Un reciente informe de Verizon reveló que en Estados Unidos durante 2011, se produjo la segunda cifra más alta de incidentes relacionados a la seguridad de la información desde que se comenzó a realizar este estudio en 2004. El reporte dio a conocer que varios rubros como servicios de alojamiento, restaurantes, retail, banca, hospitales, entre otros, fueron afectados por un total de 855 casos de ataques informáticos.

La información es uno de los activos más importantes de toda organización. Un resguardo inadecuado de la misma puede traer consigo graves consecuencias como cuantiosas pérdidas económicas que pueden significar, en algunos casos, hasta la quiebra de una empresa. Frente a este problema, la seguridad de la información plantea tres pilares que deben cumplirse siempre para poder hablar de información segura:

1. Disponibilidad: que la información esté disponible para la consulta de los usuarios siempre que los mismos la requieran y no durante un lapso determinad.
2. Integridad: la información debe permanecer sin alteraciones de ningún tipo.
3. Confidencialidad: la información debe ser accedida sólo por aquellos autorizados.

Según el estudio, del total de los ataques, un 97% de estos podría haber sido evitado mediante la implementación de mecanismos de seguridad adecuados.

Como puede apreciarse en el gráfico anterior, el ataque más común es el acceso no autorizado, es decir, aquel perpetrado por un tercero que mediante la búsqueda de configuraciones inadecuadas o vulnerabilidades, logra obtener acceso a un determinado sistema. Luego, aparecen los códigos maliciosos como la segunda amenaza más común en afectar la seguridad de la información.

Ver m�s… »

Categories: Estadísticas
No Comments »

En los laboratorios de ESET se ha descubierto un troyano tipo backdoor que utiliza Tor como forma de anonimizar su comportamiento malicioso en Internet. De este modo, cualquier tráfico generado por el malware que intente ser analizado y capturado por autoridades o investigadores, resultará complicado de interpretar por el mal uso que hace este código malicioso de dicha herramienta, cuya función genuina es brindar una capa de privacidad extra a los usuarios cuando navegan por sitios de Internet. Según los autores de este software de privacidad, “Tor es un programa gratuito y una red abierta que defiende al usuario de algunas formas de vigilancia que amenazan la libertad y privacidad personal, actividades confidenciales de negocios, relaciones, entre otras”.

Como toda herramienta tecnológica, existen individuos que hacen un buen uso de la misma y otros que no como en este caso. Cuando esta amenaza detectada por ESET NOD32 Antivirus como Win32/Agent.PBI es ejecutada por primera vez,  copia un archivo denominado “install-201591042.exe” en la carpeta temporal del sistema para luego ejecutarlo. Enseguida utiliza el protocolo HTTP mediante la red de Tor para realizar acciones como la descarga de códigos maliciosos adicionales desde Internet u otras ubicaciones remotas, ejecutar archivos, y actualizarse a versiones más recientes con el fin de evadir la detección de los antivirus. Por otro lado, Agent.PBI está desarrollado para funcionar en todo tipo de configuraciones, incluso en aquellas donde no se encuentre instalado Tor. Para ello, procede a instalar este programa como un servicio de Windows. Así, cada vez que el usuario inicie sesión en su computadora, también se cargará el software.

A continuación, se muestran los cambios que realiza el código malicios0 en el registro del sistema para cumplir dicho objetivo:

Ver m�s… »

Categories: Análisis de malware
2 Comments »

El siguiente post es una traducción de la publicación Could your next new car be hacked (should you be scared)? de nuestro investigador de ESET Norteamérica, Cameron Camp.

La ola de nuevas tecnologías están implementándose lenta pero de forma segura en las próximas generaciones de automóviles, los que actualmente incorporan capacidades como la conducción de forma semiautónoma, estacionarse casi por si solos, y de recibir y transmitir información en tiempo real, datos que luego son mostrados en pantallas ubicadas en los asientos con fines de entretención y asistencia.

En el último evento Blackhat del año pasado, pudimos observar una demostración en donde se vulneró la seguridad de un automóvil que utilizaba tecnología inalámbrica. En esa ocasión se pudo desbloquear las puertas y encender el motor de forma exitosa. ¿Qué sucedería si estos investigadores hubiesen optado por el “lado oscuro” con el fin de desbloquear automóviles y robarlos? Afortunadamente, esta pregunta queda sin respuesta ya que las personas detrás de esta demostración pusieron en conocimiento del fabricante de dicho automóvil, los antecedentes necesarios con el fin que se pudieran adoptar las medidas necesarias para solucionar esta falla de seguridad y evitar que personas menos nobles y con más tiempo libre, se dediquen a abrir puertas y conviertan esto en un negocio ilícito.

Tradicionalmente, la mayoría de los automóviles poseen sistemas informáticos integrados pero muy rudimentarios, que sólo cumplen funciones muy determinadas como medir la cantidad de combustible restante, hacer la transmisión más suave cuando se presiona el pedal de aceleración o para optimizar el rendimiento y consumo de gasolina.

Considerando que la industria automotriz tiene planeado lanzar al mercado autos con navegadores capaces de determinar la ubicación del mismo o que incluyan sistemas de información embebidos, ¿Qué tan lejos estamos de observar fraudes electrónicos o scams que se aprovechen de esta situación? Para responder esto, primero hay que mencionar que los exploits de navegadores en plataformas más tradicionales tienen un largo y amplio prontuario de fallos y vulnerabilidades que han sido explotados por ciberdelincuentes. Si pensamos que estos autos estarán dotados de altas prestaciones informáticas capaces de asistir en la conducción con información relevante, ¿Podría ser esta una nueva y fecunda plataforma  para fines delictuales? Como se ha podido observar en este último tiempo, los exploits que utilizan Java y que muchas veces funcionan independiente del sistema operativo utilizado, podrían perfectamente afectar un automóvil que utilice alguna aplicación desarrollada en ese lenguaje, lo que podría facilitar el robo de información almacenada en la computadora del vehículo o incluso traer consecuencias mucho más graves.

Por lo general, la industria automotriz suele ser muy cuidadosa llevando a cabo variadas pruebas exhaustivas con el fin de determinar y solucionar posibles fallas en sus sistemas. Sin embargo, los autos suelen ser utilizados por diez o más años, lo que dificultaría la solución de una eventual vulnerabilidad dada la cantidad de modelos que aparecerían en ese lapso. Aunque es posible implementar un ciclo de actualizaciones para solucionar estas fallas, cualquier inconveniente que ocurra durante ese proceso podría traer serias consecuencias.

Ver m�s… »

Categories: Curiosidades
No Comments »

En varias ocasiones hemos hablado y reportado en este blog sobre diversos casos de phishing, técnica que consiste en la obtención de información sensible como nombres de usuarios y contraseñas a través de la suplantación de la imagen de una conocida compañía que simula pedir ese tipo de datos utilizando amenazas verbales como que si no se ingresa lo solicitado, la cuenta será deshabilitada. A diferencia del malware que puede robar este tipo de datos automáticamente, en los ataques de phishing es el usuario quien suministra la información de forma manual una vez que el cibercriminal ha logrado convencerlo de hacer tal acción.

En este caso el blanco elegido por los atacantes no es ni un banco, aerolínea o tarjeta de crédito, es Twitter, conocida red social que se caracteriza por su estilo acotado de 140 caracteres y el gran alcance mediático que generan los mensajes que son compartidos a través de la misma. Abusando de todas esas ventajas, los ciberdelincuentes están empleando como temática de Ingeniería Social, afirmaciones que apelan directamente a la curiosidad de la potencial víctima. Tweets o mensajes en inglés sobre supuestos rumores malintencionados o cosas “muy malas” son los ganchos que buscan cautivar al usuario para que haga clic sobre el enlace fraudulento. Si la persona no es precavida y sigue dicho hipervínculo, estará ingresando a un sitio malicioso que solicita las credenciales de acceso a Twitter. Para hacer más real el phishing, se utiliza la excusa que esa información es necesaria debido a que ha transcurrido un período largo de inactividad por parte del usuario y que la sesión ha sido cerrada como medida de seguridad.

Aunque por el momento sólo se han detectado mensajes en inglés, es posible que este ataque de phishing sea traducido a otros idiomas como el español con tal de aumentar aún más la cantidad de afectados. Realizando un análisis detallado hemos encontrado que al menos 31.000 usuarios han sido víctima de este phishing, quedando a merced de los ciberdelincuentes información como nombres de usuarios, correos electrónicos y contraseñas. En este último punto nos detendremos un poco: pese a que el principal error de toda esta situación es la entrega de información sensible siguiendo enlaces sospechosos, las contraseñas que escogen los usuarios suelen no ser aptas ni robustas, hecho que pudimos constatar nuevamente. De las 31.000 credenciales sustraídas, la mayoría están formadas por ocho caracteres, sin embargo, en reiteradas oportunidades observamos que a pesar que la longitud de la claves es relativamente larga, estas pueden ser vulneradas en pocos segundos y además, están formadas por frases fáciles de adivinar como twitter1 o la repetición de una palabra varias veces como es el caso de boysboysboys.

Ver m�s… »

Categories: Alertas, Redes Sociales
5 Comments »

Durante la primera parte de la Evolución de los troyanos bancarios para dispositivos móviles, mencionamos la evolución de este tipo de amenazas y cómo se asociaban con crimepacks como Zeus y SpyEeye para robar información de los usuarios. En esta oportunidad, compartiremos con ustedes el análisis realizado por el Laboratorio de análisis e investigación de ESET Latinoamérica sobre el troyano detectado por ESET Mobile Security como Android/TrojanSMS.Stealer.

Este código malicioso, además de robar información del usuario, puede ser controlado de manera remota por el atacante simulando ser una aplicación para realizar transacciones bancarias. El objetivo de este troyano reside en que el usuario ingrese su clave de la banca electrónica creyendo que obtendrá un token para realizar una transacción. Toda esta información en conjunto con el número de teléfono, el IMEI y el IMSI, son luego enviados al atacante.

A diferencia de las variantes de ZITMO y SPITMO, este troyano es independiente de los equipos de escritorio y apunta a clientes de América Latina y España. Mientras el usuario cree que la aplicación solo cuenta con una pantalla para generar los códigos, en realidad su sistema está siendo espiado y controlado por el atacante.

Para tratarse de un generador de claves para transacciones bancarias, la aplicación solicita una gran cantidad de permisos como por ejemplo recibir y enviar mensajes de texto, conectarse a Internet, leer y modificar el contenido de la tarjeta de memoria y además leer datos del usuario y del teléfono. Al comenzar con el análisis de la muestra se puede observar que contiene una gran cantidad de métodos para recopilar los datos del usuario.

La primera acción que realiza este malware es la creación de un servicio y tres Broadcast Receivers para leer distintas notificaciones del sistema.  El servicio se crea con el objetivo de abrir un puerto a través del cual recibe las órdenes y se comunica con el centro de control. En lo que respecta a los Broadcast Receivers uno se asocia a eventos del sistema y se crea con el nombre de “token.bot.AutorunReceiver” y se ejecuta una vez que termina la carga del sistema, se detecta la presencia del usuario o cambia el estado del dispositivo. En pocas palabras, siempre que esté activo el dispositivo se carga el código malicioso:

Por otro lado, se asocia otro disparador cuando se reciben mensajes de texto, pero a diferencia de los troyanos SMS no es para reenviar la información a través de mensajes sino que se busca capturar la información recibida desde el banco. Los bancos afectados por este código malicioso cuentan con aplicaciones de la banca electrónica, motivo por el cual la información de su cuenta se  encuentra en el dispositivo y es recopilada para luego ser enviada al atacante.

Finalmente,  uno de los punto más remarcables de esta amenaza es su archivo de configuración, ya que permite que el atacante defina las direcciones URL de los servidores, el modo de envío de la información y el prefijo asociado al banco objetivo entre otras cosas. Este archivo oculto dentro de los archivos de la supuesta aplicación bancaria, pasa desapercibido  por el usuario y puede ser modificado para realizar distintas campañas de propagación:

Como hemos presentado a lo largo de estas dos entregas, los cambios observados en los códigos maliciosos para dispositivo móviles, demuestran que los cibercriminales están utilizando estas plataformas para robar información de los usuarios. Además, no hay que dejar de lado la posibilidad de una futura integración con los Zeus, SpyEye o cualquier otro crimepack ya que también los smartphones cuentan con mucha información sensible del usuario y una conexión a Internet de alta velocidad. Debido a ello es necesario contar con una solución de seguridad para dispositivos móviles que detecte y elimine estas amenazas y proteja la información del usuario.

Pablo Ramos
Especialista de Awareness & Research

Categories: Malware
No Comments »