Entradas con la etiqueta ‘malware’

Alerta ante la existencia de un botnet indestructible

El experto en seguridad Sergey Golavanov ha descubierto un botnet considerado por la comunidad como la amenaza más sofisticada para la seguridad informática que se ha visto hasta la fecha: una botnet con 4,5 millones de ordenadores zombies.

Tiene aproximadamente seis veces el tamaño de Rustock, la botnet que hasta hoy se consideraba la más grande y peligrosa con 800.000 ordenadores infectados.

how-it-works-botnet

Sergey Golavanov, experto de Kaspersky Labs asegura que se trata de una nueva variante del malware conocido como TDSS, que cuenta con una amplia variedad de métodos para evadir los controles de seguridad y utiliza el cifrado para facilitar la comunicación entre los ordenadores zombies y el centro de control.

La nueva versión de TDSS (TDL-4) es tan sofisticada que llega incluso a incluir un antivirus para eliminar de los PCs infectados otros tipo de malware que pudieran afectar negativamente a sus intenciones. Una vez que este malware infecta un equipo campa a sus anchas por él infectándolo con keylogeers, adware y todo tipo de programas maliciosos. A su vez considera que las botnets basadas en TDL-4 son “prácticamente indestructibles” debido a su enorme extensión dentro de los sistemas y a la utilización de conexiones cifradas.

Los ciberdelicuentes explotan una vulnerabilidad en Flash

Los ciberdelicuentes están utilizando una vulnerabilidad en Flash para distribuir código malicios a gran escala. La vulnerabilidad fue resuelta por Adobe la semana pasada.

Los expertos en seguridad de Websense, informan que los ciberdelicuentes han infecado un gran número de sitios web con ficheros flash “contaminados” que son utilizados para inyectar malware en el sistema del usuario.

El exploit, utiliza trucos para ganar información acerca de la estructura de memoria del reproductor de Flash y reemplaza el valor en el apuntador de la pila de memoria. De esta modo, la nueva dirección de memoria es ocultada dentro del códifo que a su vez carga un fichero encriptado en la víctima y lo ejecuta.

Recomendamos la actualización a la última versión de Flah (10.3.181.26) a todos los usuarios. La versión de flash para Android también es vulnerable si la versión instalada en más antigua que la versión 10.3.185.24. Es posible utilizar la página oficiail de Flash Player para saber que versión está instalada en nuestro navegador.

Si se es usuario de Mozilla Firefox, os recomendamos acceder a una página que comprueba el estado de los plugins instalados.

Falsos mitos sobre el malware y la seguridad en Mac

Todavía hay personas que niegan que exista malware para Mac. Incluso, hay quien sostiene que en Apple hacen sistemas operativos inmunes. Esto es totalmente falso ya que no existe un sistema totalmente seguro.

Existe malware para Mac. Es una evidencia. No en las cantidades que podemos encontrar para Windows, pero (en el último mes) los números son comparables a los que podemos encontrar para el resto de sistemas operativos. Es decir, existe malware creado específicamente para Mac OS del
que se lucran los atacantes.

Consultando a la base de datos de VirusTotal de los últimos 30 días (y entendiendo estos datos siempre con cierta cautela) realizaríamos la siguiente clasificación:

* Malware para Windows: 1.480.971 muestras únicas.
* Malware para Mac OS: 298 muestras únicas.
* Malware para Linux: 219 muestras únicas.
* Malware Android: 117 muestras únicas.
* Malware Symbian: 54 muestras únicas.
* Malware para iPhone: una única muestra.

Estos son muestras únicas llegadas a VirusTotal en el último mes y detectadas por más de cinco motores antivirus por firmas. Hay que tener
en cuenta muchos factores como por ejemplo que las firmas para sistemas diferentes a Windows no están tan entrenadas en todos los motores, pero da una buena idea de la diferencia de órdenes de magnitud. Por ejemplo, si Windows cuenta ahora mismo con un 88% de cuota de mercado y Mac OS con un 5%, la cantidad de malware único no se ajusta en absoluto a esa proporción. El malware para Mac representa un 0,02% de las muestras únicas recibidas. En otros términos, por cada 5.000 muestras únicas de malware recibidas para Windows, se recibe sólo una destinada a Mac. Como dato adicional, la mayoría de esas casi 300 muestras son variantes de MacDefender, que se ha propagado con fuerza en los últimos días. Quizás en otros momentos los datos varíen.

El sistema móvil para el que se crea más malware es Android, con diferencia con respecto a iOS. Aquí es curioso como iOS de iPhone e iPad, siendo mucho más utilizado que Android (2,24% frente al 0,66% de uso), está por detrás en cuestión de malware. La razón es sencilla: iOS es un sistema “cerrado” donde todo el software es firmado y las descargas más o menos verificadas. Esto le libra del malware “masivo”, aunque por ello pierde “flexibilidad” para el usuario. Sin embargo, tras años en el mercado, siguen existiendo vulnerabilidades en iOS para eludir su “cierre” y realizar un “jailbreak”. Con cada nueva versión, intentan cerrar una puerta… pero siempre existen. Estos fallos los podría aprovechar el malware.

Un error de programación permite robar mensajes de Hotmail

Durante las últimas semanas, un error de programación en el sitio web de Microsoft ha permito que los hackers robaran mensajes de correo electrónico de las cuentas de los usuarios de Hotmail.


Según la empresa de seguridad Trend Micro, el error de programación ha permitido a los hackers leer y robar mensajes de correo electrónico de los usuarios de Hotmail enviando mensajes especialmente manipulados a varios miles de víctimas.

Trend Micro descubrió el problema el 12 de mayo, cuando encontró un mensaje enviado a una víctima en Taiwan que parecía una alerta de notificación de Facebook. En él, se alertaba a la víctima de que alguien había accedido a su cuenta de Facebook desde una nueva localización.

Dentro del mensaje se incluía un script que dirigía después los mensajes de los usuarios a los hackers. Pero para que el ataque funcionara, las víctimas debían haberse autenticado en Hotmail y abrir el mensaje. Si simplemente se previsualizaba, el ataque no resultaba efectivo.

El fallo en el website de Microsoft que ha permitido a los hackers llevar a cabo su objetivo es un error común de programación web cross-site scripting.

“El script malicioso dispara una petición que es enviada al servidor Hotmail”, explica Trend Micro en una entrada de blog donde describe el ataque. “Después, este envía todos los mensajes de correo electrónico del usuario afectado a una determinada dirección de e-mail”.

Trend Micro informó a Microsoft sobre el asunto tan pronto lo descubrió, y esta resolvió el fallo el pasado viernes.

Evolución de las amenazas informáticas en el primer trimestre de 2011

Encontramos en la web de Viruslist.com, portal sobre seguridad en Internet, un informe sobre el desarrollo de las amenazas informáticas en el primer trimestre de 2011. Os hacemos un resumen de las principales amenazas ocurridas durante este periodo. Entre estas destacamos las amenazas móviles y los ataques dirigidos.

Troyanos móviles

Las aplicaciones maliciosas descubiertas para Android OS y publicadas en Android Market (más de 50),  eran versiones reempaquetadas de programas legales con funcionalidades troyanas adicionales.

El blanco de los delincuentes era la información almacenada en el teléfono: los códigos IMEI e IMSI. El troyano tiene también un módulo que permite descargar componentes adicionales del troyano al teléfono sin que el usuario se dé cuenta. Para obtener el control del teléfono, los delincuentes necesitan hacer un jailbreak (romper el sistema de seguridad del teléfono para recibir acceso al sistema de ficheros). Para conseguir privilegios de root, lo que da prácticamente posibilidades ilimitadas de manipular el sistema, se usan las vulnerabilidades y los famosos exploits “rage against the cage”. Los exploits se propagaban en el mismo paquete que los troyanos.

Los programas maliciosos detectados en Android Market usaban vulnerabilidades del sistema. Ssólo eran vulnerables los dispositivos con una versión del sistema inferior a 2.3 “Gingerbread”, lanzado el 6 de diciembre de 2010. Según Google, tres meses después del lanzamiento la cantidad de dispositivos con el nuevo SO instalado rondaba el 2%. Este porcentaje indica que los usuarios no tienen ninguna prisa por actualizar su sistema. El principal motivo de esta inercia es que los fabricantes de teléfonos introducen cambios significativos en el sistema operativo antes de instalarlo por primera vez en los dispositivos móviles. Después, la actualización del sistema operativo instalado no siempre es posible, o exige la participación del fabricante del teléfono.

A grandes rasgos, la situación de Android OS empieza a recordar la situación actual de Windows:

  • existe una enorme cantidad de dispositivos Android con software antiguo, que contiene diferentes vulnerabilidades abiertas.
  • los usuarios, en la absoluta mayoría de los casos, no hacen caso a las notificaciones del sistema en el momento de lanzar y actualizar cualquier aplicación.
  • al igual que en Windows, donde la mayoría de los equipos infectados son aquellos cuyos usuarios tienen derechos de administrador, los sistemas Android que corren más peligro son los que han pasado por el jailbreak.
  • los programas maliciosos se comunican con sus dueños según el esquema clásico del malware para Windows, es decir, usando centros de administración, lo que a fin de cuentas conduce a la aparición de botnets móviles.
  • existe la posibilidad de evadir el sistema de control de las aplicaciones: en Android OS no se pueden instalar otras aplicaciones además de las de Android Market.

Ataques Dirigidos

A finales del año pasado el grupo Anonymous se atribuyó la responsabilidad por los ataques DDoS lanzados contra Mastercard, Visa y Paypal para mostrar su apoyo al sitio Wikileaks. Mucha gente sintió curiosidad por saber quién estaba detrás de la máscara de Anonymous. A principios de 2011 la compañía HBGary, dedicada a la seguridad informática, declaró que sabía quiénes eran los autores. Sin embargo, después de algunos días, la misma HBGary se convirtió en blanco de ataques de hackers.

El primer trimestre de 2011 estuvo marcado por varios ataques a diferentes organizaciones. Además de los ataques contra HBGary, los hackers irrumpieron en RSA, BMI, Lush, los sitios de Play.com, wiki.php.net y otros. Como resultado de los exitosos ataques, los delincuentes obtuvieron diferentes tipos de información (por ejemplo, los datos personales de los usuarios), la cual, a pesar de que no permite lucrar de inmediato, representa interés para los delincuentes informáticos.

Unos años atrás el hackeo de los servidores de una gran compañía era una situación excepcional, pero ahora, por desgracia, estos sucesos se están convirtiendo en habituales. Todo parece indicar que una parte de los delincuentes informáticos ha encontrado una nueva veta de oro y ha dejado de realizar infecciones masivas en los equipos de usuarios domésticos para pasar a hackear grandes corporaciones. Para los delincuentes, esto representa más riesgos (pues las corporaciones, a diferencia de los usuarios móviles, toman represalias), pero las apuestas en los ataques dirigidos contra compañías son mayores y hay menos competencia en este segmento del mercado negro.

Autoridad Certificación Comodo

A finales de marzo salió un boletín de Microsoft que informaba que se habían emitido 9 certificados falsos en nombre de la compañía Comodo (de confianza en todas las versiones de Windows y Mac OS X). Los delincuentes usan los certificados falsos para realizar ataques phishing, spoofing del contenido de los sitios y ataques MITM.

Según la declaración de la compañía Comodo, la emisión de los certificados falsos fue posible porque los hackers capturaron las cuentas de dos socios de confianza de la compañía. Este incidente sacó a la luz un problema más: como el derecho de emisión de certificados en nombre de una compañía de confianza se transmite a terceros, los usuarios se ven obligados no solo a confiar en la compañía, sino también en sus socios.

Conclusiones

La principal tendencia del primer trimestre de 2011 es el aumento de los ataques contra diferentes organizaciones. Y no sólo se trata de los tradicionales ataques DDoS que dejan fuera de servicio a las compañías, sino también de la penetración a servidores corporativos con el objetivo de robar información. Los ataques se pueden dividir en:

  • Vender la información robada de los servidores de las compañías. Como resultado de los ataques, con frecuencia caen en las manos de los delincuentes los datos de los clientes de la organización afectada.
  • Ataques con carácter de protesta. Estos ataques no están relacionados con el deseo de lucro de los atacantes y a fin de cuentas persiguen un objetivo: poner bajo duda la autoridad de la compañía atacada y poner en duda su reputación.

El mayor riesgo de infección lo corren los países en vías de desarrollo. El nivel de computarización en estos países crece muy rápido, pero no se puede decir lo mismo del nivel de educación informática de sus habitantes.

Según los datos de IDC, en el cuarto trimestre de 2010 las ventas de smartphones ya superaron a las de ordenadores. En estas circunstancias, la creciente popularidad de Android OS en el mercado de dispositivos móviles podrá pronto conducir a una situación similar a la que ya se ha establecido en el mundo de los ordenadores. La dominación de Android OS permitirá a los escritores de virus no desperdiciar sus fuerzas y concentrarse en la creación de programas maliciosos para una plataforma. Esta táctica permitirá a los delincuentes infectar la mayor cantidad de dispositivos móviles.

El acelerado crecimiento de la popularidad de las redes sociales, blogs, torrents, Youtube y Twitter está haciendo que cambie el paisaje digital. Estos servicios garantizan la alta velocidad de propagación de datos y su accesibilidad en cualquier rincón del mundo. Con frecuencia, la gente confía en la información publicada en los blogs de los usuarios no menos que en la publicada en los medios masivos de información. Los delincuentes ya se han dado cuenta de la popularidad de este tipo de recursos. Por esta razón, en el futuro hay que esperar que aumente la cantidad de ataques mediante estos servicios y contra estos servicios.

Os dejamos el enlace a la web con el informe completo.