móviles. Ahora veamos cuáles son los otros aspectos destacados en el mismo informe.

El primero de ellos, tiene que ver con la propagación de nuevas amenazas a partir de la evolución de las tecnologías. Tal es el caso de, por ejemplo, TDL4, código malicioso que salteaba los mecanismos de protección de rootkits en 64 bits en Windows 7. Un caso similar es el de Stuxnet, y otras amenazas posteriores, que utilizan certificados digitales robados para saltear los mecanismos de validación de ejecutables firmados en plataformas modernas.

Además, podrán encontrar en el documento por qué el equipo de Laboratorio de ESET Latinoamérica considera que el 2012 será el año donde se confirmará el inicio de la desaparacición de Conficker, el gusano que viene infectando equipos en todo el mundo desde el año 2008, superando cualquier ciclo de vida tradicional de este tipo de amenazas.

Finalmente, la otra amenaza que se destaca en el documento son los ataques en Latinoamérica. Hace años que delincuentes informáticos de la región crean y propagan códigos maliciosos, además de realizar otras amenazas informáticas en el ámbito regional. Aquí, se destacan:

• Hacktivismo: la utilización de ataques informáticos con fines ideológicos está creciendo de forma importante en la región. Muchas personas en la región se han identificado con estos movimientos y muchas organizaciones están comenzando a sufrir este tipo de ataques informáticos, especialmente organismos gubernamentales o personas asociadas a la política.
• Privacidad y redes sociales: Latinoamérica es una región con un alto uso de redes sociales. De los 200 millones de internautas que hay en la región, 162 millones tienen cuenta en Facebook. Por lo tanto la propagación de troyanos por estos medios (a través de Ingeniería Social), y especialmente el crecimiento de amenazas de fraude como el clickjacking (el negocio de los clics para los cibercriminales), el scam o las falsas aplicaciones para el robo de información, serán notorias durante 2012.
• Troyanos bancarios y phishing: Dentro del malware, los troyanos bancarios son sin lugar a duda la variante más emblemática desarrollada en Latinoamérica. El phishing, como amenaza relacionada, también se expandió de forma masiva durante el último año y. dada su efectividad (estudios de ESET confirman que un delincuente en la región puede obtener datos de siete tarjetas de crédito por hora con un ataque activo), seguirán funcionando el próximo año.

En resumen, veremos para el próximo año una combinación de viejas amenazas con la aparición de nuevos vectores y características de las nuevas, tal como indica el inicio de la conclusión en el artículo en cuestión:

Durante muchos años los usuarios fueron testigos de una especie de estabilidad en lo que respecta a códigos maliciosos: gusanos y troyanos, distribuidos por correo electrónico y redes sociales, que infectaban a los usuarios y se concentraban en el robo de información.

El informe completo puede ser descargado desde nuestra sección Informes y Tendencias en el Centro de Amenazas de  ESET Latinoamérica. Se va el 2011 y viene el 2012; y ahora que ya conocen las tendencias en materia de malware y cibercrimen pueden ir a brindar en paz, y desde el equipo de Laboratorio de ESET Latinoamérica les deseamos que tengan un hermoso y seguro año.

Sebastián Bortnik
Coordinador de Awareness & Research

Categories: Informes
1 Comment »

Una vez más, como todos los meses, compartimos con ustedes el reporte mensual de amenazas, esta vez el correspondiente a  noviembre. Este mes se caracterizó por el descubrimiento de un bootkit para Windows 8:

• Stoned Lite es el nombre del exploit, creado por el ingeniero en software Peter Kleissner para saltar las políticas de seguridad de Windows 8. Este exploit debe ser ejecutado vía USB o CD al inicio del sistema y así permitir la ejecución de aplicaciones que no estén firmadas digitalmente, es decir, que no posean permiso de Windows para ser ejecutadas.
• AnserverBot es una amenaza creada para atacar los smartphones con sistemas Android que se propaga inyectado dentro de otras aplicaciones ubicadas en repositorios de aplicaciones en China alternativos al Android Market. La funcionalidad principal de este malware es convertir al dispositivo en parte de una botnet, mientras que también tiene la capacidad de carga dinámica y ofuscación de código, cifrado de datos, auto verificación de firmas y la posibilidad de detectar y eliminar ciertas herramientas de seguridad para dispositivos móviles.

• Se descubrió un troyano bancario el cual está focalizado en 5 bancos brasileros. Esta amenaza, al infectar el sistema, no modifica el archivo hosts como acostumbran hacerlo este tipo de malware, sino que modifica la configuración del sistema a través de un proxy.

• Un nuevo ataque de phishing a Facebook encubierto bajo la promesa de un nuevo video con contenido sexual de Silvina Luna. Al hacerse miembro del grupo se podrá acceder al link con el supuesto video, que llevará a la víctima a un sitio web de aspecto similar a la famosa red social para que ingrese nuevamente sus credenciales.

• El envío de spam y malware en las redes sociales es importante en estos días, por lo que es importante para los cibercriminales poseer distintos perfiles. Para esto han creado una herramienta que genera múltiples perfiles de Facebook con tan sólo unos pocos clics.

Para obtener mayor información sobre las amenazas destacadas de Noviembre, pueden visitar nuestro ranking de propagación de amenazas destacadas del mes.

Gonzalo Presa
Analista Jr. de Seguridad

Categories: Malware, Reportes mensuales
1 Comment »

Hace un par de meses, Microsoft anunció que estará implementando nuevas medidas de seguridad en la próxima versión de su sistema operativo, Windows 8. Para eso, han estado ocupados con Windows Defender para que trabaje en conjunto con su nueva característica de inicio seguro, Secure Boot; cuyo funcionamiento no permitiría que una aplicación acceda a la memoria del equipo sin estar firmada digitalmente durante la fase de booteo del sistema.

Sin embargo, también existen personas que están trabajando en buscar vulnerabilidades en los sistema operativos. En este caso, Peter Kleissner, ingeniero en software y desarrollador independiente, ha creado un exploit para saltar las políticas de seguridad de Windows 8. El investigador austríaco, no ha comunicado en forma detallada el proceso para realizar el ataque, sin embargo ha hecho público algunos datos del archivo de infección, bautizado de Stoned Lite, cuyo tamaño es de únicamente 14 kb. A continuación vemos la imagen de lo que sería la arquitectura del nuevo sistema de seguridad:

En primer lugar, la herramienta impide la ejecución de un gestor de arranque de sistemas operativos desconocidos. Luego, se ejecuta una rutina para gestionar las aplicaciones de terceros, y por último, se verifica que la aplicación que se va a correr es inofensiva para el sistema.

Ver más… »

Categories: Alertas
10 Comments »

Como sabemos, cada cierto tiempo (cada vez menor) el nivel de sofisticación del malware aumenta. Nuevas técnicas y métodos de evasión y de propagación son desarrolladas por los creadores de malware día a día. Luego de que el famoso gusano Stuxnet fuera descubierto a mediados del año pasado y su complejo funcionamiento e intenciones fueron revelados, ningún otro malware mostró un nivel que se acercara a sus capacidades técnicas.

En esta oportunidad hablaremos del rootkit nombrado por sus creadores TDL4, también conocido como TDSS y detectado por ESET Nod32 Antivirus como Win32/Olmarik.

Los autores de este rootkit implementaron uno de los más avanzados y sofisticados mecanismos para saltear varias medidas preventivas y mecanismos de seguridad del sistema operativo. En la actualidad es la amenaza más compleja conocida.

Consta de varias versiones las cuales fueron variando en complejidad desde su aparición hace aproximadamente 2 años. TDL3, TDL2 y TDL1 son las versiones anteriores de esta amenaza. Aunque todas las versiones comparten características similares, TDL4 podría considerarse como una nueva clase de malware por sus capacidades mejoradas que detallaremos a continuación.

TDL4 es la primera versión diseñada para afectar equipos con sistema operativo de 64 bits como Windows Vista y Windows 7.

Ver más… »

Categories: Análisis de malware, Botnet, Informes, Malware
21 Comments »