En los laboratorios de ESET se ha descubierto un troyano tipo backdoor que utiliza Tor como forma de anonimizar su comportamiento malicioso en Internet. De este modo, cualquier tráfico generado por el malware que intente ser analizado y capturado por autoridades o investigadores, resultará complicado de interpretar por el mal uso que hace este código malicioso de dicha herramienta, cuya función genuina es brindar una capa de privacidad extra a los usuarios cuando navegan por sitios de Internet. Según los autores de este software de privacidad, “Tor es un programa gratuito y una red abierta que defiende al usuario de algunas formas de vigilancia que amenazan la libertad y privacidad personal, actividades confidenciales de negocios, relaciones, entre otras”.

Como toda herramienta tecnológica, existen individuos que hacen un buen uso de la misma y otros que no como en este caso. Cuando esta amenaza detectada por ESET NOD32 Antivirus como Win32/Agent.PBI es ejecutada por primera vez,  copia un archivo denominado “install-201591042.exe” en la carpeta temporal del sistema para luego ejecutarlo. Enseguida utiliza el protocolo HTTP mediante la red de Tor para realizar acciones como la descarga de códigos maliciosos adicionales desde Internet u otras ubicaciones remotas, ejecutar archivos, y actualizarse a versiones más recientes con el fin de evadir la detección de los antivirus. Por otro lado, Agent.PBI está desarrollado para funcionar en todo tipo de configuraciones, incluso en aquellas donde no se encuentre instalado Tor. Para ello, procede a instalar este programa como un servicio de Windows. Así, cada vez que el usuario inicie sesión en su computadora, también se cargará el software.

A continuación, se muestran los cambios que realiza el código malicios0 en el registro del sistema para cumplir dicho objetivo:

Ver m�s… »

Categories: Análisis de malware
2 Comments »

El siguiente post es una traducción adaptada al español de la publicación “OS X Lamadai: Flashback isn’t the only Mac malware threat” escrita para ESET Norteamérica por Alexis Dorais-Joncas. El análisis técnico y la creación del entorno de prueba fue realizado por Marc-Étienne M. Léveillé.

Desde la aparición de OSX/Flashback, la primera botnet relativamente masiva para Mac OS X al lograr infectar miles de computadoras Apple, los medios no han dejado de hablar sobre este código malicioso en cuestión, sin embargo, y pese a lo mediático del mismo, nos parece relevante hablar sobre otro malware para esta plataforma pero no desde el aspecto técnico, sino que desde el punto de vista de cómo un botmaster (persona que manipula una botnet), opera una de estas redes y qué hace con una computadora infectada o zombi para obtener información y enviar órdenes de diverso tipo. La muestra elegida para este fin es detectada por ESET Cybersecurity para Mac como OSX/Lamadai.

OSX/Lamadai es un troyano de puerta trasera o backdoor capaz de realizar algunas acciones maliciosas en la computadora de la víctima como descargar y ejecutar ficheros, obtener archivos del equipo zombi, y abrir una consola de línea de comandos. Dejando de lado el aspecto técnico, pasaremos al análisis netamente de monitoreo. Llevar a cabo este tipo de estudios permite que nuestros laboratorios obtengan valiosa información de inteligencia relacionada al modus operandi del atacante que emplea la amenaza. Esto facilita el descubrimiento temprano de variantes nuevas del troyano o incluso familias completamente distintas de malware, y observar ataques de DDoS que suelen realizarse utilizando los recursos de una botnet.

El trabajo realizado fue el siguiente: nuestros investigadores crearon y pusieron archivos falsos en la carpeta personal del usuario creado para la investigación con el fin de observar cómo el operador reacciona frente a estos ficheros. Al cabo de una semana, el atacante realizó la primera conexión. A continuación se muestran los comandos que utilizó el individuo con el fin de realizar un reconocimiento de la carpeta ~/Documents. Para lograr este objetivo usó el comando Unix ls para listar contenidos de directorios.

Ver m�s… »

Categories: Análisis de malware
1 Comment »

En varias oportunidades, hemos comentado en el blog de ESET Latinoamérica la principal repercusión que trae consigo una infección por malware, es decir, la pérdida económica que puede provocar la ejecución desmedida de archivos peligrosos considerando que la principal motivación de los ciberdelincuentes, es el lucro ilícito a través de la obtención de nombres de usuarios, contraseñas y toda clase de información bancaria sensible. Sin embargo, y aunque esa es una de las peores consecuencias de una infección por código malicioso, existen otras que van más allá de lo netamente económico. Es el caso del troyano detectado por ESET NOD32 Antivirus como Win32/DNSChanger, amenaza que mediante el reemplazo de los servidores DNS locales por unos propios y fraudulentos, es capaz de redirigir a la víctima hacia sitios falsos incluso si las direcciones se escriben directamente en la barra del navegador y que próximamente, también podría dejar sin conexión a quienes no desinfecten sus equipos a tiempo.

Tras el arresto de seis ciudadanos estonios acusados de utilizar este malware capaz de funcionar tanto en plataformas Windows como Mac, el FBI ha confiscado los servidores DNS que utilizaban para redirigir a las víctimas hacia sitios ilegítimos. Esta medida permitió desarticular el funcionamiento de esta red delictiva, sin embargo, el FBI tuvo que implementar servidores DNS de reemplazo con el fin de evitar que los usuarios que aún siguen infectados, se queden sin acceso a Internet. No obstante, esta medida es sólo transitoria y dejará de estar vigente a partir del 9 de julio próximo. Estimando que aún quedan 350.000 usuarios afectados, estas personas podrían quedarse sin acceso a Internet si cumplida esa fecha, no desinfectan adecuadamente sus computadoras. El motivo es simple pues al intentar ingresar a una dirección, el equipo de la víctima estará intentando conectarse a un servidor DNS inexistente quedando sin la posibilidad de resolver correctamente nombres de dominios y el consiguiente acceso a sitios web.

Ver m�s… »

Categories: Malware
2 Comments »

Esta semana recibimos en el Laboratorio de ESET Latinoamérica una muestra de un troyano que es detectado por ESET NOD32 Antivirus como BAT/Agent.NLF Troyano, el cual se propaga a través de un correo electrónico que mediante un supuesto video del novio de una de las integrantes de Big Brother Brasil 2012, intenta persuadir a los usuarios de que descarguen un archivo. Con esta amenaza, recaemos nuevamente en los troyanos brasileños, como ya habíamos publicado en este medio. Luego de realizar un análisis más profundo, se pudo observar que el comportamiento ha cambiado con respecto a las operaciones que lleva a cabo:

Ver m�s… »

Categories: Análisis de malware, Phishing
No Comments »

Tenemos el agrado de compartir con ustedes el reporte mensual de amenazas y tendencias correspondientes a marzo, mes en el que ocurrieron varios acontecimientos. Por un lado, se realizó por decimonovena vez, el congreso y exposición de seguridad informática SEGURINFO 2012 que tuvo lugar este año, en el Sheraton Buenos Aires Hotel & Convention Center. Por otra parte y aprovechando la ocasión, elegimos esa segunda semana de marzo para iniciar oficialmente nuestra Gira Antivirus 2012. En esta oportunidad, el primer país en recibirnos fue República Dominica, luego Venezuela y Colombia. A través de la constante mejora del contenido y las presentaciones que se ofrecen, logramos perfeccionar aún más esta edición de la Gira Antivirus que en 2011, ya fue muy exitosa.

• Siguiendo la misma línea de concientización a través de la educación, nuestra compañía inició por séptimo año consecutivo el Premio Universitario 2012 de ESET Latinoamérica, instancia que busca premiar a los alumnos y entidades educacionales que a través de un trabajo de investigación sobre la seguridad de la información, demuestren la importancia de ahondar en la materia con el fin de mitigar y evitar el impacto de las amenazas informáticas.
• Debido al alto crecimiento que continúan experimentando las redes sociales, y al gran impacto mediático que pueden generar con respecto a la rapidez y el alcance en la transmisión de información, el usuario se ve expuesto a una serie de amenazas informáticas como fraudes, códigos maliciosos, o la reportada por nuestro laboratorio durante marzo, en donde se buscaba propagar un adware a cambio de poder cambiar supuestamente, el color de fondo de Facebook a rosa. Frente a este tipo de situaciones resulta imprescindible saber actuar frente a una infección. Sin embargo, también existe otro riesgo en el uso de este tipo de servicios más allá del aspecto netamente técnico. Una configuración inadecuada de una cuenta puede acarrear consecuencias graves como compartir información privada con un tercero sin saberlo, o hacer de esta más susceptible ante la eventualidad que un usuario malintencionado quiera acceder a la misma. De aquí la importancia de saber cómo configurar correctamente redes sociales como LinkedIn y Pinterest, o conocer las cuatro cosas que no deben hacerse en Foursquare.
• Aunque las redes sociales son uno de los blancos predilectos de los ciberdelincuentes, el correo electrónico sigue siendo una vía válida y vigente para propagar códigos maliciosos. A principios de marzo pudimos observar cómo a través de una falsa y sensacionalista historia de romance entre Alexis Sánchez y Shakira, se propagó un troyano cuyo objetivo era obtener información bancaria de la víctima. Siguiendo con historias escabrosas e inventadas, los cibercriminales también utilizaron la imagen del presidente de Panamá, Ricardo Martinelli para propagar un código malicioso mencionando que el mandatario habría incurrido en sórdidos actos de pedofilia. Luego, fue el turno de tres historias que entre tragedia, vergüenza y delincuencia, propagaban más amenazas informáticas. Sumado a todo lo anterior y haciendo uso de este mismo medio, apareció un rogue que engañaba al usuario haciéndole creer que estaba infectado y que la única solución al problema es mediante la compra del falso antivirus. Resulta curioso que ciertos datos de esta amenaza informática hayan sido “ofuscados” utilizando una conocida obra de Shakespeare.
• Además, mencionar la aparición de una novedosa botnet, Aidra, cuyo objetivo es convertir en zombi dispositivos como routers, tablets y otros. También recomendamos la lectura de la evolución de los troyanos bancarios para  dispositivos móviles con el fin de estar informado sobre las últimas tendencias y amenazas que afectan a estos equipos. Finalmente, destacar que ha aparecido un código malicioso diseñado específicamente para atacar organizaciones no gubernamentales del Tíbet y que funciona tanto para Windows como para Mac OS X.

Para obtener mayor información sobre las amenazas destacadas de marzo, pueden visitar nuestro ranking de propagación de amenazas destacadas del mes.

André Goujon
Especialista de Awareness & Research

Categories: Reportes mensuales
2 Comments »