Un reciente informe de Verizon reveló que en Estados Unidos durante 2011, se produjo la segunda cifra más alta de incidentes relacionados a la seguridad de la información desde que se comenzó a realizar este estudio en 2004. El reporte dio a conocer que varios rubros como servicios de alojamiento, restaurantes, retail, banca, hospitales, entre otros, fueron afectados por un total de 855 casos de ataques informáticos.

La información es uno de los activos más importantes de toda organización. Un resguardo inadecuado de la misma puede traer consigo graves consecuencias como cuantiosas pérdidas económicas que pueden significar, en algunos casos, hasta la quiebra de una empresa. Frente a este problema, la seguridad de la información plantea tres pilares que deben cumplirse siempre para poder hablar de información segura:

1. Disponibilidad: que la información esté disponible para la consulta de los usuarios siempre que los mismos la requieran y no durante un lapso determinad.
2. Integridad: la información debe permanecer sin alteraciones de ningún tipo.
3. Confidencialidad: la información debe ser accedida sólo por aquellos autorizados.

Según el estudio, del total de los ataques, un 97% de estos podría haber sido evitado mediante la implementación de mecanismos de seguridad adecuados.

Como puede apreciarse en el gráfico anterior, el ataque más común es el acceso no autorizado, es decir, aquel perpetrado por un tercero que mediante la búsqueda de configuraciones inadecuadas o vulnerabilidades, logra obtener acceso a un determinado sistema. Luego, aparecen los códigos maliciosos como la segunda amenaza más común en afectar la seguridad de la información.

Ver m�s… »

Categories: Estadísticas
No Comments »

En los últimos días hemos recibido en nuestro laboratorio un falso correo que informa sobre una supuesta propuesta que ha sido aprobada. El mismo correo provee un enlace a modo de anexo en el que supuestamente se tiene acceso a dicha propuesta. Si se accede a este enlace, se descarga un archivo malicioso que es detectado por ESET NOD32 Antivirus como una Variante de Win32/TrojanDownloader.Banload.QKU Troyano.

No es la primera vez que se analiza un troyano de este tipo en el laboratorio de ESET Latinoamérica pero sin embargo esta variante posee algunas características distintivas.

Si se hace clic en el anexo del correo recibido, se redirige a otro sitio diferente y se descarga un archivo de extensión “zip” que contiene en su interior un archivo de extensión “cpl”. Es importante aclarar que un archivo cpl permite agregar un applet al panel de control de Microsoft Windows, tal como lo es, por ejemplo, “Agregar o Quitar Programas”.

Ver m�s… »

Categories: Análisis de malware, Malware
2 Comments »

El siguiente post es una traducción de la publicación King of Spam: Festi botnet analysis publicado en el blog de ESET Norteamérica.

Nuestros colegas de ESET, Eugene Rodionov y Aleksandr Matrosov, realizaron un análisis completo (en inglés) sobre un malware conocido como Win32/Festi. Tal como puede apreciarse en el mencionado análisis, Festi es una botnet que está en circulación desde otoño del 2009. Este malware se actualiza regularmente y de esta forma continúa siendo una amenaza potencial. El mencionado código malicioso es detectado por ESET NOD32 Antivirus bajo la firma de Win32/Rootkit.Festi.

Win32/Festi continúa siendo una de las botnets de spam más activas del mundo. Tal como se informa en el documento, el plugin que incorpora esta amenaza brinda la capacidad de ser utilizada para realizar ataques de denegación de servicio distribuídos (DDoS). Además, el driver que incorpora esta amenaza, el cual opera en modo kernel, brinda funcionalidades más complejas, como por ejemplo:

• Actualizar la configuración de la amenaza desde el centro de comandos y control de la botnet (C&C).
• Descargar nuevos plugins para funciones específicas.

Tal como se puede ver en el diagrama, el driver que opera en modo privilegiado contacta periódicamente al panel de control requiriendo plugins e información sobre la configuración. Los plugins descargados son los que realizan el envío de spam.

Ver m�s… »

Categories: Análisis de malware
No Comments »

Todos los meses, nuestros lectores comparten con nosotros información y estadísticas a través de las encuestas preparadas en ESET Latinoamérica. En abril, el tópico planteado fue cómo los usuarios utilizan el correo electrónico y a qué amenazas o problemas se han tenido que enfrentar por medio de esta vía. A través de los años, esta plataforma ha revolucionado el mundo de las comunicaciones al ser una herramienta altamente eficiente y masiva. Debido a lo anterior, los cibercriminales han abusado ampliamente de estas características para propagar diversas amenazas informáticas como códigos maliciosos, phishing, correo basura o spam, fraudes electrónicos o scam, entre otros.

Con respecto a qué tipos de correos reciben los encuestados, un 87,4% afirmó recibir publicidad no deseada o spam, convirtiéndose este en el problema más frecuente para los usuarios de correo electrónico. Luego, un 75,9% aseveró lo mismo pero con cadenas, es decir, mensajes que buscan convencer al destinatario que reenvíe el mismo empleando cualquier excusa o incluso supersticiones, lo que provoca una pérdida de tiempo y saturación innecesaria de los servicios. En tercer lugar queda el phishing con un 37,2% de las elecciones. Interpretando estas cifras, específicamente las que respectan al spam, resulta preocupante que un 42% de los usuarios asegura leer este tipo de correos si el mismo le resulta interesante. Algo similar aunque más grave ocurre con el 2,3% que lee todos los correos sin excepción y otro 2,5% que lee con frecuencia mensajes con promociones en su interior. Aunque los correos indeseados no necesariamente contienen algún código malicioso que dañe la computadora, es importante destacar que cualquier producto, servicio, o promoción que llegue a través de este tipo de mensajes, es probable que no sea tal o no cumpla con las expectativas del usuario. Por lo mismo, es importante borrar este tipo de correos automáticamente sin leerlos ni menos visitar el o los enlaces que allí se ofrezcan.

Frente a la pregunta sobre si el usuario ha sufrido ataques informáticos por esta vía, destacamos que del 30,6% que aseveró aquello, un 28,1% afirmó haberlo sido específicamente por no tener cuidado y abrir un enlace recibido dentro de un correo electrónico. Abrir hipervínculos de correos, redes sociales u otros, debe evitarse en lo posible, y de no ser así, comprobar que el enlace sea el correcto y no uno falso que esté camuflado. Sobre el otro 2,5% que fue estafado por alguna promoción falsa recibida por este medio, y al 21,1% que desconoce si ha sido víctima de ataques informáticos relacionados al correo electrónico, le recomendamos la lectura de nuestra publicación Guía para identificar correos falsos en donde se explican algunos puntos que el usuario debe considerar al momento de comprobar si un correo es genuino o no para prevenir aquellos que resulten maliciosos.

Ver m�s… »

Categories: Estadísticas
No Comments »

En los laboratorios de ESET se ha descubierto un troyano tipo backdoor que utiliza Tor como forma de anonimizar su comportamiento malicioso en Internet. De este modo, cualquier tráfico generado por el malware que intente ser analizado y capturado por autoridades o investigadores, resultará complicado de interpretar por el mal uso que hace este código malicioso de dicha herramienta, cuya función genuina es brindar una capa de privacidad extra a los usuarios cuando navegan por sitios de Internet. Según los autores de este software de privacidad, “Tor es un programa gratuito y una red abierta que defiende al usuario de algunas formas de vigilancia que amenazan la libertad y privacidad personal, actividades confidenciales de negocios, relaciones, entre otras”.

Como toda herramienta tecnológica, existen individuos que hacen un buen uso de la misma y otros que no como en este caso. Cuando esta amenaza detectada por ESET NOD32 Antivirus como Win32/Agent.PBI es ejecutada por primera vez,  copia un archivo denominado “install-201591042.exe” en la carpeta temporal del sistema para luego ejecutarlo. Enseguida utiliza el protocolo HTTP mediante la red de Tor para realizar acciones como la descarga de códigos maliciosos adicionales desde Internet u otras ubicaciones remotas, ejecutar archivos, y actualizarse a versiones más recientes con el fin de evadir la detección de los antivirus. Por otro lado, Agent.PBI está desarrollado para funcionar en todo tipo de configuraciones, incluso en aquellas donde no se encuentre instalado Tor. Para ello, procede a instalar este programa como un servicio de Windows. Así, cada vez que el usuario inicie sesión en su computadora, también se cargará el software.

A continuación, se muestran los cambios que realiza el código malicios0 en el registro del sistema para cumplir dicho objetivo:

Ver m�s… »

Categories: Análisis de malware
2 Comments »