El siguiente post es una traducción de la publicación King of Spam: Festi botnet analysis publicado en el blog de ESET Norteamérica.

Nuestros colegas de ESET, Eugene Rodionov y Aleksandr Matrosov, realizaron un análisis completo (en inglés) sobre un malware conocido como Win32/Festi. Tal como puede apreciarse en el mencionado análisis, Festi es una botnet que está en circulación desde otoño del 2009. Este malware se actualiza regularmente y de esta forma continúa siendo una amenaza potencial. El mencionado código malicioso es detectado por ESET NOD32 Antivirus bajo la firma de Win32/Rootkit.Festi.

Win32/Festi continúa siendo una de las botnets de spam más activas del mundo. Tal como se informa en el documento, el plugin que incorpora esta amenaza brinda la capacidad de ser utilizada para realizar ataques de denegación de servicio distribuídos (DDoS). Además, el driver que incorpora esta amenaza, el cual opera en modo kernel, brinda funcionalidades más complejas, como por ejemplo:

• Actualizar la configuración de la amenaza desde el centro de comandos y control de la botnet (C&C).
• Descargar nuevos plugins para funciones específicas.

Tal como se puede ver en el diagrama, el driver que opera en modo privilegiado contacta periódicamente al panel de control requiriendo plugins e información sobre la configuración. Los plugins descargados son los que realizan el envío de spam.

Ver m�s… »

Categories: Análisis de malware
No Comments »

Tenemos el agrado de compartir con ustedes una vez más el reporte de amenazas y tendencias correspondiente a abril, mes en el que continuamos con nuestra exitosa Gira Antivirus a través de Latinoamérica. Primero fue el turno de Ecuador, país en donde estuvimos presentes en dos ciudades, Guayaquil y Quito. Luego, tuvimos una semana muy agitada en donde diversos integrantes del equipo de Educación e Investigación de la compañía, visitaron más países como México, Venezuela y Costa Rica, brindando en todos ellos, charlas de concientización en universidades y en el caso de los primeros dos, también nuestro evento corporativo ESET Security Day 2012. Aprovechamos la ocasión para recordarles a los estudiantes que aún están a tiempo de participar en el Premio Universitario ESET 2012. El ganador tendrá la posibilidad de viajar a Dallas, Estados Unidos, con todos los gastos pagos, para poder participar en el evento Virus Bulletin 2012:

• Uno de los principales temas del mes fue la continuidad en la propagación de OSX/Flashback, troyano que logró reclutar miles de computadoras Mac demostrando no sólo que una botnet es posible en otros sistemas más allá de Windows, sino también que el eslabón más débil son los propios usuarios y no necesariamente el nivel de seguridad implementado tecnológicamente en un sistema operativo. Las personas son quienes deben adoptar un comportamiento precavido y adecuado con el fin de evitar ser víctimas del cibercrimen sin importar cuál software o plataforma utilicen. Continuando en esta línea, destacamos el análisis de inteligencia realizado por nuestros investigadores de ESET sobre OSX/Lamadai, quienes descubrieron algunos aspectos del modo de operar de los controladores responsables de esta botnet.

• Durante abril también pudimos observar cómo una clásica pero aún efectiva táctica para obtener información financiera –el phishing–, evolucionó para maximizar el rédito económico por parte de los ciberdelincuentes. A través de la tecnología de geolocalización, los cibercriminales están comenzando a emplear este método con el fin de que sólo aquellos usuarios que forman parte de los objetivos o target de estos grupos delictuales, puedan acceder al phishing. De este modo, nuestro laboratorio encontró un caso que afectaba a un importante banco de Brasil y cuyo contenido era accesible solamente desde ese país. Mediante esta técnica, los responsables se aseguran de obtener información válida que sea de utilidad y que el phishing, tenga una duración mayor al pasar inadvertido por usuarios de otros países que podrían contribuir a darlo de baja.
• Prueba de la efectividad que caracteriza a la técnica del phishing son los 31.000 usuarios que se vieron afectados por el robo de sus nombres de usuarios y contraseñas de Twitter. El motivo, un phishing que seducía a las potenciales víctimas mencionando que se estaban haciendo comentarios malintencionados de estas a través de la red social. Una vez que el usuario visitaba el enlace malicioso, se le solicitaban sus credenciales con la excusa que la sesión había expirado debido a un período de inactividad prolongado. Algo a destacar de esta situación fue que dentro de la lista de víctimas, habían personas relacionadas a sectores gubernamentales, educativos y otros, demostrando que la educación no sólo es necesaria para los usuarios finales sino que para todos por igual.
• Con respecto a usuarios y contraseñas mencionar que cPanel, conocida herramienta de administración web, podría exponer datos sensibles si el administrador no emplea correctamente este programa. Mediante la creación de un archivo que expone dicha información, buscadores como Google pueden exponer esas credenciales si el usuario no borra dicho fichero. Por otro lado, la encuesta de abril, que mes a mes realizamos en ESET Latinoamérica arrojó algunos aspectos preocupantes con respecto a cómo los usuarios manejan el tema de las contraseñas. Un 36,7% de los encuestados afirma utilizar una o pocas contraseñas para todos los servicios, lo que equivaldría a tener una única llave para la casa, bodega, caja fuerte y oficina, exponiendo innecesariamente información valiosa.
• El prolífico gusano Dorkbot sigue haciendo de las suyas. A través de Ingeniería Social, los cibercriminales responsables de esta amenaza propagaron este código malicioso haciendo alusión a un supuesto mensaje multimedia (MMS) que le habría llegado al usuario. Por otro lado, se dio a conocer oficialmente que el FBI retirará los servidores DNS que implementó de forma temporal para no dejar sin conexión a Internet a los usuarios afectados por el malware Win32/DNSChanger. Aquellos que sigan infectados podrían quedarse sin acceso a la web si pasado el 9 de julio próximo, no remueven el código malicioso de sus sistemas.
• Finalmente, destacamos algunas tendencias relacionadas al mundo de la telefonía móvil y la seguridad. En primer lugar, algunos investigadores determinaron que las aplicaciones mobile de Facebook, LinkedIn y Dropbox son susceptibles al robo de contraseñas debido a que almacenan en texto plano, las credenciales de acceso a estos servicios. Sumado a lo anterior, un estudio de PwC demostró que a nivel corporativo, las empresas no están adoptando las medidas de seguridad necesarias con respecto a los smartphones de los empleados y cómo estos utilizan los recursos de la compañía. Por último, nuestro laboratorio realizó un informe que explica la evolución que han tenido los códigos maliciosos para Android y la detección de un troyano específico para usuarios de Latinoamérica y España que tiene como objetivo, obtener información bancaria de la víctima y otorgarle el control del dispositivo al atacante.

Para obtener mayor información sobre las amenazas destacadas de abril, pueden visitar nuestro ranking de propagación de amenazas destacadas del mes.

André Goujon
Especialista de Awareness & Research

Categories: Reportes mensuales
2 Comments »

El siguiente post es una traducción adaptada al español de la publicación “OS X Lamadai: Flashback isn’t the only Mac malware threat” escrita para ESET Norteamérica por Alexis Dorais-Joncas. El análisis técnico y la creación del entorno de prueba fue realizado por Marc-Étienne M. Léveillé.

Desde la aparición de OSX/Flashback, la primera botnet relativamente masiva para Mac OS X al lograr infectar miles de computadoras Apple, los medios no han dejado de hablar sobre este código malicioso en cuestión, sin embargo, y pese a lo mediático del mismo, nos parece relevante hablar sobre otro malware para esta plataforma pero no desde el aspecto técnico, sino que desde el punto de vista de cómo un botmaster (persona que manipula una botnet), opera una de estas redes y qué hace con una computadora infectada o zombi para obtener información y enviar órdenes de diverso tipo. La muestra elegida para este fin es detectada por ESET Cybersecurity para Mac como OSX/Lamadai.

OSX/Lamadai es un troyano de puerta trasera o backdoor capaz de realizar algunas acciones maliciosas en la computadora de la víctima como descargar y ejecutar ficheros, obtener archivos del equipo zombi, y abrir una consola de línea de comandos. Dejando de lado el aspecto técnico, pasaremos al análisis netamente de monitoreo. Llevar a cabo este tipo de estudios permite que nuestros laboratorios obtengan valiosa información de inteligencia relacionada al modus operandi del atacante que emplea la amenaza. Esto facilita el descubrimiento temprano de variantes nuevas del troyano o incluso familias completamente distintas de malware, y observar ataques de DDoS que suelen realizarse utilizando los recursos de una botnet.

El trabajo realizado fue el siguiente: nuestros investigadores crearon y pusieron archivos falsos en la carpeta personal del usuario creado para la investigación con el fin de observar cómo el operador reacciona frente a estos ficheros. Al cabo de una semana, el atacante realizó la primera conexión. A continuación se muestran los comandos que utilizó el individuo con el fin de realizar un reconocimiento de la carpeta ~/Documents. Para lograr este objetivo usó el comando Unix ls para listar contenidos de directorios.

Ver m�s… »

Categories: Análisis de malware
1 Comment »

Esta semana recibimos en nuestro laboratorio un correo falso correspondiente a una importante compañía de telefonía celular, que informa sobre la recepción de un supuesto mensaje multimedia (MMS), el cual tiene como objetivo que el usuario descargue un malware. Como se puede apreciar en la imagen, esta campaña está destinada a usuarios chilenos, tal como lo índica el sufijo del enlace .cl.

El falso correo contiene un enlace que redirecciona al usuario al supuesto portal de la compañía para poder acceder al mensaje multimedia. Si se accede al mencionado enlace, se descarga un archivo ejecutable bajo el nombre de DescargaMMS.exe que es detectado por ESET NOD32 Antivirus bajo la firma Win32/Dorkbot.B gusano. La principal sospecha de esto, es que en ningún momento en el correo se menciona que se debe descargar un software para poder acceder al mensaje recibido. Incluso aclara que luego de los 10 días el supuesto mensaje será borrado.

Una vez que se ha descargado el archivo, se puede observar que la amenaza posee un ícono que corresponde a un archivo multimedia para engañar al usuario y persuadirlo a que lo ejecute, cuando en realidad, es un ejecutable (extensión .exe). En caso de ejecutarlo, el sistema del usuario quedará infectado por Dorkbot, y la máquina del usuario pasará a ser un equipo zombie de la conocida botnet.

Ver m�s… »

Categories: Botnet, Malware
6 Comments »

La aparición de una botnet con miles de equipos zombis Mac infectados ha sido el tema de la semana, y alrededor del mundo se está hablando sobre Flashback, el troyano que explotando una vulnerabilidad en Java logró armar la primer botnet masiva para esta plataforma. Al igual que lo ocurrido con Geinimi para plataformas móviles el último año, Flashback ha puesto en primera plana la posibilidad de que un sistema operativo Mac sufra una infección y eso ha generado alrededor del mundo diversas opiniones. En ese contexto, muchos se han consultado ahora si esto podría ocurrir  ¿qué debe ocurrir para que vuelva a ocurrir otro incidente en alguna plataforma que hasta la fecha no haya sufrido infecciones masivas? Analicemos brevemente lo ocurrido con Flashback para poder concluir al respecto.

En primer lugar, repasemos el proceso de infección: Flashback se ejecutaba en el sistema operativo aprovechando una vulnerabilidad en el componente web Java. A partir del incidente, la web se vio invadida de comentarios sobre la seguridad del sistema operativo Mac. A partir de esto, estimados lectores, arribamos a nuestra primera conclusión: una infección de malware no está directamente relacionada a la seguridad del sistema operativo. Al contrario de lo que muchos afirman, la existencia de una infección de malware no es reflejo ni de una seguridad alta o baja de un sistema operativo. Flashback es un ejemplo de ello, ya que afecta a un sistema operativo reconocido por su seguridad como lo es Mac. La naturaleza de una infección involucra distintas etapas y que puede darse por distintos motivos, tales como vulnerabilidades (del sistema operativo, aplicaciones, plugins, etc.), Ingeniería Social, aprovechamiento de malas configuraciones del sistema, entre otros. El caso de Flashback es un caso claro de que una infección puede darse por diversos motivos y no necesariamente refleja la seguridad de un sistema operativo. Se dice que un sistema es tan seguro como su eslabón más débil, y el caso de este troyano no hace más que confirmar esta afirmación.

Por otro lado, una de las preguntas que vale la pena realizarse ante estos casos es: ¿es necesario la ocurrencia de una infección masiva para estar protegidos? Alguna vez los ataques a dispositivos móviles no tenían un precedente masivo hasta que apareció Geinimi e infectó a más de 250,000 usuarios de Android. De igual forma, es la primera vez que aparece una amenaza masiva para Mac que, en este caso, infecta a casi medio millón de usuarios. El éxito de un ataque depende de muchos factores y, como se explicó en el punto anterior, incluso la seguridad del sistema operativo puede no influir en el éxito de un ataque, según como el mismo esté diseñado. De la misma manera que esto puede ocurrir con un nuevo sistema operativo, también ha ocurrido con nuevas versiones del mismo, como está ocurriendo actualmente con Windows 7 respecto a Windows XP, sistema operativo favorito para los desarrolladores de malware durante muchos años.

En resumen, ¿cuál será el próximo Flashback? Es imposible responder a esta pregunta pero La única certeza que tenemos sobre esto es que seguramente existirá un próximo Flashback ya que, en algún momento, una plataforma recibirá su primer ataque masivo y usted, estimado lector, podrá estar entre aquellos usuarios que ya estában protegidos o entre aquellos que no lo van a estar. ¿De qué depende esto? de la combinación entre tecnologías de detección y las buenas prácticas de seguridad, que casos como Flashback demuestran que aplican a todos los sistemas operativos.

Si eres usuarios de Mac, puedes explorar tu sistema con ESET Cybersecurity para saber si estás infectado con Flashback y limpiar la infección si esta existiese. Tal como ya se ha dicho, las infecciones pueden ocurrir en diferentes sistemas operativos, a veces más allá de su seguridad intrínseca, pero nunca está demás sumar una capa de protección para tu información.

Sebastián Bortnik
Gerente de Educación y Servicios

Categories: Malware
1 Comment »