Así las cosas, el descubrimiento de vulnerabilidades o fallos en el diseño de aplicaciones como Twitter o Facebook tiene un gran valor, puesto que la gran cantidad de usuarios que usan estas aplicaciones las hacen ideales para propagar malware y obtener un buen número de víctimas. Una de estas vulnerabilidades fue descubierta y notificada el pasado 29 de Julio pero aun no se ha implementado una solución que la corrija, pudiéndose realizar ataques que se aprovechen de la misma, tal y como ha demostrado el investigador Mike Bailey generando una prueba de concepto.

Según ha demostrado Bailey, un usuario con sesión iniciada en Twitter puede ser forzado a publicar un mensaje malicioso cuando se visita una web preparada especialmente para aprovechar esta vulnerabilidad. En esta prueba de concepto se aprovecha la vulnerabilidad para secuestrar la cookie de inicio de sesión de la víctima y esta se usa para publicar un tweet en beneficio propio, pero también se podrían realizar otras acciones maliciosas. Es importante destacar que, aunque en la prueba de concepto preparada por Bailey es necesario pulsar un botón, en realidad no se requiere pulsar sobre ningún enlace ya que el ataque se puede realizar de forma transparente para el usuario.

Un ejemplo de aprovechamiento de esta vulnerabilidad por parte de los creadores de malware sería la aparición de un gusano que se propagase de forma masiva entre los usuarios de Twitter, donde todos los usuarios infectados publicasen un tweet con un enlace a una web maliciosa preparada para aprovecharse de esta vulnerabilidad. De esta forma, el número de usuarios afectados crecería exponencialmente y se podrían propagar todo tipo de códigos maliciosos desde esa web modificada.

Desde el laboratorio de ESET en Ontinet.com recomendamos ser cautos a la hora de pulsar sobre enlaces desconocidos proporcionados a través de Twitter o cualquier otro canal. Especialmente peligrosos son los enlaces acortados porque nunca sabemos a donde nos llevan hasta que ya estamos en la web destino. Por eso, es aconsejable utilizar servicios de alargamiento de url para conocer, al menos, el dominio donde se ubica la web a visitar. De esta forma, y tras analizar detenidamente la dirección web a visitar, podremos descartar aquellas que nos resulten sospechosas.

Josep Albors

No obstante, siempre que hablamos de las medidas anti copia que emplean las consolas de videojuegos olvidamos que, aparte de estar diseñadas para evitar que los usuarios carguen copias ilícitas de los juegos, también se implementaron para evitar que se pudiese ejecutar código arbitrario que pudiese dañar el sistema operativo que gobierna la consola. Aunque pueda parecer alarmista, ya se han visto casos de malware en este tipo de plataformas como los que comentamos a continuación:

• Tanto Nintendo DS como Sony PSP fueron el blanco de varios ataques lanzados aprovechando archivos infectados introducidos en las copias de juegos que la gente se descargaba. Estos ataques modificaban el firmware de la consola dejándola completamente inservible, aunque, en el caso de la PSP, se podía recuperar accediendo al modo debug y restaurando los valores de serie usando diversas técnicas. Obviamente, los primeros sospechosos de crear este tipo de malware fueron las propias compañías desarrolladoras de las consolas o los juegos aunque, el hecho de que el código para realizar estos ataques fuese ampliamente conocido, hizo que cualquiera con unos mínimos conocimientos pudiese realizarlos.

• En el caso del malware al que estamos acostumbrados, más concretamente las redes botnet, también hemos visto amenazas que podían infectar algunos estos sistemas e informar de tal infección a su correspondiente centro de mando y control. Como ejemplo, veamos esta imagen tomada de un panel de gestión de uno de los exploits packs mas usados:

Si nos fijamos en la cantidad de máquinas infectadas y su sistema operativo observamos como las plataformas Windows están a la cabeza pero también hay otras plataformas que, hasta hace poco, se consideraban inmunes a este tipo de amenazas. Es destacable la aparición de varios sistemas pertenecientes a dispositivos móviles y, al final de la lista, la presencia de los sistemas integrados en las consolas Playstation 3 y Nintendo Wii. Esta infección es posible, en el caso de Playstation 3, por la opción de instalar un sistema Linux en el disco de la consola y, en el caso de Nintendo Wii, seguramente por el uso de algún archivo infectado cuando se modifico la consola para cargar copias de juegos originales.

Aunque inicialmente, podamos pensar que solo se usa la capacidad de proceso de la consola para realizar ataques DDoS, no debemos olvidar que también introducimos datos sensibles, como los pertenecientes a nuestra tarjeta de crédito para descargar nuevos juegos o contenidos descargables para alargar la vida del los que ya hemos terminado.

Considerando que las consolas de videojuegos actuales hacen un uso masivo de las características online y, por ende, requieren una conexión a Internet, son un terreno muy apetecible para los desarrolladores de malware porque ofrecen muchas posibilidades, sobretodo si tenemos en cuenta que la tendencia va orientada a la descarga digital de juegos.

Desde el laboratorio de ESET en Ontinet.com nos gustaría hacer reflexionar a los usuarios sobre el hecho de que, tras modificar una consola de videojuegos para cargar software sin firmar, se abren una serie de posibilidades que no disponíamos inicialmente, pero también se abren las puertas a la ejecución de código que no podemos controlar. Casos recientes como los acontecidos con el iPhone y su Jailbreak nos deben hacer pensar en que, si bien en la actualidad es poco probable, en un futuro puede suponer un riesgo para la seguridad tener una consola de videojuegos
modificada y sin una seguridad adecuada.

Josep Albors

Desde el punto de vista de un usuario medio, el aprovechamiento de esta vulnerabilidad tendría un resultado similar al de muchas otras. El usuario ejecuta un archivo o pulsa sobre un enlace buscando descargar algún fichero y, como resultado, su sistema queda infectado. Pero, ¿qué pasos se han seguido para lograr infectar nuestro sistema. El siguiente gráfico lo resume de forma sencilla:

Por poner un ejemplo, de los muchos que se podrían usar aprovechándose de este vector de ataque, supongamos que recibimos uno de los típicos correos con una presentación de PowerPoint adjunta. Si la abrimos y esta presentación ha sido modificada para cargar una librería DLL desde una ubicación remota controlada por un atacante, esta se cargará en nuestro sistema, permitiendo la ejecución de código malicioso en el mismo. También podemos ver ejemplos donde, en lugar de un archivo adjunto, encontremos un enlace a una ubicación externa y que nos invite a descargar un archivo de cualquier tipo (música, video, documentos, etc.). Si el archivo está modificado para utilizar una librería .dll modificada por el atacante, esta se cargará sin nuestro conocimiento, comprometiendo la seguridad de nuestro sistema.

Con respecto a los consejos que se pueden dar para aquellos usuarios preocupados por su seguridad, el uso de un antivirus que sea capaz de detectar las amenazas que se aprovechen de este vector de ataque es fundamental, tanto como lo es nuestro sentido común para evitar ejecutar archivos sospechosos que provienen de fuentes no confiables.

Al ser un fallo compartido tanto por Microsoft como por los desarrolladores de software, la solución a esta vulnerabilidad aun no está del todo clara. Antes que lanzar un parche problemático que bloquee u ocasione problemas en el funcionamiento de muchas aplicaciones conocidas, Microsoft aconseja a los desarrolladores, seguir un manual de buenas prácticas que evite este tipo de incidentes.

Desde el laboratorio de ESET en Ontinet.com aun no hemos observado casos masivos de malware que se aprovechen de esta vulnerabilidad aunque, como siempre, es solo cuestión de tiempo. Desde luego, tenemos muy claro que esta, y muchas otras vulnerabilidades aun desconocidas para el gran público y la mayoría de investigadores, están siendo aprovechadas desde hace meses a menor escala, pero eso es algo inherente al estado del malware en la actualidad y al negocio generado alrededor de él. Es por eso que nunca nos cansaremos de recordar la importancia mantener nuestros sistemas de seguridad (antivirus, cortafuegos, actualizaciones de sistema y aplicaciones) siempre activos para mitigar los posibles ataques que podamos sufrir.

Josep Albors

La actualización de seguridad publicada por Apple ha sido preparada y lanzada en un tiempo récord desde que se hizo pública, lo cual siempre es de agradecer. No obstante, debido a que muchos usuarios de estos dispositivos aun quieren seguir usando las funciones adicionales que les ofrece el Jailbreak, es muy probable que se queden muchos dispositivos por actualizar, al menos hasta que se consiga hacer el Jailbreak a esta nueva versión.

Para aplicar la actualización del sistema, tan solo deberemos conectar nuestro dispositivo a iTunes y se nos avisará de que ya se encuentra disponible una nueva versión. No obstante, para poder aplicar este parche, es necesario actualizar a la última versión del iOS, siendo esta la 4.0.2 en iPhone e iPod Touch y 3.2.2 en el iPad. Así pues, nos encontramos ahora mismo en una situación similar a la de los sistemas operativos de escritorio, donde encontramos usuarios reticientes a actualizar sus sistemas por diversos motivos (incompatibilidad con programas antiguos, falta de presupuesto, licencias ilegales, etc), siendo estos usuarios los más vulnerables ante las nuevas amenazas.

Cabe recordar que, a pesar de que la gran mayoría de códigos maliciosos existentes hoy en día afectan a sistemas Windows, cada vez es mayor la cantidad de amenazas detectadas en otros sistemas y plataformas como los dispositivos móviles. Esta situación se agrava debido a que la mayoría de usuarios se sienten inmunes cuando están usando este tipo de dispositivos o sistemas operativos como GNU/Linux o Mac OS. La falsa sensación de seguridad puede alimentar malas prácticas que nos hagan pagar muy cara esta confianza.

Desde el laboratorio de ESET en Ontinet.com recomendamos a los usuarios de aquellos dispositivos de Apple afectados por estas vulnerabilidades que apliquen la correspondiente actualización de seguridad para mantenerse protegidos.

Josep Albors

Recordemos que se trataba realmente de dos vulnerabilidades. La primera de ellas usaba una fuente corrupta introducida en un archivo PDF para ejecutar código, mientras que la segunda usa una vulnerabilidad en el kernel para saltarse las medidas de protección que Apple incorpora en estos dispositivos, permitiéndole escalar privilegios hasta obtener permisos de root (administrador). En este escenario, cualquiera de los dispositivos vulnerables (iPhone, iPad e iPod Touch con o sin Jailbreak) estaba expuesto a amenazas con tan solo visitar un enlace específicamente preparado o abrir un archivo PDF modificado que haya recibido por email o a través de SMS.

Pero no solo estos dispositivos se vieron afectados. El lector de archivos PDF Foxit Reader también vio como, al intentar manejar estos PDF modificados, se producía un error que puede ser aprovechado para inyectar y ejecutar código arbitrario en un sistema. Una nueva versión del programa ha sido lanzada, según anuncian los desarrolladores, y los usuarios que lo deseen ya pueden descargarla.

Cabe destacar que, en esta ocasión, los productos de Adobe no se han visto afectados, lo que supone un respiro en el largo historial de vulnerabilidades de esta empresa. Desde el laboratorio de ESET en Ontinet.com recomendamos aplicar el parche tan pronto como se encuentre disponible y actualizar a la última versión de Foxit Reader si somos usuarios de esta aplicación.

Josep Albors

Cuando un usuario visita la web Jailbreakme.com desde el navegador Safari instalado en los dispositivos vulnerables, el sitio web redirige al usuario a un enlace donde se almacenan los archivos PDF modificados con el exploit y ejecuta aquel que se corresponda con el modelo del dispositivo y versión del firmware. En una segunda fase, se consigue el acceso al nucleo (kernel) del sistema y se consiguen permisos de administrador (root) para ejecutar todo aquello que se desee sin restricciones.

De momento, solo hemos visto aprovechar esta vulnerabilidad en la nueva versión del Jailbreak pero es solo cuestión de tiempo de que los creadores de malware empiecen a desarrollar amenazas orientadas específicamente a aprovechar esta vulnerabilidad. Alguno de los ejemplos que podríamos ver dentro de poco son el envío de mensajes SMS/MMS con archivos PDF que contengan el exploit y que, una vez ejecutados, descarguen e instalen malware en nuestro dispositivo. Asimismo, en lugar de adjuntar un archivo PDF, se puede proporcionar un enlace en un email, SMS o en una web a la que accedamos usando el navegador Safari y que, una vez pinchemos sobre él, descargue y ejecute algún tipo de software malicioso.

Con respecto al interés que puedan tener los creadores de malware en infectar este tipo de dispositivos, debemos recordar que los smartphones actuales tienen capacidades similares a un ordenador y se pueden aprovechar sus recursos para enviar spam, controlar botnets de dispositivos móviles o espiar las comunicaciones realizadas a través de estos dispositivos. Representantes de Apple han comunicado que están al tanto de las vulnerabilidades y que ya se encuentran trabajando en un parche que las solucione, por lo que, desde el laboratorio de ESET en Ontinet.com recomendamos a los usuarios de estos dispositivos que estén pendientes del lanzamiento del mismo tan pronto como este se encuentre disponible.

Josep Albors

Este vector de ataque ha ido perfeccionándose con el tiempo y, lo normal en estos días, es que la solicitud de instalación del falso códec se realice tras acceder a través de algún enlace a alguna web que, supuestamente, nos muestra algún video usando servicios como Youtube o similares. No obstante, recientemente hemos venido observando cómo se están empleando archivos de Quicktime Video (con extensión .mov) para propagar códigos maliciosos usando estas técnicas.

Investigadores de Trend Micro avisaron la semana pasada de que habían detectado un par de videos (“001 Dvdrip Salt.mov” y “salt dvdrpi [btjunkie][xtrancex].mov”), que supuestamente contenían la última película protagonizada por la actriz Angelina Jolie, compartiéndose en las redes de pares, torrents y servicios de descarga directa de archivos. Tras analizar estos archivos, descubrieron que solicitaba la descarga de un códec malicioso para poder visualizarlos y que en realidad se trataba de un troyano. Posteriormente también comprobaron cómo estos códecs maliciosos instalaban también una barra de publicidad no deseada y que contenía más troyanos.

Nuestro compañero e investigador David Harley de ESET USA junto con el responsable del laboratorio de ESET, Juraj Malcho, investigaron este caso y lograron detectar mas muestras de malware que usaban esta técnica de infección y que ESET clasificó como MOV/Exploit.QuickTime.A.

Al parecer, estos troyanos están preparados para descargar una serie de archivos de video maliciosos y que generan sus nombres a partir de una lista, con la finalidad de generar nombres de archivos atractivos para los usuarios y conseguir el mayor número de infecciones posible. Se puede encontrar información más detallada acerca de estos troyanos, los nombres de archivos usados para generar los archivos y la nomenclatura usada por ESET para estos códigos maliciosos en el post de David Harley hablando sobre este mismo tema.

Cabe recordar que, las muestras detectadas hasta el momento de escribir este artículo solo afectan a sistemas Windows aunque, al tratarse Quicktime de una aplicación multiplataforma, no deberíamos extrañarnos si apareciesen variantes que infectasen a sistemas Mac OS. Desde el laboratorio de ESET en Ontinet.com recomendamos descargar e instalar un antivirus que sea capaz de detectar estas amenazas antes de que logren infectar nuestro sistema.

Josep Albors

Para realizar este desbloqueo del terminal, los desarrolladores del Jailbreak se han aprovechado de un error en el manejo de los archivos PDF por parte del sistema operativo incluido en el iPhone. Usando un exploit, primero se consigue tomar control del navegador web Safari para, seguidamente, saltarse las medidas de prevención de ejecución de código que incorpora Apple a su teléfono móvil. Una vez hecho esto, se procede a instalar Cydia, aplicación que permite a los usuarios buscar e instalar aplicaciones desde otros sitios diferentes a la tienda App Store. Esto permite que muchos desarrolladores puedan ofrecer sus aplicaciones sin pasar por el filtro previo de Apple, bastante estricto en algunos casos.

Sin embargo, tal y como se usa este exploit para poder desbloquear el iPhone, también puede usarse para instalar código malicioso de forma no autorizada. Es por ello que este agujero de seguridad presenta una seria amenaza a la seguridad e integridad del terminal móvil de Apple.

Desde el laboratorio de ESET en Ontinet.com pensamos que cada usuario es libre de decidir qué hacer con su terminal pero antes debe conocer las consecuencias que esto puede suponer.

Josep Albors

Nuestro compañero Jorge Mieres de ESET Latinomérica nos explica como uno de los packs de crimeware, conocido como Zombie Explotation Pack, ya ha incluido esta vulnerabilidad como vector de ataque del malware usado para infectar sistemas e incluirlos en las redes botnets creadas con este kit.

Asimismo, el código malicioso polimórfico de nombre Sality, conocido por modificar su código frecuentemente para evitar su detección, también se aprovecha de esta vulnerabilidad, usando páginas webs especialmente modificadas para esparcirse. Esta variante crea una serie de accesos directos .lnk y utiliza nombres típicos de carpetas del sistema o sugerentes.

Los investigadores de F-Secure también han descubierto como una nueva variante de Zeus (una de las botnets mas populares) también ha empezado a adaptar su código para incluir esta grave vulnerabilidad. Actualmente, se está usando un falso correo electrónico que dice venir del departamento de seguridad de Microsoft para infectar a los usuarios. Aunque esta variante es relativamente nueva, el exploit usado es conocido por muchas casas antivirus y permite su fácil detección. Asimismo, el hecho de que el usuario tenga que abrir el archivo adjunto e incluir un archivo de forma manual en una ubicación concreta del sistema hace que pierda efectividad.

Como hemos comentado en posts anteriores en los que tratábamos este tema, estamos en las primeras etapas de un vector de ataque que puede seguir usándose durante mucho tiempo, como lo fueron y siguen siendo las infecciones que usan la característica Autorun. Aunque Microsoft lance pronto un parche para solucionarlo, es más que probable que muchos usuarios no lo instalen hasta dentro de bastante tiempo y veamos cómo esta vulnerabilidad es aprovechada durante muchos meses, tal y como sucedió con Conficker.

Desde el laboratorio de ESET en Ontinet.com seguimos recomendando la descarga e instalación de un antivirus con capacidad de detección de amenazas que aprovechen esta vulnerabilidad como medida de protección básica.

Josep Albors

Por una parte tenemos a una nueva familia de malware identificada como Win32/Trojan.Downloader.Chymine.A. Este malware instala un keylogger (registro de las pulsaciones en un teclado) detectado como un troyano de nombre Win32/Spy.Agent.NSO. Según los estudios realizados por los investigadores de ESET, el servidor usado para albergar y servir estos componentes se encuentra ubicado en los Estados Unidos pero la IP está asignada a un usuario de China.

La otra amenaza detectada que utiliza esta grave vulnerabilidad es una vieja conocida como Win32/Autorun.VB.RP, que ha sido actualizada para incluir el exploit como nuevo vector de propagación. Al parecer, esta actualización de la amenaza ya existente, descarga e instala componentes adicionales en máquinas ya infectadas.

Estos casos responden a la evolución típica del malware, que evoluciona para aprovechar las vulnerabilidades que vayan apareciendo para, de esta forma, aumentar sus vectores de ataque. Sabiendo que aun no existe parche que solucione esta vulnerabilidad y basándonos en experiencias pasadas, es más que probable que en las próximas semanas e incluso meses veamos más casos de malware “tradicional” que es modificado para aprovechar al máximo este agujero de seguridad.

Tras analizar estas dos nuevas familias de malware, los investigadores de ESET han comprobado que se trata de ejemplares menos sofisticados que el malware Win32/Stuxnet detectado originalmente. Cabe destacar que, mientras Win32/Trojan.Downloader.Chymine.A no genera archivos .LNK maliciosos ni se propaga de forma automática, la nueva versión de Win32/Autorun.VB.RP sí que genera archivos .LNK que explotan la vulnerabilidad existente para facilitar su propagación.

Así las cosas y viendo que estamos tan solo en el principio de lo que parece ser un nuevo vector de ataque que va a ser usado masivamente de forma inminente, desde el laboratorio de ESET en Ontinet.com recomendamos seguir atentos a las noticias publicadas por Microsoft acerca de esta vulnerabilidad para, de esta forma, instalar el parche de seguridad tan pronto como este se encuentre disponible. Asimismo la aplicación de medidas paliativas como el Fix it publicado recientemente y la instalación de un antivirus capaz de detectar las amenazas que se aprovechan de esta vulnerabilidad son medidas básicas de protección para tener nuestros sistemas protegidos.

Josep Albors