En este último tiempo, desde el Laboratorio de Análisis e Investigación de ESET Latinoamerica, seguimos encontrando pruebas de la afirmación que hizo Pierre-Marc Bureau sobre como seria el futuro de las botnets. Pierre-Marc predijo que las grandes botnets tenderían a desaparecer, cosa que hasta ahora viene ocurriendo. Basta recordar los casos de Mariposa, Wadelac , Bredolab, Koobface y Coreflood para darse cuenta que esas predicciones fueron acertadas.

Que las grandes botnets estén siendo desmanteladas, no quiere decir que vayan a desaparecer en su totalidad, solamente cambiaran sus objetivos y sus estrategias de ataque. Cosa que esta sucediendo actualmente.

En estos últimos meses, recibimos muchas muestras del troyano Win32/Spy.Zbot de diferentes variantes. Este troyano pertenece a la botnet Zeus, cuyo objetivo principal es el robo de información a los usuarios. Todas las variantes analizadas tienen las mismas características, se conectan a un solo servidor con el objetivo de bajar un archivo de configuración con la información necesaria para realizar el ataque. Algunas de las direcciones de servidores y sus fechas de alta a los cuales se intentan conectar son las siguientes :

Notemos que la fecha de alta de los servidores es muy reciente. Algunos de ellos están dados de baja y otros siguen activos.

Como dijimos anteriormente esta botnet opera conectándose a un servidor y descargando un archivo de configuración el cual contiene un script con las instrucciones del ataque. Algunos archivos utilizados son de extensión .jpg , .bin , .csv y .js , claro esta que nunca debemos fiarnos de las extensiones de archivos solamente para identificar un binario, ya que en la mayoría de los casos se les cambia la extensión, en un intento muy básico de camuflar el verdadero tipo de archivo.

En el registro de Windows realiza varios cambios: crea entradas que le permiten ejecutarse al inicio del sistema operativo, modifica los parámetros de seguridad del Internet Explorer y modifica archivos pertenecientes al cliente de correo Outlook Express para robar información de los contactos.

Para ocultar su identidad crea un archivo .bat en la carpeta TEMP para eliminar el archivo original, de esta manera luego de la infección borra su rastro. Antes de borrarse, una copia del archivo original se almacenara en otra parte del disco para permitirle al cliente permanecer activo.

Estas muestras pertenecen al troyano Zbot que es detectado por ESET Nod32 Antivirus como Win32/Spy.Zbot. Están orientadas a lo que pareciera ser un ataque a un objetivo especifico, su finalidad seria la de robar información sin importar tanto la permanencia de la infección. Esto podemos decirlo ya que estas muestras son actuales y los servidores a los que se conecta ya no están en funcionamiento. Una causa posible podría deberse a la liberación del código de Zeus/Zbot ocurrida hace unos meses, la cual, en teoría, cualquier persona solo podía llegar a tener pagando por ella. Con ese código en sus manos, cualquier programador podría crear una variación de este malware, lo que posibilitaría que grandes cantidades de diferentes variantes de esta amenaza salgan a la luz.

Juan Esteban Forgia
Malware Analyst

Categories: Análisis de malware, Botnet, Curiosidades, Estadísticas, Malware
2 Comments »

La información que se publica en la web puede ser accedida por personas que conocemos, ya sean nuestros amigos, familiares o compañeros de trabajo, o incluso por aquellas que desconocemos. En esta ocasión compartimos con ustedes los resultados de la encuesta que realizamos durante el mes de noviembre a través de nuestro boletín de noticias ESET News y nuestros sitios web. En esta oportunidad, la encuesta fue acerca de la privacidad en línea y cómo cuidan los usuarios su información personal al momento de exponerla en la web.

Al hablar de la privacidad de los usuarios, no es posible dejar de lado a las redes sociales: es en ellas donde los usuarios publican sus gustos, fotos, costumbres y mucho más. Entre los datos recopilados en las encuestas, se manifiesta respecto al uso de estas redes, que el 89,4% de los encuestados tienen una cuenta en Facebook, la red social con más de 500 millones de usuarios, seguido detrás por Twitter, con el 32.7% dejando con menor tasas de uso a otras redes como MySpace, Sonico o Fotolog. Pero, ¿tienen en cuenta los usuarios qué información publican en ella?

La respuesta es que, en un principio, sí. El 73,9% de los encuestados manifestó tener en cuenta cuál es la información que publica en las redes sociales y validar el contenido de la misma, ya estemos hablando respecto a información personal, fotos, videos u otros. El 8,2% de los encuestados, a la vez, asume que si publica la información en las redes sociales es debido a que no le importa que el resto las vea, sin embargo un 15.9% directamente no publica información personal. Es posible afirmar, entonces, que los filtros de cada uno de los usuarios acerca de qué publican en las redes sociales, varía según la persona y es una decisión de cada uno de ellos. Sin embargo puede que toda esta información que publiquen sea verídica o no. Respecto a este tema más de la mitad de los encuestados mencionó que los datos que publican son falsos, ya sea la información que eligen compartir en línea o la que publican acerca de ellos. ¿Por qué los usuarios publican datos falsos en la web? Según el caso, algunos sólo por diversión, pero otros conscientes de que es la mejor manera de cuidar su verdadera identidad y, por ende, su privacidad. De todas formas, más allá de la seguridad, esto atenta directamente contra algunas de las bases de las redes sociales, aunque eso dependerá del criterio y gustos de cada usuario.

Por otro lado, Internet da espacio a publicar pensamientos, deseos o ideas de los usuarios, aunque más allá de la información publicada, es crítico cuando los datos que han sido expuesto pueden influir en la imagen de una compañía u organización. Es por ello que las políticas acerca del acceso a las redes sociales en las empresas es un tema muy importante, tanto al hablar de seguridad como así también de las posibilidades que estas brindan a los desarrolladores de códigos maliciosos para propagar malware. En lo que va del año se presentaron varios casos en los que las redes sociales fueron el medio de propagación, como lo fue el caso de Koobface, el famoso troyano multiplataforma. Este es un punto importante a tomar en consideración, ya que el 36.7% de los encuestados afirmó que en su empresa no existe un control acerca de lo que se publica en las redes sociales. En lo referente a seguridad en las organizaciones, esto podría significar una amenaza considerable. Por otro lado un 25.3% indicó que en su empresa está completamente prohibido publicar cualquier tipo de información de la empresa en redes sociales, sobre todo en lo que respecta a sus empleados o compañeros de trabajo. Para más información sobre este tema, puede consultarse el artículo “Dudas y Certezas sobre las redes sociales en la empresa”.

Al momento de compartir los datos en línea los usuarios deben de tomar conciencia de qué perjuicios o complicaciones les podrían traer, más allá de lo personal. Independientemente de la decisión tomada por la gerencia de la empresa, publicar datos correspondientes a la compañía puede ser un tema muy delicado, es por ello que normalmente estas firman acuerdos de confidencialidad con sus empleados. El siguiente gráfico muestra los resultados completos sobre esta pregunta:

La privacidad de la información es un tema más que importante en las políticas de la empresa y lo que los usuarios piensen sobre ello y su manera de actuar es muy importante para mantener la privacidad de sus datos o lo de su compañía. El filtrado de información o la innovación a la privacidad es un tema muy delicado y entre todos debemos hacer el mejor trabajo posible para asegurar la protección de nuestros datos.

Finalizando, para participar en el sorteo de licencias de ESET NOD32 Antivirus de este mes, los invitamos a participar en la nueva encuesta acerca de dispositivos extraíbles. Para encontrar los resultados de la próxima encuesta los invitamos a visitar nuestro blog cuando el mes que viene publiquemos el análisis de los mismos.

Pablo Ramos
Especialista de Awareness & Research

Categories: Curiosidades, Estadísticas
1 Comment »

Como todos los meses les traemos un resumen mensual de amenazas, las cuales tuvieron gran relevancia durante el mes de noviembre. Durante las últimas semanas pudimos reportar varios casos relacionados con las altas tasas de propagación de malware y varias noticias sobre botnet, como es el caso de ZeuS, Bredolab y Koobface, que tuvieron diversos incidentes que fuimos publicando en el blog. A continuación les presentamos las noticias más relevantes del mes:

• En materia de amenazas, este mes fueron varias las noticias que hicieron eco en los medios. Tal es el caso de las 8 personas arrestadas sospechadas de pertenecer a una organización criminal que utilizaba el troyano ZeuS para cometer actos ilícitos. Por nuestra parte, desde el laboratorio de ESET publicamos un análisis sobre la nueva metodología que está utilizando la botnet ZeuS. También Bredolab dio que hablar ya que es la tercera red botnet importante que en los últimos meses sufrió un golpe a los centros de control, aunque se volvieron a encontrar indicios de que esta sigue operativa.  Y no quedándose atrás, Koobface también sufrió un golpe a los centros de comandos por parte de los organismos de seguridad.
• El crecimiento del malware desarrollado en Latinoamérica es cada vez mayor. Tal es el caso que pudimos detectar una botnet de origen argentino la cual se propagaba por mensajería instantánea, pero no fue el único caso ya que mediante técnicas de Ingeniera Social y a través de correos electrónicos, se propagó en Venezuela una amenaza que hacía mención a un supuesto fraude en las elecciones parlamentarias, el cual ofrece un enlace para descargar un archivo, que es detectado por ESET NOD32 con el nombre MSIL/Autorun.Agent.U
• También este mes reportamos varios ataques de phishing, dos de ellos bastante curiosos y en ambos casos mediante el uso de Ingeniería Social, intentando captar la atención de la víctima. El primero de los casos mediante un llamativo correo electrónico indica al usuario que es posible acceder a falsos descuentos y beneficios. Este ataque está enfocado a usuarios originarios de Brasil ya que se encuentra redactado en portugués. En otro caso similar, el usuario recibe un correo electrónico indicando sobre el “bloqueo de la cuenta bancaria”, la cual pide un activación. Este caso está enfocado a personas que residan en Chile ya que está diseñado especialmente para una entidad financiera de ese país. En ambos casos, los phisher cometieron errores lo cuales están más detallados en los post originales.
• También fue presentado por el equipo de investigación de ESET, un análisis a la nueva variante multi-plataforma de Koobface, nombrada “Boonama”, la cual tiene la particularidad de que mediante un applet de Java intenta infectar sistemas Windows, Mac OS X y Linux.
• En materia de vulnerabilidad este mes se detecto un importante 0-day en el navegador de Microsoft, Internet Explorer la cual se encontraban explotando ciertos sitios mediante la técnica de Drive-by-Dowload.
• En los meses anteriores les comentamos sobre las estadísticas de actualización de software licenciado y su efecto en la seguridad de la empresas, el cual consiste con el informe publicado este mes por la consultora Prince & Cooke sobre “Riegos y costos de la Piratería en PyMEs en América Latina”.
• Finalmente, los dispositivos móviles siguen siendo noticia, y es por ello que fue publicada una guía sobre el borrado seguro de la información en dispositivos móviles.

Para obtener mayor información sobre las amenazas destacadas de noviembre, pueden visitar nuestro ranking de propagación y el informe de amenazas destacadas del mes.

Claudio Cortés Cid
Especialista de Awareness & Research

Categories: Reportes mensuales
2 Comments »

Este último viernes hemos visto un nuevo golpe a las botnet, en este caso se han dado de baja algunos de los centros de comando de Koobface, una reconocida botnet que ha estado en el ambiente desde hace ya algunos años y le ha dado a sus administradores grandes sumas de dinero en ganancias. Estamos frente la cuarta desmantelamiento de una botnet en lo que va del año, otras de ellas fueron el de Mariposa, Wadelac y Bredolab.

En varias ocasiones hemos mencionado tanto las características de Koobface como sus cambios a través del tiempo, podemos encontrar versiones del malware que utiliza en diferentes sistemas operativos, tales como Windows, Mac OS y Linux, nuevas versiones y técnicas de ataque de las cuales fuimos hablando en nuestro blog.

Según el informe realizado por Nart Villeneuve, esta red cuenta con una gran cantidad de recursos a través de los cuales se esparce y continúa aumentando la cantidad de ordenadores infectados desde su aparición en julio del 2008.

Su propagación se desarrolla principalmente a través de las redes sociales, principalmente su propagación se realizó a través de Facebook (el nombre del malware resulta ser un anagrama de este), pero también lo hizo mediante otras redes sociales entre las cuales están Twitter, Fubar, Bebo, Friendster, Hi5, MySpace, Netlog, Tagged, Yearbook.

Koobface ha generado a sus administradores más de dos millones de dólares de ganancias entre junio del 2009 y junio del 2010. Sus principales métodos para llegar a esta importante suma de dinero fue a través de PPC (pay-per-click, en español pago por clic), PPI (pay-per-install, en español pago por instalación) y la distribución de falsas soluciones antivirus también conocidas como rogue.

Normalmente un usuario recibe de una cuenta infectada un mensaje con un link a un video, el link es comunmente acortado mediante bit.ly.El mismo le solicitará al usuario que descargue ciertos codecs al hacerlo deberá de descargar y ejecutar un archivos EXE que infectará su equipo.

De los servidores encontrados se han extraído datos acerca de las herramientas y recursos utilizados por los administradores de la red, entre los cuales se destacan:

• 21.790 cuentas de Facebook
• 350.854 cuentas de Blogger
• 522.633 cuentas de Google
• 4.842 cuentas de Google Reader
• 4.044 cuentas de 100mb

Otro punto a destacar de esta botnet es que sus administradores cuentan con una variedad de páginas de estadísticas que les permiten monitorear el estado de la red, velocidad y disponibilidad de los servidores web.

Koobface utiliza los enlaces de bit.ly, blogs en Blogspot y servidores web para operar correctamente. Debido a esto y como uno de sus mecanismos de defensa para evitar comprometer sus direcciones hacen uso de la API de Google de Safe Browsing para corroborar si alguna de las direcciones URL han sido categorizadas de maliciosas según el servicio de bit.ly o Facebook. De esta manera evitan comprometer sus propios servidores y mantenerse en la clandestinidad.

Una vez más una botnet ha sido golpeada por los organismos de seguridad, y vemos como el crimen organizado en la web muestra “sus garras” y lucha por sobrevivir y mantenerse activo con el pasar del tiempo. Sin embargo, parece que a todos les llega su momento, todos comenten un error o todos dejan alguna pista suelta. Esto,  junto con el trabajo en equipo de especialistas en seguridad lleva a que sean desmanteladas. Recuerden que para la protección ante este troyano, siempre es recomendable contar con una solución antivirus con capacidades proactivas de detección y correctamente actualizada, como así también poder reconocer si nuestro equipo forma parte de una botnet. Koobface ha estado en el ciber espacio desde mediados del 2008, pero su red ha sido comprometida, y quizás sus días estén contados.

Pablo Ramos
Especialista de Awareness & Research

Categories: Botnet, Informes
3 Comments »

A continuación les presentamos una traducción de un texto realizado por David Harley y Pierre-Marc Bureau, el mismo fue publicado en el blog de ESET en inglés. El mismo presenta un análisis provisional acerca el malware conocido como Boonana (el nombre asignado a la nueva variante multi-plataforma de Koobface, de la cual ya hablamos la última semana).

Nuestro análisis parcial de una versión de malware detectada como Java/Boonana.A o como Win32/Boonana.A (dependiendo de cuál es el componente detectado de este ataque multi-plataforma), varían en ciertas características de otros reportes que hemos visto anteriormente.

La diferencia más clara es el mensaje enviado a los contactos del usuario infectado, mediante el uso de Ingeniería Social y un mensaje que realmente capta su atención. En otros reportes (incluyendo el de Randy Abrams hace unos días) se documentó  una versión que utilizaba el mensaje “Is this you in this video?” (en español, ¿Eres tú en este video?) para llevar a los usuarios a través de un enlace a un video de Youtube.

En este caso en particular, el mensaje era más que preocupante:

Como eres uno de mis contactos, pensé en decirte que decidí terminar con mi vida. Por razones que nunca van a ser claras te pido que visites mi video en este sitio. Gracias por haber sido mi amigo

El mensaje citado más arriba, ilustra un ejemplo más que particular acerca del arte de la Ingeniería Social, este tipo de mensajes ha estado en la red desde hace ya un tiempo, sin embargo no ha atraído la atención de muchos usuarios como hemos esperado. Puntualmente, el análisis del encabezado perteneciente al archivo binario muestra que fue compilado el primero de marzo. En esa ocasión el mensaje fue enviado a través de un correo electrónico en vez de un mensaje de Facebook.

Sin embargo, el seguimiento de ambos mensajes es el que se indicó en el post anterior: cuando la víctima potencial intenta ver el “video”, un mensaje le sugiere que el mismo no puede ser visto si no se instala previamente una aplicación.

Si el truco funciona, el aplet de Java se ejecutará sin problemas en sistemas Windows y OS X, como también podemos confirmar que funciona en Linux. Para los sistemas Windows, sin embargo, se agrega una entrada al registro; mientras que en OS X los archivos se copian a /Library/StartupItems y se crea un script con el nombre OSXUpdates. Según mi entendimiento, el mecanismo utilizado se asemeja un poco a los macro virus utilizados a mediado de los noventa, en donde generalmente se infectaban computadoras Mac como las PC de Windows, aunque el objetivo principal son los equipos con sistemas operativos Windows. En este caso en particular el objetivo es el usuario, no la plataforma. Como he mencionado anteriormente:

Estamos hablando de malware focalizado en Ingeniería Social: su ataque inicial es sobre el usuario, no sobre la plataforma, y en primer instancia no es auto ejecutable. Si nos parece extraño al aparecer el prompt de instalación, el malware no puede cambiar los archivos del sistema por lo que debe permitir el acceso externo sin notificaciones. Por lo tanto, la mayoría del malware (tanto en Windows como en OS X) depende parcial o totalmente de la autorización del usuario para permitir la ejecución del código malicioso.

Mientras que su funcionalidad no es muy diferente, el código no se parece particularmente al de Koobface, motivo por el cual finalmente hemos usado otro nombre como identificador de la firma.

Cuando un equipo es infectado, verifica una lista de 161 dominios. Para cada dominio, el malware realiza una consulta “HTTP HEAD” en búsqueda del archivo applet_hosts.txt. Cuando un dominio responde a la consulta, normalmente envía el código HTTP 300 que resulta ser un enlace que será accedido por el malware. Este comportamiento parece haber sido elegido por el desarrollador del código malicioso, pero el direccionamiento puede haber sido realizado por los dominios que fueron dados de baja desde hace algún tiempo atrás: dicha lista de dominios parece haber sido cargada anteriormente a la creación del malware.

David Harley
Pierre-Marc Bureau

Categories: Malware
3 Comments »