Nuevo malware. Viejas técnicas

Categorias: Botnets,Malware | | Sin comentarios » |

Es curioso ver cómo, a pesar del paso de los años y la evolución que sufre el malware, hay técnicas que, o bien se siguen usando o se modifican para adaptarse a los nuevos tiempos. Pasa por ejemplo con la propagación de malware usando el correo electrónico que, si bien es uno de los vectores de infección más antiguos, sigue usándose con relativo éxito.

Otro caso son las botnets, que siguen siendo una de las amenazas actuales aunque hemos pasado de ver grandes redes de ordenadores zombies a otras más pequeñas pero también más numerosas. La publicación reciente del código fuente de Zeus también puede ayudar a que veamos una propagación más numerosa de pequeñas redes. En conexión con las botnets, tenemos a las Remote Administrator Tools (RATs o herramientas de control remoto), bastante más veteranas que las botnets. Los más viejos del lugar recordaran a Back Orifice que, a finales de los 90 hizo de las suyas y permitió que algunos pasaran momentos divertidos tomando el control de ordenadores ajenos (especialmente en institutos y universidades).

La filosofía de las RATs no ha variado apenas desde entonces pero sí alguna de las funciones y sistemas a los que afecta. En las últimas semanas una nueva herramienta de este tipo ha sido nombrada por varios investigadores, destacando la posibilidad de crear una botnet multiplataforma. Si bien esta posibilidad existe al estar el código desarrollado en java, según informan desde Hispasec, solo se han detectado los agentes que infectan en forma de ejecutables de Windows. Otra de las funciones que se han añadido es la posibilidad de gestionar las máquinas infectadas desde dispositivos iOS como iPhone/iPod Touch/iPad.

La creación de código malicioso multiplataforma representa una posibilidad para los creadores de malware de afectar un mayor número de sistemas operativos, aunque ya existan herramientas de este tipo para Mac OS/X, y alguna de ella haya sido comentada en este mismo blog. Si bien la filosofía de este tipo de herramientas maliciosas sigue permaneciendo prácticamente intacta desde su creación, desde el laboratorio de ESET en Ontinet.com nos gustaría recordar que nada está obsoleto si consigue su objetivo por lo que los usuarios debemos informarnos y estar al día de este tipo de amenazas para evitar que la historia se repita.

Josep Albors



Para los viejunos: hoy es viernes 13

Categorias: Curiosidades,Malware | | Sin comentarios » |

Se habla frecuentemente de los “nativos digitales”. Estos nativos son las últimas generaciones de usuarios de ordenadores, y por suerte o por desgracia, es posible que no les suene la fecha Viernes 13. Para los que ya somos más viejunos, y hemos trabajado con 640 Kb (es decir, 0,00064 Gb de memoria RAM, por compararlo con los 3 o 4 Gigas que trae cualquier ordenador actual) y pantallas de fósforo verde, además de una película, Viernes 13 es un virus.

Sí, a finales de los 80, entre hombreras, pelos cardados y canciones de Mecano había ya ordenadores que se infectaban con virus, entre ellos el Viernes 13. Ese virus fue uno de los grandes de la época. Todos los medios se hicieron eco de él, y se anunciaba una catástrofe informática (Aunque no tanta como la que se anunció el 6 de marzo de 1990 con el virus michelangelo, eso sí que iba a ser el armagedón). El virus eliminaba los ficheros con extensión “EXE” que encontrara si estaba activo en memoria un viernes 13.

¿Cómo se propagaba? Pues gracias a los piratas. Un fichero EXE infectado viajaba en discos de 5,25 pulgadas, con dBase II, Symphony, Harvard Graphics o WordPerfect… Y poco a poco iba conquistando ordenadores. Tenía que hacerlo así, Internet no estaba tan desarrollado como ahora, y por eso elegía una fecha para activarse: para darse tiempo a infectar ordenadores.

Ese virus era de otra época. De cuando los creadores de virus buscaban otra cosa aparte de robarte la tarjeta de crédito o tu nombre de usuario y contraseña de Facebook. De cuando las cosas se hacían en esos 640 Kb que mencionaba antes y los creadores de virus usaban la imaginación para propagar virus. ¡Quizá en algún rincón perdido del laboratorio de ESET en Ontinet.com guarden un ejemplar!

Pero esa época pasó, y ahora la creación de virus ha pasado a ser una actividad más cercana a la delincuencia que a la informática. O tempora, o mores…

Fernando de la Cuadra



Facebook mejora su seguridad. ¿Será suficiente?

Categorias: redes sociales | | Sin comentarios » |

Mantener segura una red social de más de 500 millones de usuarios no debe ser tarea fácil pero los chicos de Facebook lo intentan. Sabedores de la importancia de evitar que el malware, el robo de contraseñas y el fraude se propaguen por enlaces compartidos en esta red social, llevan tiempo implementando nuevas medidas de seguridad para que la experiencia de usuario sea lo más segura posible.

En el día de ayer, el departamento de seguridad de Facebook anunció tres nuevas medidas para proteger a sus usuarios. Estas medidas incluyen aspectos tan importantes y demandados como la revisión de los enlaces publicados para evitar que los usuarios puedan pulsar sobre aquellos que sean maliciosos, gracias al acuerdo alcanzado con Web of Trust, herramienta que clasifica la peligrosidad de una web basándose en las puntuaciones asignadas por otros miembros de la comunidad Web Trust. Mediante este sistema, Facebook pretende mejorar sustancialmente la detección de enlaces maliciosos antes de que se propaguen de forma masiva.

Otra de las características de seguridad incorporadas es la autenticación de dos factores que requerirá la introducción de un código que nos será enviado mediante sms a nuestro número de móvil. De esta forma, si alguien intenta acceder a nuestra cuenta desde un dispositivo no registrado, esta autenticación evitará que lo consiga. No obstante, la necesidad de proporcionar un número de teléfono para que desde Facebook se nos envíe un sms significa proporcionar un dato demasiado sensible según nuestra opinión.

Por último, también se han incorporado nuevas medidas para evitar casos de Clickjacking y XSS. Recordemos que, usando técnicas de Clickjacking se puede engañar a los usuarios para que pulsen en botones del tipo “Me gusta” y, de esta forma, publicitar enlaces maliciosos en nuestro muro. Los ataques XSS, por otro lado, son aquellos que hacen copiar al usuario un enlace en su navegador, lo que provoca que se ejecuten acciones en nombre del usuario sin su permiso como, por ejemplo, publicaciones en el muro o el envío de spam a todos nuestros contactos.

Desde el laboratorio de ESET en Ontinet.com aplaudimos cualquier iniciativa que mejore la seguridad de los usuarios de Facebook pero no olvidemos que, la mayoría de las amenazas que se propagan usando esta y otras redes sociales, intentan engañar al usuario. Es en este punto donde se debe hacer un mayor hincapié, educando a los usuarios para que no caigan en las trampas preparadas por los ciberdelincuentes. Desde este blog intentamos aportar nuestro granito de arena a esta educación y esperamos que nuestros lectores la consideren útil.

Josep Albors



¿Antivirus gratuito? Sí, hasta que te pasa algo

Categorias: General | | Sin comentarios » |

Cada vez es más frecuente el uso de antivirus gratuitos. Los tiempos que corren no están para gastos, y la posibilidad de estar protegido sin coste es muy tentadora. Pero no todo son ventajas.

Según el estudio sobre seguridad en videojugadores, la inmensa mayoría de los “jugones” en PC usan soluciones de seguridad gratuitas. Lógico, después de pagar el dinero del videojuego más la conexión, más un PC decentito para que se pueda jugar bien, siempre se busca economizar.

El antivirus gratuito va bien… hasta que deja de ir bien. Según ese estudio, el 80% de los jugadores que han tenido problemas de seguridad con antivirus gratuitos, dejan de usarlo y cambian a una solución de seguridad de pago. ¿A cuál? Pues casi dos terceras partes a ESET.

Teniendo en cuenta que en el mercado español hay un mínimo de 10 soluciones de seguridad distintas disponibles para los usuarios, es significativo que se decanten en su inmensa mayoría por ESET.

Un videojugador exige muchísimo a su máquina, y si un antivirus va a hacer que la experiencia de juego sea más lenta, lo descartarán inmediatamente. EL nivel de exigencia es mucho para ellos, por lo que solo instalarán la solución antivirus que proteja de verdad y no ralentice la máquina.

Y si ESET es la solución que adoptan por rendimiento y calidad… ¿Qué no aportará a una red corporativa?

Fernando de la Cuadra



Zeus, troyano de dominio público

Categorias: Botnets | | Sin comentarios » |

Una de las familias de malware más prolífica de los últimos años ha sido la de Zeus, troyano destinado principalmente al robo de información financiera como datos de acceso a cuentas bancarias. Las diversas campañas de propagación de este troyano han conseguido afectar a millones de usuarios y generar botnets de gran tamaño. Tratándose de una pieza de malware tan conocida como esta, es frecuente que se actualice cada poco tiempo para dificultar su detección, actualizaciones que son realizadas por los cibercriminales que, posteriormente venden o alquilan los kits de propagación y gestión de malware.

No obstante, hace un par de semanas saltó la noticia de que el código fuente podría haber sido filtrado, poniéndolo a disposición de todos aquellos usuarios que deseen emplearlo sin tener que pagar a los cibercriminales que lo desarrollan. Esta noticia se ha visto confirmada hoy mismo cuando se ha publicado un enlace que permite la descarga del código fuente de este malware. Tanto el enlace del archivo comprimido como la contraseña necesaria para abrirlo se encuentran de manera muy fácil haciendo una simple búsqueda en la mayoría de buscadores de Internet.

¿Y las consecuencias de esta filtración de código? Estamos seguros que a los desarrolladores de este malware no les habrá hecho la más mínima gracia, puesto que su negocio se basa en venderlo para realizar actividades delictivas. Estando a disposición de todo el mundo, cualquiera puede usarlo sin coste alguno y, lo que es más grave, desarrollar sus propias variantes. También a las compañías de seguridad nos va a resultar más complicado controlar este previsto aumento de variantes pero, por otra parte, al disponer del código fuente, este se puede revisar a fondo para detectar de forma genérica cualquier variante que salga a partir de esta filtración.

Desde el laboratorio de ESET en Ontinet.com no creemos que esta filtración suponga un duro golpe a la familia del malware Zeus puesto que, muy probablemente, los creadores de este malware estén trabajando en una nueva versión con nuevas características que la diferencien de la versión filtrada. Si algo han demostrado operaciones anteriores es que la manera más efectiva de acabar con este tipo de botnets es desactivando sus centros de control. Mientras tanto, los usuarios deben protegerse frente a estas infecciones utilizando sistemas de protección antivirus eficaces, actualizando sus sistemas y aplicaciones y usando su sentido común para evitar caer en las trampas preparadas por los ciberdelincuentes.

Josep Albors



Investigadores consiguen sortear la seguridad de Google Chrome

Categorias: exploit,Vulnerabilidades | | Sin comentarios » |

El navegador de Google es un referente en materia de seguridad, sobre todo debido a la sandbox que incorpora. Esta tecnología mantenía el navegador a salvo de varios agujeros de seguridad, de tal forma, que incluso en los prestigiosos eventos Pwn2Own (destinados a comprometer la seguridad de los navegadores más conocidos) Chrome conseguía salir airoso. No obstante, todo llega a su fin y el navegador de la poderosa Google también ha visto su seguridad comprometida por investigadores de la compañía Vupen.

Estos investigadores han conseguido sortear todas las medidas de seguridad del navegador (la citada sandbox) y del propio sistema operativo Windows 7 (ASLR y DEP) para desarrollar un exploit que ejecuta código sin autorización. En el vídeo que mostramos a continuación se muestra como, tan solo visitando una web específicamente preparada se ejecuta la calculadora de Windows sin la interacción del usuario:

Está prueba de concepto demuestra que un atacante con malas intenciones podría preparar una serie de webs maliciosas con este exploit y que, en lugar de la inofensiva calculadora de Windows, ejecutase malware. No obstante, Vupen es una reputada firma de seguridad y, tal y como ellos mismos anuncian, no la harán pública y solo la compartirán con sus clientes gubernamentales (y suponemos que también con Google para que la soluciones lo antes posible).

Pruebas de concepto como esta demuestran que, tarde o temprano, se descubre un agujero de seguridad en cualquier aplicación o sistema operativo. Todo depende de lo bien desarrollado que se encuentre el código fuente y de las precauciones en materia de seguridad que se toman. No debemos olvidar que, muchas veces, las prisas por sacar un producto nuevo, actualización o incluso un parche hacen que no se revisen o implementen todas las medidas de seguridad aconsejadas.

Desde el laboratorio de ESET en Ontinet.com no vemos motivos de alarma para que los usuarios de Chrome dejen de usar este navegador, puesto que la vulnerabilidad no se ha hecho pública, pero sí que aconsejamos extremar las precuaciones a la hora de navegar por Internet o seguir enlaces que encontramos en emails, Twitter o Facebook.

Josep Albors



El malware sigue aprovechando la noticia de la muerte de Bin Laden (ahora en Facebook)

Tal y como avisábamos el lunes, no hemos tardado mucho en comprobar como aparecían diferentes enlaces maliciosos, adjuntos sospechosos en emails y (no podían faltar) páginas web de Facebook que nos prometen vídeos de la muerte del terrorista más buscado. El uso de las redes sociales como vector de ataque es algo a lo que ya estamos acostumbrados y nuestros compañeros de ESET Latinoamérica han informado de la aparición de diferentes páginas de Facebook que pueden ser usadas para propagar amenazas.

Estas páginas aparecen tras realizar alguna búsqueda relacionada con la muerte del terrorista y no son pocos los resultados:

Como vemos, los resultados son bastantes y ya hay varios usuarios de Facebook que ya han caído en la trampa. Esta no consiste en otra cosa que en sugerir a todos aquellos que accedan a este tipo de páginas de Facebook a copiar un código javascript en la barra de direcciones de su navegador.

Curiosamente, tienen el detalle de advertir a los usuarios de que, al copiar este script, se posteará de forma automática en nuestro muro y en el de nuestros conocidos:

Este tipo de amenazas permiten propagarse rápidamente por Facebook al crearse una rápida reacción en cadena entre grupos de usuarios que verán como aplicaciones no deseadas pueden usar su muro para autopromocionarse, enlazar a webs con contenido malicioso y afectar a nuestros conocidos de la red social.

Para evitar caer en este tipo de trampas, lo mejor es desconfiar de este tipo de páginas que usan la noticia del momento para llamar la atención. Desde el laboratorio de ESET en Ontinet.com hemos venido informando en repetidas ocasiones de incidentes similares y la mejor manera para evitarlos es evitar caer en la curiosidad y recurrir siempre a fuentes confiables para la obtención de noticias.

Josep Albors



Black Hat SEO tras el anuncio de la muerte de Bin Laden

Categorias: BlackHat SEO | | 1 Comentario » |

La noticia ha saltado esta madrugada (hora española) cuando el presidente de los Estados Unidos ha anunciado que un grupo de operaciones especiales de su ejército había logrado terminar con la vida del terrorista más buscado, Osama Bin Laden. Las reacciones no se han hecho esperar y las distintas cadenas de noticias internacionales se han hecho eco de la noticia inmediatamente después del anuncio oficial, a pesar de que ya circulaban rumores sobre la operación en Twitter desde anoche.

En relación a la seguridad informática, los enlaces maliciosos que propagan malware aprovechándose de la noticia no han tardado en aparecer y ya son varios los resultados ofrecidos por buscadores como Google que redirigen al usuario a webs con contenido malicioso. Como viene siendo habitual, los falsos antivirus suelen ser los que más aprovechan este tipo de vectores de ataque, intentando infectar a los usuarios desprevenidos con sus falsos mensajes de alerta.

Si algo hemos notado en los últimos meses en el laboratorio de ESET en Ontinet.com, es que, el tiempo desde que se produce una noticia impactante y los creadores de malware la aprovechan para propagar sus creaciones, es cada vez menor. Esto demuestra que los ciberdelincuentes no dejan de mejorar sus técnicas y están muy atentos a cualquier evento que pueda producir un incremento en las búsquedas de los usuarios para aprovecharlo.

No obstante, no solo hemos de estar atentos a los enlaces maliciosos que aparecen como resultado en las primeras posiciones de nuestro buscador, puesto que estos suelen tener una duración de apenas un par de días como máximo. Es probable que también veamos envíos de correos con adjuntos que dicen ser fotos del cadáver del Bin Laden (del cual ya han aparecido algunas fotos falsificadas que muchas agencias de noticias han tomado como autenticas) o supuestos videos mostrando la intervención de las fuerzas especiales asaltando el edificio donde se escondía el terrorista. En general, cualquier asunto que trate sobre esta noticia es un buen anzuelo para hacer picar a muchos usuarios por lo que hemos de extremar las precauciones y confiar solo en fuentes con una reputación sobradamente contrastada.

Josep Albors



« Artículos Posteriores

Atención: nuestra página utiliza cookies Al utilizar nuestro sitio web, consiente nuestra política de uso.

Aceptar y ocultar este mensaje