Todavía hay un 5% de “valientes” que no utilizan ningún sistema de seguridad en su ordenador

(¿La habíais echado de menos? ¡Nosotros sí! De nuevo tenemos a nuestra genial Yolanda con nosotros)

Así nos lo cuenta AV-Comparatives, que ha publicado la cuarta entrega de su encuesta sobre antivirus, que lleva por título Anti-Virus Survey Report, y que recoge SiliconWeek.

El estudio ha recogido información de más de cinco mil personas a nivel mundial, y extrae conclusiones bastante interesantes, como lo que los usuarios consideran que los tres aspectos más importantes que tiene que tener un producto encargado de la seguridad son, por orden de importancia, el poco efecto en el rendimiento del sistema, una buena velocidad de detección, y una buena capacidad para eliminar malware.

 eset-nod32-antivirus-estudio-avcomparatives-ordenador-sin-proteccion

Esto me recuerda cuando hace muchos años utilizábamos como argumento de marketing la cantidad de virus que cada programa era capaz de detectar y de neutralizar, ya que no había sistemas automáticos de reconocimiento de amenazas informáticas, clasificación y desinfección. Y claro, conseguir muestras de los virus que estaban circulando para poder incorporarlas al que llamamos “fichero de firmas” era harto complicado. Si se creaba un bicho en Algeciras, tardaba meses en cruzar España y llegar a Vigo.

Con la era de Internet todo esto ha cambiado: somos capaces de detectar mucho antes amenazas informáticas con sistemas automáticos .Y cuando hace algunos años cada día se incorporaban 10 nuevos virus al fichero de firmas para poder ser detectados y neutralizados, hoy hablamos de miles diarios. A lo que hay que añadir que ya hay tecnologías en cada ordenador individual capaces de reconocer por sí mismas nuevas amenazas y de neutralizarlas, sin saber nada antes de ellas.

Así que ahora se valora mucho más otras cosas que la capacidad de detección, porque, como a los soldados al acabar la mili, el valor se le supone. Y es que no hay diferenciación ya entre productos en cuanto a qué son capaces de detectar –desde el punto de vista del usuario-, mientras que sí hay mucha sensibilidad con que el antivirus no ralentice y con que sea rápido haciendo lo que tiene hacer. Otra cosa es la típica empresa que utiliza antivirus gratuitos suponiendo que son geniales y se infecta, y entonces, acordándose de Santa Bárbara cuando truena (Seguimos con la mili, patrona de Artillería), acuden a buscar un profesional que les ayude instalándoles, a partir de ese momento, un antivirus de pago… Pero en este país –y creo que también en otros- somos “asín” ;-).

Además, el estudio también nos cuenta que hay diferentes hábitos de uso de antivirus según estemos hablando de Estados Unidos o de Europa, y que al otro lado del charco, un porcentaje muy alto utiliza soluciones gratuitas mientras que en Europa, que valoramos mucho el soporte técnico y que haya alguien al otro lado echándonos una mano cuando hace falta, preferimos como primera opción los antivirus de pago.

Eso sí, no especifica si los que se llaman usuarios de soluciones gratuitas incluye también los “piratillas” que no adquieren la licencia pero que con el uso de diversas triquiñuelas consiguen, durante un rato, utilizar las versiones comerciales sin pagar.

Pero sí arroja otro dato interesante: todavía hay un 5% de valientes a nivel mundial que no utiliza ningún antivirus en su ordenador (no especifica si son usuarios Apple, Linux o Windows). Tanto si se tienen muchos conocimientos informáticos como si se trata de usuarios noveles o medios de las nuevas tecnologías, el no utilizar antivirus es como irte de vacaciones, dejar la puerta y las ventanas de tu casa abiertas de par en par y además colgar un cartel en la fachada que diga “señores ladrones, pasen ustedes libremente y sin prisas. Llévense lo que quieran, estamos de vacaciones. ¡Ah! Y en la nevera hay refrescos” ;-).

Bueno, un estudio más de los serios que arrojan algo de luz acerca de cómo se comporta el mercado. Y que, dicho sea de paso, sitúa a ESET entre el top 3 de principales marcas de antivirus utilizadas a nivel mundial, dicho por los propios usuarios (que luego no diga nadie que nosotros mismos nos echamos flores ;-). Así que gracias a todos los que confiáis en ESET vuestra seguridad, porque gracias a vosotros, cada día somos mejores.

Feliz fin de semana, trop@!

Yolanda Ruiz
@yolandaruiz



Win32/Napolar – Un nuevo bot en el vecindario

Categorias: Botnets,Informes,Malware | | 3 Comentarios » |

El siguiente artículo es una traducción y adaptación del post publicado originalmente en el blog internacional de ESET por nuestro compañero Pierre-Marc Bureau.

Hay un nuevo bot en el barrio, identificado por ESET como Win32/Napolar, aunque su autor prefiere llamarlo Solarbot. Este ejemplar de malware nos llamó la atención a mediados de agosto debido a sus interesantes técnicas antidepuración y de inyección de código. También atrajo mucha atención cuando fue analizado en varios foros de ingeniería inversa.

Este malware puede servir para múltiples propósitos. Los tres principales son realizar ataques de denegación de servicio, actuar como un servidor proxy SOCKS y robar información de los sistemas infectados. El malware es capaz de anclarse a varios navegadores y robar la información que se envía en formularios web.

Hemos descubierto muchos detalles sobre este bot desde que se activó a finales de julio, y hemos detectado infecciones desde mediados de agosto. Hemos recibido informes de miles de infecciones, muchos de ellos en Sudamérica. Los países con el mayor número de infecciones son Perú, Ecuador y Colombia. Se puede encontrar más información acerca de la distribución geográfica de esta amenaza en virusradar.

El autor de Win32/Napolar utiliza un sitio web para promocionarlo. Esta web tiene un aspecto muy profesional y contiene información detallada sobre el bot, incluyendo su coste (200 $ por cada versión) e incluso un completo informe de cambios de la evolución del código.

A pesar de que no hemos visto directamente la distribución de Win 32/Napolar, parece que esta amenaza se ha estado distribuyendo a través de Facebook. Debido a que el malware tiene la habilidad de robar las credenciales de Facebook, su operador puede reutilizar estas credenciales para enviar mensajes desde cuentas comprometidas y tratar de infectar a los amigos de la víctima. A continuación mostramos un listado de los nombres de archivos que se han utilizado en esta familia de malware:

  • Photo_032.JPG_www.facebook.com.exe
  • Photo_012-WWW.FACEBOOK.COM.exe
  • Photo_014-WWW.FACEBOOK.COM.exe

Curiosamente, esta amenaza utiliza el viejo truco de utilizar una doble extensión para ocultar la verdadera (*.JPG.EXE, *.TXT.EXE y similares), algo que se remonta a tiempos de Windows 95 pero que sigue utilizándose. Lo divertido sobre este uso de la doble extensión es que el autor de Win32/Napolar no parece darse cuenta de que .COM es una extensión válida, aunque algo vieja, para ficheros ejecutables y que este nombre del fichero hubiera permitido su ejecución sin añadir la extensión .EXE. Un post reciente de nuestros compañeros de AVAST confirma que ellos han visto vectores de infección similares.

En este artículo mostraremos algunos de los trucos antidepuración utilizados por Win32/Napolar. Estos trucos fueron observados en versiones tempranas de esta familia de malware. Las variantes más recientes también utilizan packers de terceros para evadir la detección antivirus y ralentizar la ingeniería inversa manual.

Seguidamente explicaremos el protocolo de mando y control (C&C) utilizado por Win32/Napolar. Finalmente, mostraremos parte de la información que fue recopilada de la web promocional antes de que fuera eliminada.

Técnicas Antidebugging

Cuando analizamos los binarios de Win32/Napolar, la primera cosa de la que nos dimos cuenta fue que no existían puntos de entrada válidos en la cabecera PE, tal y como se muestra en la imagen a continuación:

01_original_entrypoint_to_0

Las primeras instrucciones que se ejecutan cuando se inicia el binario se guardan en las funciones Thread Local Storage (TLS). Hay dos funciones TLS registradas, la primera de las cuales no hace nada. La segunda función descifra más código utilizando el algoritmo de cifrado RC4 y la clave 0xDEADBEEF. El código descifrado se registra como una tercera función TLS antes del retorno de la segunda función, tal y como se muestra en el extracto de código a continuación.

02_inserting_third_tls

La tercera función TLS descifra el resto del código antes de llamar al cuerpo principal del malware. Este código malicioso utiliza otros trucos para hacer más difícil su análisis:

  • Todos los imports se resuelven en el tiempo de ejecución utilizando hashes en lugar de nombres de import.
  • Las interacciones con el sistema operativo se realizan de forma mayoritaria llamando directamente a funciones indocumentadas de la librería NTDLL en lugar de utilizar las API estándar.
  • Todo el código es independiente de la posición en la que se encuentra.

Para encontrar el offset de su propio código que será descifrado, Win32/Napolar busca en su memoria el opcode 0×55. Este opcode representa a “push ebp”, la primera instrucción de la función actual en el lenguaje ensamblador. Si esta instrucción es reemplazada por 0xCC, el opcode para un software breakpoint, el descifrado del código no funcionará. Esta es una manera inteligente de alterar el comportamiento del malware si está siendo analizado con un depurador y si se coloca un software breakpoint en la primera instrucción del TLS.

Win32/Napolar dispone de más trucos antidepuración. Para hacer más complicado el análisis dinámico, Win32/Napolar generará un subproceso de sí mismo y lo depurará con una nueva instancia. La imagen a continuación muestra la llamada a CreateProcess.

05_create_process_debug_only

La técnica de protección del software de la autodepuración ha sido vista con anterioridad, pero en el caso de Win32/Napolar, esto ocurre en el cuerpo principal del malware, no en el packer.

Una vez que ha empezado el proceso de depuración, Win32/Napolar entrará en un bucle que controla los eventos de depuración devueltos por la función WaitForDebugEvent. A continuación se presenta el pseudocódigo del manejo del bucle de eventos de depuración:

04_pseudo_code_debug_loop

El primer evento manejado por este código es  CREATE_PROCESS_DEBUG_EVENT. Este evento tiene lugar cuando el proceso depurado se inicia. En este caso, el proceso principal analizará las cabeceras MZ y PE del proceso depurado para poder recuperar el offset y el tamaño del código independiente de la posición. A continuación reservará otra área de memoria en el proceso depurado, en el cual inyectará el código. Esto genera dos copias del mismo código en el mismo proceso.

El siguiente evento es EXCEPTION_DEBUG_EVENT. En este segundo evento, el proceso principal sobrescribe la primera función TLS del binario para redirigir la ejecución al principio del ejecutable, utilizando una instrucción push – ret. Esto, de nuevo, descifra el cuerpo principal del malware y permite ejecutarlo en el proceso hijo. Es el código del proceso hijo el que procede a inyectarse a sí mismo en todos los procesos que ejecuten subprocesos y anclándose a varias funciones para ocultar su presencia en el sistema y capturar la información deseada.

Finalmente, el proceso principal recibe el evento EXIT_PROCESS_DEBUG_EVENT. Detiene la depuración llamando a la función DebugActiveProcessStop y finaliza su propio proceso utilizando NtTerminateProcess.

chart

Una de las principales características de Win32/Napolar es su habilidad para robar información cuando un usuario rellena un formulario web en un navegador. La protección del navegador de Trusteer probablemente sea capaz de evitar que el malware capture esta información. Este es el motivo por el cual el malware revisa el sistema en búsqueda de productos de Trusteer. Irá pasando por todos los procesos en ejecución y detendrá específicamente cualquier proceso que contenga la cadena “trusteer” en él. No realizamos ninguna prueba para confirmar si este intento de deshabilitar los productos Trusteer funcionaba o no.

Comportamiento de la red

Cuando se comunica con el servidor y centro de mando y control, Win32/Napolar utiliza el protocolo HTTP. La primera búsqueda enviada por el bot al C&C contiene la siguiente información:

  • Versión del bot
  • Nombre del usuario de Windows del usuario infectado
  • Nombre del ordenador
  • Un identificador único del bot
  • Versión del sistema operativo
  • Tipo del sistema, de 32 o 64 bits. De hecho, este bot soporta ambos tipos de arquitectura.

El servidor responde a continuación con comandos que el bot debe ejecutar. Estos comandos están cifrados utilizando RC4, el identificador único del bot se utiliza como clave de cifrado. El bot soporta una variedad de comandos, desde el robo de información y el proxy de SOCKS, a la denegación de servicio, descarga, ejecución y actualización. Cada comando tiene un identificador único almacenado como un único byte y la información que sigue a este byte contiene los parámetros del comando. La siguiente imagen muestra un volcado del tráfico de comunicación entre un sistema infectado por Win32/Napolar y su centro de mando y control.

06_napolar_POST

La siguiente imagen muestra la descripción de este comando usando la clave adecuada. El primer byte del contenido recibido es 0xC, y esto le indica al bot que debe ponerse en modo reposo. El parámetro es una cadena, “600”, que representa el número de segundos que el bot estará en modo reposo.

07_decrypted_cnc_nop

Hemos visto al menos siete centros de mando y control diferentes utilizados por Win32/Napolar. La mayoría de ellos solo permanecieron online durante un par de días antes de que el operador los moviera a otra red. Esto podría indicar que este bot estaba siendo usado activamente. A continuación mostramos una lista de nombres de dominio donde hemos observado servidores de mando y control recientemente:

  • dabakhost.be
  • terra-araucania.cl
  • xyz25.com
  • yandafia.com
  • elzbthfntr.com
  • alfadente.com.br

Existen algunas referencias a la red TOR en el código del malware. Más precisamente, algunas líneas de configuración y referencias al fichero de configuración de TOR. Durante nuestro análisis del malware no se apreció que estuviese haciendo ningún uso de estos datos. Podría tratarse de una característica latente que no estuviese activada en las muestras que hemos analizado.

Sitio web promocional

El autor de Win32/Napolar parece ir muy en serio cuando se trata de vender su Nuevo malware. Para ello ha preparado una web con un aspecto muy profesional donde anuncia su bot como “un bot basado en una shellcode profesional”, referiéndose al hecho de que el malware es independiente de la posición.

08_solar_website1

Este sitio web también proporciona información útil para clientes potenciales. Por ejemplo, el código completo para el servidor de mando y control puede encontrarse aquí, un script en php ejecutándose con una base de datos SQL como backend. El código del servidor de mando y control confirma nuestro análisis del protocolo de red utilizado por el malware Win32/Napolar.

El sitio web promocional también proporciona múltiples ejemplos de complementos que pueden ser utilizados por los operadores del malware. Estos complementos deben haberse escrito utilizando el lenguaje de programación Delphi. Los complementos de ejemplo muestran cómo se puede mostrar un mensaje en un sistema infectado, averiguar qué versión del antivirus hay instalada en el sistema de la víctima e incluso cómo robar monederos Bitcoin.

Finalmente, el sitio web presenta incluso un completo registro de los cambios realizados al código fuente del bot, incluyendo información sobre nuevas características y fallos solucionados. La web muestra la primera entrada en el registro de cambios el 14 de julio. Esto cuadra con nuestra línea temporal ya que observamos las primeras muestras de este bot siendo propagadas a principios de agosto. La fecha de registro del nombre de dominio donde el contenido se encuentra alojado es el primer día de agosto, otro indicio de que el inicio de esta propagación es reciente.

09_solar_website2

Conclusiones

Win32/Napolar es un nuevo bot que apareció en escena en julio y empezó a observarse siendo propagado en agosto. Utiliza técnicas interesantes para contrarrestar la ingeniería inversa. El punto más destacable sobre este malware es cómo se está promocionando abiertamente por su creador utilizando un sitio web. Este anuncio es probablemente el mismo que fue identificado por Dancho Danchev en webroot en julio.

Hemos visto muchos mensajes en varios foros promocionando este bot, como complemento a la existencia de un sitio web accesible públicamente. Tal y como se discutió previamente en el caso Foxxy este es otro buen ejemplo de especialización de las operaciones cibercriminales donde, claramente, tenemos creadores de malware que lo venden a otras bandas para que ellos lo utilicen.

A pesar de que este bot cuenta con funcionalidades similares a las de otras familias como Zeus o SpyEye, podría ganar popularidad porque su autor se encuentra manteniéndolo de forma activa, y también por su facilidad de uso y simplicidad con la que los complementos pueden ser creados.

Ficheros analizados

A continuación mostramos los hashes MD5 de los ficheros analizados:

  • 85e5a0951182de95827f1135721f73ad0828b6bc
  • 9c159f00292a22b7b609e1e8b1cf960e8a4fa795
  • a86e4bd51c15b17f89544f94105c397d64a060bb
  • ce24ae6d55c008e7a75fb78cfe033576d8416940
  • dacfa9d0c4b37f1966441075b6ef34ec8adc1aa6

Agradecimientos

Gracias a Lubomir Trebula y Joan Calvet por su ayuda mientras analizábamos este malware.

Josep Albors



Verano de calor en el termómetro… de la ciberseguridad: Facebook, espionaje y robo de datos protagonizan el verano más cálido de los últimos años

Categorias: Estudio,Facebook,General,Informes | | 2 Comentarios » |

Si este verano ha sido el más caluroso de los últimos años –climatológicamente hablando- no lo ha sido menos desde el punto de vista de la seguridad. Los últimos cuatro meses han dado muchísimo juego, pero si tuviéramos que elegir el hecho más significativo en cuanto a seguridad y a privacidad informática se refiere, sin duda tenemos que referirnos a la confirmación oficial y pública del mayor caso de ciberespionaje de la historia por parte de la NSA, el Gobierno de Estados Unidos y del Reino Unido.

Las redes sociales, que mes a mes tienen su hueco en nuestro resumen de seguridad, son cada vez más protagonistas por tres motivos diferentes: fallos en su estructura que provocan problemas de seguridad; abusos en cuanto a sus políticas de privacidad; y porque son ampliamente aprovechadas por spammers y cibercriminales para distribuir sus creaciones, ya sea para infectar a los usuarios, para engañarles y acceder a sus datos o cuentas o bien para intentar colocar productos de origen más que dudoso. El ranking en cuanto a incidencias de seguridad y privacidad sigue encabezado por Facebook, seguido por Twitter, Instagram y Pinterest.

Entre los diversos timos que han triunfado este verano en las redes sociales destacamos dos por la gran cantidad de gente que se ha visto afectada: la descarga de versiones para PC de WhatsApp e Instagram. En ninguno de los casos existía dicha aplicación y con la descarga sólo se buscaba suscribir a los usuarios a servicios premium de tarificación especial solicitándoles su número de móvil, actividad que reporta más de 200 millones de dólares al año de beneficios a los que emplean éstas y otras argucias para conseguir víctimas en las redes sociales.

Te dejamos por aquí el informe para que lo consultes y, si quieres, te lo descargues:


El verano de las vulnerabilidades

Durante estos cuatro meses también ha habido lugar para ocuparse de graves vulnerabilidades, como la que afectaba a Internet Explorer 8 y que conocimos en mayo porque había afectado a importantes empresas multinacionales y entidades gubernamentales norteamericanas. Pero no fue la única marca afectada: Apple ha tenido también que parchear numerosas vulnerabilidades durante este verano, junto a Oracle, que no ha parado de publicar remedios para Java; y Adobe Flash Player, que también ha tenido más de un dolor de cabeza con viejos agujeros de seguridad.

Ciberataques y robo y filtraciones de datos

Siria, India, Pakistán… Los ciberataques se han intensificado en los últimos meses. Algunos vienen de grupos hacktivistas, como el Ejército Electrónico Sirio o Anonymous, y otros son anónimos de verdad, pero tienen como objetivos a infraestructuras críticas, entidades gubernamentales o empresas privadas de gran envergadura. Los ha habido de todos los sabores, tamaños y colores, como los cibera­taques contra la red eléctrica de Estados Uni­dos, con todas las sospechas apuntando hacia Irán o Siria secuestrando dominios; o como el sucedido contra el New York Times para redirigir a todos sus visitantes a páginas web alojadas en otros países y que se encontraban sirviendo malware.

Si hablamos del robo de datos, entonces la lista se hace bastante más extensa. A nivel nacional, durante este verano el Partido Popular ha visto cómo su contabilidad ha sido sustraída y publicada en la Red. Y a nivel internacional, parece que las compañías de videojuegos han sido un claro objetivo de los ciberlincuentes, porque se han visto afectadas tanto Ubisoft como Nintendo, Konami y League of Legends, por nombrar a los más relevantes.

Virus y más virus

No podíamos dejar pasar la oportunidad de hablar de virus informáticos, evidentemente. Y si tenemos que darle el podium de honor a una sola de las más de 200.000 nuevas creaciones que cada día se distribuyen, este puesto está sin duda reservado al conocidísimo Virus de la Policía, del que siguen apareciendo nuevas variantes con nuevos sistemas de coacción y para más plataformas. Durante estos meses lo hemos visto para iOS e incluyendo vídeos con mensaje. Y es que sigue infectando a numerosos usuarios que ven desesperados cómo su ordenador se queda bloqueado y con una grave acusación.

También analizamos nuevos ejemplares que utilizaban aplicaciones como Skype Google Talk para distribuirse, al igual que lo hacía hace tiempo utilizando el desaparecido Messenger. Y por supuesto también hemos visto durante estos meses nuevas amenazas para móviles, en su mayoría para Android.

Un verano de lo más caliente, en cuanto a seguridad se refiere, que augura un otoño muy cálido.

Yolanda Ruiz



Junio pasará a la historia por el descubrimiento del espionaje indiscriminado de EE.UU. y Reino Unido a los internautas

Como siempre, os traemos hasta aquí el que ha sido el resumen de seguridad del pasado mes de junio, que va a pasar, sin duda, a la historia por haber sido el mes en el que se ha destapado la trama de espionaje de Estados Unidos y del Reino Unido por el exempleado de la NSA y la CIA Edward Snowden. Las sucesivas filtraciones de los sistemas de espionaje utilizado por estos países han copado la primera página de todos los periódicos alrededor del mundo y tanto las nuevas revelaciones como los viajes de Snowden para evitar ser capturado por el gobierno americano darán mucho de que hablar en los próximos meses.

Toda esta trama de espionaje fue descubierta a principios del pasado mes cuando conocimos la existencia de PRISM a través de los documentos publicados en dos importantes periódicos y que fueron filtrados por Snowden. En ellos se detallaban las labores de vigilancia que se vienen realizando por lo menos desde 2007 y que cuentan con la colaboración de las grandes empresas de Internet. Entre estas empresas encontramos a Google, Microsoft, Yahoo, Facebook, PalTalk, AOL, Skype, Youtube o Apple, entre otras.

Obviamente, el revuelo que se armó entre la opinión pública fue de proporciones considerables y algunas de estas empresas intentaron salir al paso alegando que solo proporcionaban aquella información que las autoridades les exigían siguiendo los procedimientos que establece la ley, negando cualquier tipo de acceso libre a sus servidores y a los datos de los usuarios almacenados en ellos. La cosa se complicó aún más cuando descubrimos que la NSA mantiene una vigilancia especial sobre aquellos ciudadanos que utilizan herramientas de cifrado de comunicaciones y datos para proteger su privacidad.

Pero la cosa no quedó allí y, a los pocos días, se desveló información que apuntaba a un espionaje realizado por el Reino Unido a los presidentes de los países y sus correspondientes delegaciones políticas que acudieron a la reunión del G20 en Londres celebrada en 2009. En esa ocasión, los servicios de espionaje británicos utilizaron todo tipo de herramientas y técnicas para conseguir su objetivo, incluyendo el acceso no autorizado a terminales BlackBerry de los delegados para así poder espiar sus mensajes de correo y llamadas.

Con la misma finalidad se establecieron una serie de puntos de acceso a Internet donde se espiaban las comunicaciones de todo aquel que se conectase. Todo este despliegue para obtener una ventaja estratégica en las conversaciones que los líderes mundiales realizaron durante esos días.

Pero no fue este el único caso de espionaje que tuvo como protagonista a Reino Unido, ya que a finales de mes se publicaron más datos que hablaban de la operación Tempora, un plan del gobierno británico para controlar todas las comunicaciones que se realicen a través de Internet o de llamadas de móvil. Este plan pretendía aprovecharse de la ventajosa posición estratégica con la que cuentan algunos países como Estados Unidos o Reino Unido, ya que muchos de los cables submarinos más importantes que transportan las comunicaciones se encuentran entre estos dos.

En España también tuvimos nuestra ración de polémica

En España también tuvimos nuestra ración de polémica cuando salió a la luz el borrador del anteproyecto de Código Procesal Penal del Ministerio de Justicia. En ese borrador se contempla la posibilidad de que los jueces autoricen a las fuerzas y cuerpos de seguridad del estado a instalar software malicioso en los sistemas de aquellos sospechosos de haber cometido delitos con penas máximas superiores a tres años. Este cambio en la ley choca directamente con la privacidad de los usuarios y seguramente dé mucho de que hablar en los próximos meses.

“La mayoría de usuarios asumimos que los gobiernos nos controlan y espían de alguna forma. Lo que no conocíamos eran cómo lo hacían y la sofisticación de estos planes de espionaje”, comenta Josep Albors, director del laboratorio de ESET España. “Con toda la información que conocemos ahora, y la que aún está por ser revelada, es muy probable que muchos de nosotros nos replanteemos cómo manejamos nuestra privacidad y empecemos a tomar medidas para mantener nuestra información a salvo de miradas indiscretas”.

Hablando de troyanos policiales, el ransomware ha seguido siendo una de las amenazas más importantes del último mes. Durante las últimas semanas hemos visto cómo se seguían propagando variantes conocidas del “Virus de la policía”, pero también hemos descubierto nuevas variantes que incluían nuevas funciones como un registro de las pulsaciones o keylogger. También hemos visto cómo muchos servidores Windows 2003 Server caían víctimas de otro ransomware especializado en explotar vulnerabilidad en estos sistemas y cifrar los datos que almacenan para forzar que los usuarios paguen una cantidad si quieren recuperarlos.

Varias y curiosas vulnerabilidades

Hablando de vulnerabilidades, no solo Microsoft lanzó sus habituales parches de seguridad de cada segundo martes de cada mes, sino que Apple también se ha sumado en junio al publicar varios parches que solucionaban 33 vulnerabilidades en sistemas OS X. A su vez, Oracle publicó una importante actualización que solucionaba 40 vulnerabilidades en Java, algo importante si tenemos en cuenta que estas siguen siendo una de las puertas de entrada del malware a nuestros sistemas.

La vulnerabilidad curiosa del mes vino de la mano de Adobe Flash Player y, aunque se trata de un fallo de seguridad que data de 2011, aún sigue estando activa. Aprovechándose de este agujero de seguridad, un atacante puede preparar una web especial que permite tomar fotografías de todo aquel usuario que la visite si su sistema tiene conectada una webcam.

Más peligrosos para nuestra salud resultan los agujeros de seguridad en dispositivos médicos de todo tipo. Durante el pasado mes analizamos un estudio donde se indicaba que muchos de los dispositivos médicos utilizados a diario tales como desfibriladores, pantallas de monitorización de pacientes y dispositivos de anestesia contienen vulnerabilidades que permitirían a un atacante acceder a estas herramientas.

Muchas y variadas webs, vulneradas y hackeadas

Las infecciones en páginas web legítimas siguieron causando quebraderos de cabeza a los usuarios que confían en ellas. Esto se agrava cuando la web comprometida pertenece a alguien tan conocido como Eduard Punset, ya que personalidades como él cuentan con miles de seguidores que acceden a su web prácticamente a diario. Precisamente durante el pasado mes Google publicó los resultados de unos estudios sobre navegación segura en los que se confirmaba que la mayoría de malware se distribuía a través de webs legítimas que habían sido comprometidas.

Las conocidas como redes de ordenadores zombi o botnets también tuvieron su parte de protagonismo por diversos motivos. Comenzábamos el mes con una buena noticia: el desmantelamiento de centenares de botnets Citadel gracias a una operación llevada a cabo por Microsoft y el FBI. No obstante, poco después descubríamos que Zeus, uno de los malware más utilizados en años pasados precisamente para infectar sistemas y convertirlos en bots, había experimentado un importante resurgimiento durante los primeros meses de este año.

No obstante, la noticia más relevante en cuanto a este tipo de malware nos llegaba prácticamente a finales de mes cuando se comprobó que el código fuente de Carberp, uno de los troyanos más utilizados en países como Rusia para robar información y datos privados como contraseñas bancarias, se hizo público. Esto puede hacer que, al igual que sucedió con Zeus cuando se filtró su código fuente, veamos un incremento en las variantes de Carberp que se propaguen durante los próximos meses.

Más amenazas para dispositivos móviles

Los dispositivos móviles y las amenazas diseñadas específicamente para ellos también han tenido presencia durante las últimas semanas. En un inicio de mes en el que Apple anunció la nueva versión de su sistema operativo para dispositivos móviles, iOS7, consideramos oportuno analizar en nuestro blog qué novedades incorporaba que estuviesen relacionadas con la seguridad. Asimismo analizamos uno de los timos más extendidos últimamente en redes sociales y que tiene que ver con el popular sistema de mensajería para móviles WhatsApp. En ese análisis pudimos ver cómo aquellas versiones para ordenadores de sobremesa que se anuncian resultan ser una trampa que solo persiguen engañar a los usuarios.

Ahora que ya estamos en pleno periodo estival analizamos también una amenaza diseñada para afectar a todos aquellos que busquen dónde pasar sus vacaciones desde su dispositivo móvil. Comprobamos cómo una misma web aparecía de forma inofensiva si accedíamos a ella utilizando un ordenador de sobremesa pero se intentaba descargar una aplicación maliciosa si la consultábamos desde un dispositivo Android. También nos hicimos eco de un fallo en el servicio de envío de mensajes SMS de Movistar en Colombia que permitía acceder al registro de todos los mensajes enviados utilizando este servicio.

Facebook no se ha librado

Por último, las redes sociales también tuvieron sus incidencias de seguridad. Facebook desveló que un fallo de seguridad expuso datos personales de 6 millones de usuarios, aunque no hubo constancia de que nadie se aprovechase de ello. También pudimos comprobar cómo el spam es algo que no solamente se presenta a través del correo electrónico, sino que también en las redes sociales podemos encontrar grandes cantidades.

Ya veremos cómo se presenta julio, que promete. Feliz semana, ¡trop@!

Yolanda Ruiz

Josep Albors



Google publica interesantes datos sobre la navegación (in)segura

Categorias: datos,Informes,Malware,Phishing | | Sin comentarios » |

A pesar de que no nos cansamos de repetirlo tanto en este blog como en muchas de las charlas que damos por toda la geografía española, la mayoría de malware se distribuye a través de webs legítimas que han visto comprometida su seguridad. Esto echa por tierra la idea que aún tienen muchos usuarios de que, si no navegan por sitios webs “peligrosos”, no se van a infectar. ¿Y cuáles son estos sitios web que la mayoría de usuarios considera como peligrosos? Pues los “sospechosos habituales” de siempre: páginas web con descargas ilegales de software, vídeos y música, y webs pornográficas o de juego online.

La realidad, no obstante, es bien diferente, y no precisamente porque lo contemos nosotros y lo veamos a diario cuando analizamos las muestras que llegan a nuestro laboratorio. Google ha publicado datos más que interesantes sobre la navegación (in)segura que realizamos los internautas habitualmente. Estos datos son reveladores y confirman lo que acabamos de comentar: el porcentaje de webs legítimas que han sido comprometidas y que se encuentran propagando malware es mucho más elevado que el de aquellas webs que se crean a propósito con esta finalidad.

aloja_malware

Esto tiene una explicación de lo más lógica. ¿Para qué ha de preocuparse un ciberdelincuente de preparar un sitio web malicioso desde cero cuando puede aprovechar miles de sitios legítimos repletos de vulnerabilidades esperando a ser explotadas? Resulta algo muy fácil de hacer, sobre todo por la facilidad que tiene automatizar todo ese proceso.

El problema es que los usuarios siguen confiando en los sitios web que para ellos son de fiar y no se les pasa por la cabeza que una página que visitan casi a diario y es de plena confianza pueda contener malware. Eso a pesar de que el número de advertencias que les aparecen en el navegador cada vez que visitan páginas webs sigue en aumento tal y como vemos en el siguiente gráfico.

advertencias

No son pocas las veces que nuestros compañeros de soporte técnico reciben consultas de usuarios que están convencidos de que nuestro antivirus ha detectado un falso positivo cuando han accedido a una web de confianza y les ha alertado de alguna amenaza. Normalmente, la primera reacción suele ser de sorpresa cuando les confirmamos que, efectivamente, esa web que visitan a diario ha sido infectada y todo debido a esa falsa percepción de seguridad que comentábamos antes a la hora de visitar webs consideradas como inofensivas.

En cuanto al tipo de webs maliciosas que nos podemos encontrar, Google distingue entre dos tipos que agruparían a la mayoría de casos que vemos a diario. En estos dos tipos encontramos aquellos sitios web desde donde se descarga malware cuando un usuario los visita, pero también las páginas de suplantación de identidad que persiguen robarnos datos privados como las claves de acceso a nuestras cuentas bancarias online, perfiles de redes sociales o cuentas de correo.

Estaría bien conocer también el porcentaje de webs destinadas a las estafas por Internet como las de las falsas farmacias o casinos online, pero, al no tratarse de un riesgo directo para los usuarios, entendemos que Google ha preferido centrarse únicamente en aquellos sitios que representan una amenaza por el mero hecho de acceder a ellas.

web_insegura

Con estos datos en la mano, vemos que aún queda mucho camino por hacer pero, por otra parte, la involucración directa de uno de los gigantes de Internet en la lucha contra el malware en la red también tiene su efecto positivo. No son pocas las medidas que Google está tomando para hacer de la navegación de los usuarios algo más seguro, y estamos convencidos de que nuestros amigos de Virustotal tienen algo que decir acerca de este tema ahora que forman parte del gigante de los buscadores.

Por nuestra parte, no cesaremos en nuestro empeño por informar a los usuarios acerca de cómo disfrutar de una navegación segura, evitando los peligros que puedan acechar detrás de un enlace, ya sea preparado por un ciberdelincuente o perteneciente a una web legítima.

Josep Albors



Proponen el uso de malware para proteger la propiedad intelectual

Que la protección de la propiedad intelectual es llevada a cabo con uñas y dientes por algunos países es algo conocido. Y algunos de dichos países, con EE.UU. a la cabeza, incluso anteponen el interés de grandes empresas a la privacidad de los usuarios. Es por eso que no nos sorprendemos por la noticia que conocíamos hace unos días, en la que un informe elaborado por la comisión para la lucha contra el robo de la propiedad intelectual americana sugería el uso de herramientas que bien podíamos clasificar como malware.

En este informe se sugiere que, como medida de protección para el material protegido con propiedad intelectual, se incluya la posibilidad de que se encuentre protegido por algún tipo de software que tome “ciertas medidas” contra aquellos usuarios que traten de acceder al contenido protegido sin autorización.

Capitol2-623x420

Entre estas medidas encontramos  la posibilidad de que un fichero protegido de esta manera no pueda ser reproducido o ejecutado por el usuario pero además que el ordenador quede bloqueado, mostrando una serie de instrucciones para contactar con los organismos legales autorizados y así conseguir una contraseña que desbloquee nuestro equipo.

A nosotros todo esto nos recuerda a varios tipos de ransomware como el “Virus de la policía” pero asociado a empresas de gestión de derechos de autor, algo que, por otra parte, ya ha sido aprovechado por los ciberdelincuentes con anterioridad para infundir temor y conseguir que los usuarios paguen una falsa multa.

El hecho de que esta medida se está planteando siquiera y que haya salido a la luz sin ningún reparo nos debería de hacer pensar que otros mecanismo de control se están aplicando hoy en día en nuestros sistemas, de los cuales no tenemos constancia. No hace mucho provocó cierto revuelo un troyano empleado por el gobierno alemán para espiar a sus ciudadanos. El problema no es tanto que se descubriera ese troyano, sino que esta posibilidad está contemplada por la legislación de ese país.

Está claro que los gobiernos deben poder protegerse frente a ataques y las fuerzas de seguridad del Estado contar con herramientas capaces de ayudarlos en su difícil tarea de perseguir y detener a los ciberdelincuentes. El problema surge cuando se cruza esa fina línea que separa estas acciones del espionaje puro y duro, más aun cuando detrás se ocultan oscuros intereses de ciertas multinacionales y no la seguridad de la sociedad.

Es por ello que nosotros, como usuarios, debemos tomar medidas y negarnos a que nuestra privacidad sea invadida de forma flagrante y que se nos chantajee de forma descarada bloqueando nuestro equipo. Por nuestra parte da igual que el que cree un software malicioso sea un grupo de ciberdelincuentes o un gobierno. Un malware es un malware y como tal ha de ser siempre detectado.

Josep Albors



El robo de cuentas y los engaños en redes sociales se llevan el protagonismo en mayo

Categorias: Informes | | 1 Comentario » |

¡Cómo pasa el tiempo! Sin darnos cuenta ya estamos a las puertas de junio, del buen tiempo, las terracitas y la playa (si el tiempo nos lo permite, claro). Así que aquí va nuestro resumen mensual de seguridad en mayo: un mes en el que si tenemos que destacar los hechos más significativos en cuanto a seguridad se refiere, sin duda tenemos que hablar de los innumerables intentos de robo de contraseñas de redes sociales y de los numerosos engaños usando las más variadas triquiñuelas que se emplean para conseguir todo tipo de datos.

Si en meses anteriores ya hablamos de vulnerabilidades en Facebook que permitían acceder al contenido privado de un usuario e incluso controlar su cuenta, durante este mes observamos cómo una vulnerabilidad similar en Instagram permitiría a un atacante acceder a nuestra cuenta. Esto le permitiría acceder a nuestras fotos e información privada, pudiendo editar o borrar comentarios y fotografías o subir nuevas imágenes a nuestra cuenta.

Como prácticamente todos los meses, los engaños a través de Facebook se han seguido produciendo y ha habido varias campañas de propagación de noticias falsas y bulos que llamaron la atención de los usuarios. Una de las campañas que más nos llamó la atención, por lo sorprendente de la noticia usada, fue una noticia en la que se aseguraba haber grabado en vídeo a una bruja llorando.

Este tipo de noticias llamativas suelen atraer la atención de los usuarios más curiosos, engañándolos para que accedan a enlaces en los que se puede encontrar casi cualquier cosa. En este caso, además de abrirse numerosas ventanas de publicidad tras pulsar el enlace, se nos solicitará que le demos permiso a una aplicación para que acceda a nuestro perfil, pudiendo así acceder a todos nuestros datos, los de nuestros contactos, direcciones de correo electrónico o teléfono, entre otros.

Precisamente para mejorar la seguridad de nuestras cuentas de Facebook, la red social ha lanzado una nueva funcionalidad que ha denominado como “contactos de confianza”. De esta forma, si perdemos el acceso a nuestra cuenta de Facebook o nos la roban, podremos recuperarla sin pasar por el engorroso procedimiento de verificación de la identidad. Serán nuestros contactos de confianza quienes reciban unos códigos que nos servirán para poder acceder a nuestra cuenta y recuperar el control sobre ella.

También para evitar el robo de cuentas y la suplantación de identidad, Twitter presentó su sistema de doble autenticación. Si se activa, el usuario recibirá un mensaje SMS en su móvil que le será requerido cuando intente acceder a su cuenta. A pesar de ser una buena idea que otros servicios ya han implementado, el hecho de que Twitter permita utilizar SMS para enviar tanto tweets como comandos especiales podría hacer que un atacante utilizara esta característica para bloquear el acceso a la cuenta de su usuario legítimo.

Durante el pasado mes también analizamos un caso de malware que utilizaba los servicios de mensajería Skype y Google Talk para propagarse (como anteriormente ya se hacía con MSN Messenger). Utilizando el sistema clásico de llamar la atención en forma de mensaje con contenido sugerente en forma de fotos y un enlace acortado para que el usuario no sepa qué se esconde detrás. De esta forma tan sencilla, los ciberdelincuentes autores de esta campaña consiguieron infectar a más de 300.000 usuarios de todo el mundo, lo que demuestra que las viejas técnicas siguen funcionando a poco que se adapten.

eset-nod32-antivirus-resumen-mensual-seguridad-mayo

Graves vulnerabilidades en mayo

Con respecto a vulnerabilidades en sistemas operativos y aplicaciones, Microsoft ha vuelto a ser protagonista durante el mes pasado. Se descubrió una grave vulnerabilidad en el navegador Internet Explorer 8 que había sido utilizada para propagar malware desde páginas web legítimas y que pertenecían a grandes empresas con intereses en la industria aeroespacial, defensa y seguridad, pasando por organizaciones no gubernamentales e incluso llegando a organismos oficiales del Gobierno de los Estados Unidos.

Además de esta vulnerabilidad en el popular navegador de Internet, uno de los ingenieros de Google con más experiencia a la hora de encontrar fallos de seguridad anunció haber descubierto una grave en las versiones actuales de Windows, desde XP a Windows 8. Según este investigador, esta vulnerabilidad podría ser usada para escalar privilegios, provocar un cuelgue del sistema o ejecutar código arbitrario.

También en mayo, Microsoft presentó su consola de nueva generación, XBOX One. Con este anuncio ya se han presentado las consolas de las tres grandes casas (Nintendo, Sony y Microsoft) que se van a disputar la siguiente generación de consolas de videojuegos. No obstante, la arquitectura similar a la de un PC tanto de la Playstation 4 como de Xbox One nos hace plantearnos si no estaremos ante los posibles nuevos objetivos de los ciberdelincuentes.

Ciberataques: el género de moda de la primavera

Otro tipo de ataques, los dirigidos a grandes empresas, organizaciones o gobiernos también fueron protagonistas durante las últimas semanas. En el laboratorio analizamos una amenaza detectada en Pakistán y con muchos puntos para haber sido generada en la vecina India. Esta amenaza, que también afectó a algunos ordenadores españoles, tenía como objetivo robar información de los ordenadores que infectaba. El hecho de que la mayoría de ordenadores afectados se encontrasen en Pakistán y que, tras analizar el código del malware, se encontrasen cadenas de texto en hindi nos hace sospechar de un caso de ciberespionaje entre estos dos países.

Asimismo, el prestigioso periódico The Wall Street Journal informó de supuestos ciberataques contra la red eléctrica de Estados Unidos, con todas las sospechas apuntando hacia Irán, según algunas fuentes del Gobierno norteamericano. En nuestro blog analizamos las posibilidades reales de que un ataque de ese tipo se produjese también en España y de las medidas adoptadas por nuestro gobierno para evitarlo.

El uso ya habitual de la tecnología por parte de los delincuentes se hizo patente una vez más cuando conocimos la noticia del robo de más de 45 millones de dólares aprovechando la existencia de varias vulnerabilidades en el actual sistema de seguridad financiera. En una operación que duró apenas diez horas, todos los miembros de una banda repartidos por varios países lograron retirar de varios cajeros alrededor de 40 millones de dólares, cantidad que se sumó a otros cinco millones obtenidos en una operación similar realizada en diciembre.

También en mayo hemos visto cómo monedas virtuales como Bitcoin era lo que precisamente estaba buscando algún empleado deshonesto de ESEA, una importante comunidad de juegos online, cuando modificó el software cliente antitrampas de esta empresa para incluir una opción que se encargaba de utilizar los recursos del ordenador para minar bitcoins, algo que la propia empresa había estado probando de forma interna pero que terminó descartando.

El hecho de que los jugadores más exigentes sean los que dispongan de los equipos más adecuados para conseguir procesar este tipo de monedas virtuales los hace especialmente atractivos como víctimas a los ciberdelincuentes que aprovechan la gran potencia de cálculo de sus equipos para hacerse ricos a su costa.

En nuestro país vimos también cómo se consiguió detener a un ciudadano de Zaragoza, acusado de espiar a sus vecinos utilizando para ello las cámaras web de sus portátiles. Aprovechando las redes Wi-Fi de sus vecinos conseguía infectar sus equipos con un malware que le permitía controlar la cámara web de sus ordenadores y procedía a grabarlos sin su consentimiento. Por si fuera poco, este individuo también fue acusado de almacenar en su ordenador pornografía infantil.

Por último, no nos olvidamos de los sistemas Mac OS, y es que durante mayo analizamos una nueva muestra de malware para esta plataforma que, además de robar información del ordenador infectado, realizaba capturas de pantalla periódicas del escritorio. Este malware tenía también la peculiaridad de encontrarse firmado con un identificador de desarrollador de Apple y fue además descubierto por un investigador en un evento celebrado para ayudar a protegerse a los activistas de varias organizaciones del espionaje gubernamental.

Esto es lo que ha dado de sí el mes… Vamos a ver cómo se nos presenta junio, que todo indica que no nos va a dejar mucho tiempo al relax ;-).

Feliz jueves!

Yolanda Ruiz

Josep Albors



Los cuatro primeros meses del año han estado protagonizados por numerosos agujeros de seguridad

Si tuviéramos que hacer balance de lo que han sido los cuatro primeros meses del año en cuanto a incidentes de seguridad se refiere, sin duda tenemos que afirmar que los agujeros de seguridad en conocidas aplicaciones y sistemas operativos han marcado la tónica. Java se ha llevado la palma, aunque también Microsoft ha tenido que lanzar bastantes parches para soluciones graves problemas de su navegador y de su sistema operativo. Y Oracle no se ha quedado atrás…

Vulnerabilidades que han sido aprovechadas por colectivos asiáticos para lanzar diferentes ataques contra objetivos occidentales. Los primeros que dieron la voz de alarma fueron algunos de los periódicos más importantes a nivel mundial como New York Times, Washington Post o Wall Street Journal. Pero no fueron los únicos, también les siguió tanto Facebook como Twitter, que también denunciaron en febrero de intrusiones en su red. No ha quedado clara la autoría, aunque se apuntaba a coletivos chinos.

Y hablando de vulnerabilidades y redes sociales, Facebook y Twitter también han protagonizado serios incidentes con errores de programación que suponían riesgos contra la privacidad de los usuarios, que sumados a otros problemas derivados de scams y amenazas que utilizan las conocidas plataformas para distribuirse, han supuesto más de un quebradero de cabeza. El supuesto vídeo de Justin Bieber con su novia o el falso sorteo de varios Samsung Galaxy SIII son solo dos ejemplos de cómo la ingeniería social sigue siendo una de las técnicas más lucrativas de los ciberdelincuentes que buscan un alto número de víctimas muy rápidamente.

Y hablar de Twitter supone, irremediablemente, hablar de la cantidad de cuentas de marcas muy conocidas que han sido hackeadas, como ha sido el caso de la de Burger King y Jeep. Pero sin duda, la que ha conseguido desplomar al índice bursátil norteamericano Dow Jones ha sido el secuestro de la cuenta de la agencia de noticias Associated Press, que mostró durante unos minutos un tweet que aseguraba que había habido varias explosiones en la Casa Blanca y que Barack Obama había resultado herido. Tweet que fue desmentido solo unos minutos después pero que fue suficiente para convulsionar un país que venía de sufrir los recientes atentados de Boston.

Y aún a pesar del excelente trabajo realizado por los cuerpos policiales deteniendo a algunos miembros que estaban detrás de la trama del “Virus de la Policía“ (aquel que secuestra el ordenador por haber visto pornografía y solicita un rescate para poder acceder a los archivos), durante estos meses hemos visto cómo proliferaban muchas nuevas variantes que utilizando otros argumentos, como la pedofilia, buscaban el mismo fin: el dinero del usuario que, asustado, preferiría pagar a enfrentarse a una supuesta denuncia por sus actividades online.

Igualmente, estos meses hemos visto multitud de robos de datos personales. Quizá los más sonados han sido los cometidos en Estados Unidos: personas tan conocidas como Michelle Oba­ma, Beyoncé, Hillary Clinton, Tom Cruise o Bill Gates, entre otros, vieron cómo varios de sus datos privados eran accesibles a cualquie­ra que visitara la web preparada a tal efecto. Entre esta información encontramos varios lugares de residencia, números de teléfono e incluso movimientos de sus cuentas bancarias.

Por supuesto, el colectivo hacktivista Anonymous ha seguido haciendo de las suyas durante este tiempo, atacando tanto a objetivos nacionales como internacionales. Todo ello en un contexto en el que el sistema de monedas virtuales Bitcoin volvía a ser vulnerado y en el que se aprovechaban los atentados de Boston para distribuir una red de botnets.

Un cuatrimestre intenso que no hace más que evidenciar que los incidentes en materia de seguridad, lejos de solucionarse, siguen creciendo y evolucionando, y más en tiempos de crisis.

ESET NOD32 España: Informe cuatrimestral de seguridad (enero – abril 2013) from Yolanda Ruiz Hervás

Yolanda Ruiz Hervás



PokerAgent y el robo de 16.000 contraseñas de Facebook

El siguiente post es una traducción y adaptación de “PokerAgent botnet stealing over 16,000 Facebook credentials” publicado en el blog de ESET Norteamérica por nuestro compañero Robert Lipovsky.

La red de “bots” llamada “PokerAgent”, a la que le seguimos la pista desde 2012, fue diseñada para conseguir datos de acceso a Facebook. También recogía datos de las tarjetas de crédito ligadas a cuentas de Facebook y estadísticas de los jugadores de “Zynga Poker”, supuestamente con la intención de estafar a las víctimas. Israel ha sido el país donde la amenaza ha sido más activa, con 800 ordenadores infectados y más de 16.000 credenciales de Facebook robadas.

Introducción

Hace aproximadamente un año, el laboratorio de investigación de ESET descubrió un troyano que le llamó la atención. Todo parecía indicar que había algo interesante: referencias a Facebook y a la aplicación Zynga Poker (que aparecían en cadenas de texto dentro del código), el código ejecutable “PokerAgent” y características de botnet, ya que el troyano contactaba con una red de control remoto.

ESET ha estado detectando diferentes variantes del troyano, denominado genéricamente MSIL/Agent.NKY. Tras el descubrimiento inicial, fuimos capaces de encontrar otras variantes del troyano, unas más antiguas y otras más modernas. También se consiguieron estadísticas de detección, que revelaron a Israel como el país con mayor actividad del código malicioso.

Hemos llevado a cabo un análisis profundo del código del troyano (tarea fácil, ya que estaba programado con C#, muy fácil de descompilar) e iniciamos la monitorización de la botnet. Los resultados se presentan a continuación y se encuentran ampliados en el whitepaper que analiza esta amenaza.

ESET NOD32 Antivirus: análisis técnico de Poker Agent, troyano de Facebook from Yolanda Ruiz Hervás

Funciones del malware

El autor del malware tiene una gran base de datos con credenciales de Facebook robadas (nombres de usuario y contraseñas). Al principio, no sabíamos cómo las había conseguido, pero al continuar la investigación se aclaró. Cuando el bot se conecta al centro de mando y control, le solicita tareas para llevar a cabo. Una de esas tareas equivale a un usuario de Facebook. El troyano está programado para iniciar sesión en una cuenta de Facebook y conseguir la siguiente información:

  1. Estadísticas de Zynga Poker de la cuenta de Facebook en cuestión
  2. Número de métodos de pago (p.ej. tarjetas de crédito) almacenadas en la cuenta de Facebook.

Las estadísticas del usuario en Zinga Poker se consiguen pasando la respuesta de la URL http://facebook2.poker.zynga.com/poker/inc/ajax/profile_popup.php?zid=1:%_FACEBOOK_ID%&signed_request=%_SIGNATURE% &platform=1.

Los datos devueltos se asemejan mucho a los mostrados más abajo, y tienen  información sobre el usuario, como su nombre, género, imagen del perfil de la cuenta, clasificación y puntos en Zynga Poker, número de amigos y estadísticas sobre cada mano jugada.

1_eset_nod32_zynga-stats

Al troyano solamente le interesa el género del usuario, sus puntos y su clasificación. Esta información se envía de vuelta al centro de mando y control.

Hay que tener en cuenta que para hacer la consulta el atacante solo necesita el identificador numérico de la cuenta de Facebook y un parámetro válido firmado por la aplicación Zynga Poker. En diferentes versiones del bot hemos detectado que se usaban diferentes parámetros.

Se puede encontrar más información sobre el popular juego Zynga Poker  aquí.

Con el fin de determinar el número de formas de pago vinculadas a la cuenta de Facebook, el bot primero tiene que entrar en esa cuenta, utilizando el nombre de usuario y contraseña que ya están en poder del atacante. Entonces, el troyano busca en https://secure.facebook.com/settings?tab=payments&section=methods y simplemente consigue el número que hay entre las etiquetas HTML en la cadena “You have <strong>X</strong> payment methods saved.” que se devuelve en HTML.

2_eset_nod32_fb_payment_settings

Siempre recomendamos que se sea muy cauteloso a la hora de almacenar datos de tarjetas de crédito en una aplicación, no solo en Facebook. De nuevo, toda la información se manda al centro de mando y control para actualizar la base de datos de víctimas.

El sistema infectado puede llevar a cabo diversas tareas en nombre de una víctima de Facebook:

  1. Publicar enlaces en el muro del usuario de Facebook.

El propósito de esta función es llevar a otros usuarios de Facebook (por ejemplo, amigos de los usuarios a los que se les ha robado las credenciales de acceso) a una página falsa de acceso a Facebook, para robarles también a ellos su nombre de usuario y contraseña.

La tarea mandada al bot, aparte de un nombre de usuario y contraseña de Facebook, también contiene una URL (mandada de manera cifrada) y posiblemente algún texto de acompañamiento para publicarla (aunque no hemos visto que esta característica la use la botnet). El troyano, una vez iniciada sesión en Facebook, publica el link descifrado en el muro del usuario.

Aquí pueden verse unos cuantos ejemplos.

3_eset_nod32_fb_share

El enlace apuntará a una página web similar a la que aparece en la imagen más abajo. Durante la monitorización del botnet, hemos visto que redirecciona a diferentes páginas web. Tanto desde nuestra telemetría como desde el texto de las páginas web, podemos ver que los ataques están dirigidos mayormente a usuarios de Israel. Las páginas ofrecen noticias de prensa amarillista, que el usuario puede sentir curiosidad por ver.

4_eset_nod32_middle_site

Independientemente del tema de la página a la que redirigen, todas tienen un factor común: cada imagen tiene un enlace HTML a una página falsa de Facebook en la que iniciar sesión, como se puede ver más abajo. De nuevo, se han ido usando diferentes URL a lo largo del tiempo.

5_eset_nod32_fake_facebook

Como cabría esperar, cuando una víctima rellena sus datos en esta página falsa de Facebook, sus datos son mandados al atacante.

El análisis del código también revela una interesante característica de la lógica de programación del troyano. El código contiene una función llamada “ShouldPublish”, que determina si los enlaces a las páginas de phishing deben ser publicados en el muro del usuario. Esto dependerá de si la víctima tiene alguna tarjeta de crédito vinculada a su cuenta y su clasificación en Zynga Poker. Aparentemente, si se cumple una de las condiciones, el atacante lo considera un éxito, y, si no (no hay tarjetas y tiene una clasificación baja), el troyano buscará otras víctimas.

6_eset_nod32_should_publish

¿Cómo funciona el ataque?

Hay que aclarar que, a diferencia de otros troyanos que hemos visto propagarse frecuentemente por Facebook, este no intenta entrar ni interferir con la cuenta de Facebook del usuario que está infectado (de hecho, podría no tener una cuenta en Facebook). La botnet sirve más bien como un proxy, por lo que las actividades ilegales (las tareas ordenadas a los bots) no se ejecutan fuera del ordenador infectado.

Una vez dicho esto, todo lo anterior nos lleva a la conclusión de que el propósito de la botnet es:

  1. Aumentar el tamaño de la base de datos de usuarios y contraseñas robados de Facebook.
  2. Actualizar la base de datos: comparar los datos de los usuarios de Facebook con las estadísticas de Zynga Poker y las tarjetas de crédito almacenadas.

Solo nos cabe especular acerca de cómo el atacante emplea los datos robados. El código sugiere que el atacante busca usuarios de Facebook con cosas de valor que merezcan la pena robar, determinándolo por las estadísticas del juego de poker y los datos de la tarjeta de crédito almacenados en su cuenta de Facebook. Posteriormente, el cibercriminal puede usar para sí los datos de la tarjeta de crédito o quizá vender la base de datos a otros delincuentes.

Vector de propagación

Antes hemos visto la página falsa de Facebook que el atacante emplea para hacer que las víctimas le den sus datos de Facebook. Por lo que se refiere a la distribución del troyano “PokerAgent”, no hemos tenido la suerte necesaria para pillarle “con las manos en la masa”. Cuando monitorizamos la botnet en marzo de 2012, esta no seguía propagándose activamente. Lo que sí sabemos, sin embargo, es que el troyano se descarga en el sistema por algún otro componente (de los que hemos visto varias versiones). Este componente de descarga fue visto en la web, (en varias URL que cambiaban dinámicamente) y las víctimas han sido engañadas para descargarlo.

Por las técnicas que utiliza el troyano, es lógico suponer que el downloader también se distribuyó por Facebook, haciendo también uso de técnicas de ingeniería social.

Escala de los ataques y acciones llevadas a cabo

Hemos estado detectado el troyano MSIL/Agent.NKY desde el 3 de diciembre de 2011. Poco después nos dimos cuenta de que era algo que requería más atención y llevamos a cabo un análisis a fondo del código. Así, iniciamos el seguimiento de la amenaza y tras analizar el protocolo de su centro de mando y control, empezamos la monitorización de la botnet.

Gracias a nuestra detección genérica, pudimos conseguir tanto versiones iniciales como más modernas del troyano. En total encontramos 36 versiones distintas de “PokerAgent” con fechas de compilación comprendidas entre septiembre de 2011 y marzo de 2012. Los “hashes” MD5 se pueden encontrar al final del documento. Por tanto, comprobamos cómo el creador del malware estaba desarrollando activamente su proyecto.

El seguimiento de la botnet reveló que al menos 800 ordenadores habían sido infectados con el troyano, y el atacante tenía al menos 16.194 entradas únicas en su base de datos de credenciales de Facebook el 20 de marzo de 2012. Estos números no se corresponden exactamente con el número de credenciales válidas robadas, ya que puede haber muchas más que no hemos visto. Sin embargo, por lo que comprobamos, no todas las entradas eran válidas, y muchos usuarios que intentaron ser engañados introdujeron nombres de usuario y contraseñas visiblemente falsos.

Tal y como muestra la evolución de detecciones en nuestro ESET LiveGrid®, el autor del malware dejó la propagación activa del troyano a mediados de febrero de 2012.

7_eset_nod32_pokeragent_stats

Los ataques se concentran en un solo país. Nuestra telemetría indica que precisamente el 99% de todas las detecciones de MSIL/Agent.NKY de los productos de seguridad de ESET provienen de Israel.

En cuanto conseguimos información fidedigna de estas actividades delictivas, cooperamos tanto con el CERT de Israel como con la Policía. Los detalles de la investigación no pueden ser hechos públicos por razones de confidencialidad.

También hemos avisado a Facebook, y ha llevado a cabo tareas de prevención para frustrar futuros ataques en las cuentas robadas.

Conclusión

El caso “PokerAgent” representa un ataque con éxito a los usuarios de la red social más grande del mundo y a los jugadores del mayor sitio de Poker del mundo. Hay, sin embargo, varias prácticas de seguridad, además de la obvia recomendación de utilizar un antivirus actualizado, que habrían evitado que los atacantes tuvieran tanta suerte.

  • No solo son necesarias medidas técnicas, sino que también la vigilancia del usuario es una protección contra todos los ataques que emplean ingeniería social. Aunque a simple vista la página falsa de Facebook es una copia perfecta de la auténtica, el usuario puede reconocerla como una copia si comprueba la barra de direcciones, aunque la mayoría de las víctimas fueron engañadas por la página.
  • Facebook ha implementado varios mecanismos para mejorar la seguridad de sus usuarios. En concreto, el doble factor de autentificación podría haber evitado que los bots entraran en las cuentas de Facebook de las víctimas.
  • Queremos insistir en que hay que ser cauteloso antes de permitir a los navegadores “recordar” contraseñas de servicios importantes, y mucho más si se están almacenando los datos de la tarjeta de crédito en cualquier aplicación, no solo en Facebook.

Con las redes sociales más populares siendo atacadas por malware, spam, phishing y otros propósitos nefastos, es muy recomendable asegurarse de que estamos protegidos de estos vectores de ataque también. Para mantener la cuenta de Facebook limpia, ESET ha presentado la aplicación ESET Social Media scanner.

8_eset_nod32_PokerAgent_infographic

Traducido y adaptdo por Yolanda Ruiz, Fernando de la Cuadra y Josep Albors

 



El primer mes de 2013 ha sido el de las vulnerabilidades

Si tuviéramos que asignar un nombre propio al mes de enero relativo a la seguridad le llamaríamos “vulnerabilidad”, porque esta ha sido la tónica general de los acontecimientos con mayor repercusión, entidad y alcance durante enero. Facebook y Twitter, siguendo la tónica de los últimos meses, también han estado en el punto de mira, tanto por problemas de seguridad como de privacidad.

Empezábamos el año con el descubrimiento de una nueva vulnerabilidad en el navegador Internet Explorer, vulnerabilidad que se estaba aprovechando para, por ejemplo, propagar malware desde la web de la importante organización Council on Foreign Relations. Esta vulnerabilidad estaba presente en las versiones 6, 7 y 8 de Internet Explorer, por lo que el número potencial de víctimas era muy elevado.

A pesar de no haber lanzado un parche de seguridad en las actualizaciones periódicas que Microsoft publica cada segundo martes de cada mes, la solución solo tardó unos pocos días más, lo que, aparentemente, ha ayudado a contener el número de usuarios afectados. A día de hoy, la vulnerabilidad se encuentra solucionada, pero esto no evita que muchos usuarios sigan vulnerables, ya que aún no han aplicado el parche que la soluciona.

Otro de los principales protagonistas en temas de seguridad del primer mes del año ha sido Java. El descubrimiento de una nueva vulnerabilidad en la versión más reciente hasta ese momento del software de Java activó todas las alarmas, puesto que se comprobó que estaba siendo incluida en los principales kits de exploits para así explotarla de forma activa.

Una de las primeras amenazas que no dudó en aprovecharse de esta nueva vulnerabilidad para propagarse fue una variante del conocido como “Virus de la Policía”, incluyendo variantes destinadas a usuarios españoles. Como ya vimos en casos anteriores, estas amenazas utilizaban sitios legítimos que habían visto comprometida su seguridad para propagarse e infectar al mayor número de usuarios posible.

A los pocos días de conocerse la noticia de esta nueva vulnerabilidad, Oracle lanzó una actualización que, aparentemente, la corregía. No obstante, el análisis a fondo de este parche desveló que solo se solucionaba parcialmente el problema y que la vulnerabilidad seguía presente, pudiendo ser explotada. A raíz de esto, pudimos ver cómo en varios foros underground se empezaba a vender una nueva vulnerabilidad para Java a un precio relativamente bajo.

Asimismo, esta vulnerabilidad junto con la anteriormente mencionada en Internet Explorer se usó en un supuesto caso de ciberespionaje a organizaciones no gubernamentales, organismos oficiales y empresas discrepantes con el Gobierno chino. Alojando un malware en el sitio web de la organización francesa “Reporteros sin fronteras” se consiguió afectar a objetivos  como organizaciones de derechos humanos del pueblo tibetano y la etnia uigur, así como también partidos políticos de Hong Kong y Taiwan, entre otras.

Este mes también ha sido bastante prolífico en cuanto a agujeros de seguridad en dispositivos. Por una parte se anunció una vulnerabilidad en cierto modelo de routers de la marca Linksys. Según los investigadores que la hicieron pública se podría tomar el control de este modelo de router incluso con la última versión del firmware disponible instalada. No obstante, la información incompleta proporcionada (fácilmente manipulable) y el hecho de que se trate de un modelo antiguo del cual muchas unidades no llevan el firmware oficial, limitaba mucho los efectos de esta vulnerabilidad.

Asimismo, hicimos un repaso a la seguridad de millones de dispositivos conectados a Internet y que se encuentran expuestos a ataques o intrusiones no autorizadas. En meses anteriores hemos comentado los casos de cámaras IP, Smart TVs o impresoras. Aunque no son pocos los avisos que se han realizado al respecto en los últimos meses, aun hoy hay una cantidad importante de dispositivos vulnerables expuestos en Internet.

De nuevo, Facebook

Durante el pasado mes, las redes sociales también tuvieron su parte de protagonismo con varios temas relacionados con su seguridad y privacidad. Facebook, por ejemplo, solucionó una vulnerabilidad que, de forma muy sencilla, permitía cambiar la contraseña de cualquier usuario de Facebook sin conocer la anterior.

Siguiendo con Facebook, en una presentación realizada el 15 de enero se anunció Facebook Graph Search. Este nuevo sistema de búsqueda se aprovecha de la gran cantidad de información que esta red social posee de sus usuarios para mostrar resultados basándose en diferentes perfiles de personas, su ubicación y sus aficiones. Esto, que en principio puede ser usado por todos los usuarios para conocer a gente con gustos similares cerca de nosotros, también puede ser usado por empresas de marketing para bombardearnos con publicidad personalizada o de forma maliciosa por atacantes para recopilar información de sus víctimas.

Twitter también ha sido vulnerable

Por su parte, Twitter también solucionó una vulnerabilidad que permitía que aplicaciones de terceros tuvieran acceso a nuestros mensajes privados, aunque no hubiesen pedido permiso para ello en el momento de su instalación. Esta vulnerabilidad fue solucionada por parte de Twitter sin avisar a los usuarios, aunque sigue siendo recomendable que revisemos las aplicaciones a las que hemos concedido permisos en nuestra cuenta de Twitter para no llevarnos sorpresas desagradables.

Los ciberdelincuentes siguieron usando Twitter para seguir propagando sus amenazas, y durante el mes pasado detectamos casos de phishing, propagando un enlace acortado malicioso usando mensajes directos entre usuarios en el que se indicaba que se estaba hablando mal de nosotros. Todo esto estaba diseñado para robar credenciales de los usuarios y disponer de cuentas de Twitter desde las cuales seguir propagando amenazas.

En enero también vimos el resurgir de Megaupload, justo cuando se cumplía un año de su cierre. Este nuevo servicio, conocido simplemente como Mega, promete muchas novedades entre las que se incluye una mayor seguridad y privacidad aunque varios investigadores se encargaron de revisar estos aspectos y descubrieron que habían fallos importantes que solucionar.

Otro tema que dio bastante que hablar durante el pasado mes fue el descubrimiento de nuevos certificados fraudulentos de Google. Y también analizamos en nuestro laboratorio otro tipo de vulnerabilidades, como la que afectó al complemento de Foxit PDF Reader para el navegador Firefox

Uno de los servicios gratuitos de correo electrónico más usados en Internet, Yahoo Mail, vio cómo un investigador demostraba mediante una prueba de concepto que era posible realizar un ataque XSS. En caso de haberse usado de forma maliciosa, hubiera podido llegar a afectar a cerca de 400 millones de usuarios.

Durante las últimas semanas también analizamos un caso de malware diseñado para Linux y que utilizaba una versión troyanizada del conocido demonio SSH para abrir puertas traseras en los sistemas que infectaba y permitir que un atacante accediera a ellos y los controlase. Esta versión maliciosa se estaba sirviendo desde algunos repositorios que habían visto comprometida su seguridad debido al uso de versiones  vulnerables de aplicaciones o unas contraseñas demasiado débiles.

En cuanto a los ejemplares de malware que más se han distribuido, este es el top 10 de las amenazas informáticas que más se han distribuido durante este mes de enero:

eset_nod32_antivirus_ranking_enero_2013

Como ves, hemos tenido de todo. Sin ninguna duda, ha sido un mes muy intenso desde el punto de vista de la seguridad y un avance de lo que, probablemente, va a seguir siendo el resto del año. ¡Estaremos muy atentos!

¡Feliz semana, trop@!

Josep Albors

Yolanda Ruiz



Artículos Anteriores »

Atención: nuestra página utiliza cookies Al utilizar nuestro sitio web, consiente nuestra política de uso.

Aceptar y ocultar este mensaje