El cibercrimen es desde hace bastante tiempo el principal motivo por el cual podemos observar numerosos códigos maliciosos emergiendo cada día y evolucionando constantemente con el fin no sólo de evadir la detección de los antivirus, sino que también para maximizar las ganancias ilícitas. De este modo, nos encontramos ante un panorama de delitos cibernéticos que en su mayoría, son perpetrados utilizando malware dinámico capaz de crear botnets, es decir, redes de computadoras zombis controladas remotamente por ciberdelincuentes, quienes literalmente se adueñan del equipo infectado pudiendo obtener cualquier clase de información como contraseñas, tarjetas de crédito, etc.

Como forma de frenar este modus operandi delictivo, Microsoft invierte recursos en el desmantelamiento de botnets, habiendo triunfado relativamente en 2010 con la baja de Waledac (reapareció casi un año después), luego en marzo de 2011 con Rustock, y a finales del mismo año, con Kelihos. A esa lista de tres operaciones en contra del cibercrimen se añade una cuarta liderada por la unidad de crímenes digitales de Microsoft (DCU) y otras empresas. Este se trata del operativo más complejo realizado por la gigante del software, logrando dar de baja a una parte de las botnets que utilizan Zeus para operar. A través de una redada apoyada por algunas autoridades estadounidenses y alguaciles, se incautaron físicamente algunos servidores web encontrados en Pensilvania e Illinois, los que eran utilizados como centros de comando y control (C&C), es decir, lugares desde donde los ciberdelincuentes envían órdenes como obtener determinada información sensible, enviar spam, o atacar otros sistemas.

Zeus se ha transformado en una de las botnets más prolíficas del mundo con una cantidad aproximada de 13 millones de posibles infecciones, de las cuales 3 millones provendrían de Estados Unidos según cifras de Microsoft. Esta familia de códigos maliciosos detectados por ESET NOD32 Antivirus como Win32/Spy.Zbot y Win32/Spy.SpyEye (versión modificada de Zeus), han provocado fraudes que se estiman en millones de dólares.

Ver más… »

Categories: Botnet
No Comments »

Cuando hablamos acerca del origen de los códigos maliciosos con los usuarios, muchos de ellos desconocen cuál es la procedencia de los mismos y todavía continuamos escuchando que creen que no existe el desarrollo de malware en la región. Para aquellos que suelen leer nuestro blog saben que esto no es así. Actualmente se han detecta un número creciente de códigos maliciosos y ataques informáticos realizados en la región.

Debido a la  situación actual: la aparición de distintos ataques y campañas de propagación de códigos maliciosos, la inversión en materia de seguridad y los costos ante los problemas de esta índole llevan a las empresas a un gasto importante con el objetivo de minimizar el impacto de este tipo de situaciones. Si bien, la estimación de esta suma de dinero es bastante compleja, en el último informe realizado por LACNIC (Registro de Direcciones de Internet para América Latina y el Caribe), se detalla cuáles son las cifras para la región.

Entre los datos más importantes a remarcar se encuentra el impacto económico que tienen en la región los ataques de phishing, metodología que incluye a los troyanos bancarios y a las botnet como Zeus o SpyEye. Su objetivo es obtener las credenciales de acceso de los usuarios a la banca electrónica generando pérdidas de 93.000 millones de dólares a los bancos de Latinoamérica.

Ya sea a través de correos falsos, las redes sociales o la explotación de vulnerabilidades los usuarios pueden ser víctimas de este tipo de ataques que en un corto período de tiempo viendo su información comprometida. La existencia de ataques propagados a través de correos electrónicos recolectan información de los usuarios como por ejemplo las credenciales de acceso a sus cuentas de correo.

Además del robo de las credenciales de acceso a la banca electrónica, también suelen aparecer campañas de phishing destinadas a recolectar información de las tarjetas de crédito para luego ser vendidas en el mercado negro en un valor promedio de 98 centavos de dólar. Este dato, remarca una vez más cómo la propagación de estos ataques son regionales, ya que su objetivo son los bancos utilizados por los usuarios y las páginas se encuentran en español o portugués.

Entre el resto de las amenazas que se observan en la región se encuentran algunas campañas a través de las redes sociales como el botón “No me gusta” de Facebook, u otras funcionalidades como FacePlus!. El objetivo de este tipo de ataques es el negocio que  genera a través del abuso del servicio de AdSense de Google y los clic en las publicidades de las páginas.

Tanto el uso de las redes sociales como la banca electrónica son algunos de los objetivos de los cibercriminales como se puede observar en el reporte de LACNIC. Las pérdidas generadas a través de estos ataques son multimillonarias y remarca la importancia de contar con un plan de seguridad en las empresas y entidades bancarias como así también la protección de los equipos de los usuarios. Una defensa compuesta por herramientas tecnológicas y educación  permite minimizar este impacto que genera un dolor de cabeza a los usuarios de Latinoamérica.

Pablo Ramos
Especialista en Awareness & Research

Categories: Curiosidades, Estadísticas
No Comments »

Si tenemos que hablar de dos de las grandes familias de códigos maliciosos para el robo de credenciales de acceso, no podemos dejar de lado ni a Zeus, ni a SpyEye. Estas amenazas han buscado a lo largo del tiempo, no solo modificar sus técnicas de infección de las computadoras, sino que han desembarcado en los dispositivos móviles. Ahora fue el momento de SpyEye en su versión para Android

SPITMO, acrónimo utilizado para “SpyEye in the Mobile“, cuenta con variantes para distintas plataformas móviles, entre las que encontramos a Symbian, BlackBerry y Android. Si bien, su manera de actuar varía según el sistema operativo, el objetivo es el mismo: vulnerar los sistemas de doble autenticación y acceder a la información del usuario. Este tipo de ataques han causado robos por sumas millonarias, en distintos países alrededor del mundo.

En primera instancia, para que un usuario móvil pueda ser víctima de este ataque, su computadora, o cualquier otro equipo que utilizó para acceder a su banca electrónica se encuentra infectado por alguna variante de Win32/Spy.SpyEye. De esta manera, al momento de ingresar a su home banking, el usuario se encuentra con un anuncio acerca de distintos problemas de seguridad y la posibilidad de utilizar un software de autenticación en su dispositivo móvil.

Entonces, cuando el usuario ingresa sus datos, que incluyen el número de teléfono y el sistema operativo del teléfono, accede al supuesto software de seguridad. En el caso puntual de Android, cuando el usuario instala la aplicación, su información y mensajes de texto, serán reenviados al atacante sin su conocimiento.

El supuesto software de seguridad es en realidad una aplicación maliciosa que se instala con el nombre de System, y  con el objetivo de robar la información del usuario solicita los siguientes permisos:

Ver más… »

Categories: Análisis de malware, Malware
2 Comments »

Los usuarios de Android, la plataforma móvil de Google, son víctimas de una nueva amenaza, Zeus, que en su versión 2.1.0.10, no solo ataca a las computadoras, sino que también apunta contra los smartphones; pero todo esto tiene un porqué…

El motivo por el cual observamos este tipo de ataques, es para vulnerar el mecanismo de doble autenticación implementado por los bancos. Esta metodología de acceso, provee además de la clave tradicional de home banking, un número aleatorio que se envía a un teléfono celular, buscando así minimizar el robo de contraseñas y proteger la información de los usuarios.

Desde un equipo infectado con esta variante de Zeus, se efectúa el robo del número de teléfono del usuario y sus credenciales de acceso, en el momento que intenta acceder a su banca electrónica. Luego, el usuario recibe una supuesta aplicación de seguridad a través de un mensaje de texto, que en realidad es un troyano, detectado por ESET Mobile Security como Spy.SmsSpy.

Veamos ahora cómo funciona esta amenaza móvil.

Una vez que la aplicación es instalada en el dispositivo móvil, intercepta todos los mensajes de texto recibidos y los redirecciona a una página web, sin el conocimiento ni consentimiento del usuario. Pero, ¿cómo es la metodología de esta amenaza?

En primer lugar, para poder funcionar correctamente, el código malicioso solicita acceso a los mensajes de texto, el estado del teléfono y la conexión a Internet. Estos tres permisos son todo lo que necesita para llevar a cabo el robo de información:

Ver más… »

Categories: Análisis de malware, Malware
5 Comments »

Como sabemos, cada cierto tiempo (cada vez menor) el nivel de sofisticación del malware aumenta. Nuevas técnicas y métodos de evasión y de propagación son desarrolladas por los creadores de malware día a día. Luego de que el famoso gusano Stuxnet fuera descubierto a mediados del año pasado y su complejo funcionamiento e intenciones fueron revelados, ningún otro malware mostró un nivel que se acercara a sus capacidades técnicas.

En esta oportunidad hablaremos del rootkit nombrado por sus creadores TDL4, también conocido como TDSS y detectado por ESET Nod32 Antivirus como Win32/Olmarik.

Los autores de este rootkit implementaron uno de los más avanzados y sofisticados mecanismos para saltear varias medidas preventivas y mecanismos de seguridad del sistema operativo. En la actualidad es la amenaza más compleja conocida.

Consta de varias versiones las cuales fueron variando en complejidad desde su aparición hace aproximadamente 2 años. TDL3, TDL2 y TDL1 son las versiones anteriores de esta amenaza. Aunque todas las versiones comparten características similares, TDL4 podría considerarse como una nueva clase de malware por sus capacidades mejoradas que detallaremos a continuación.

TDL4 es la primera versión diseñada para afectar equipos con sistema operativo de 64 bits como Windows Vista y Windows 7.

Ver más… »

Categories: Análisis de malware, Botnet, Informes, Malware
21 Comments »