Entradas con la etiqueta ‘virus’

Falsos mitos sobre el malware y la seguridad en Mac

Todavía hay personas que niegan que exista malware para Mac. Incluso, hay quien sostiene que en Apple hacen sistemas operativos inmunes. Esto es totalmente falso ya que no existe un sistema totalmente seguro.

Existe malware para Mac. Es una evidencia. No en las cantidades que podemos encontrar para Windows, pero (en el último mes) los números son comparables a los que podemos encontrar para el resto de sistemas operativos. Es decir, existe malware creado específicamente para Mac OS del
que se lucran los atacantes.

Consultando a la base de datos de VirusTotal de los últimos 30 días (y entendiendo estos datos siempre con cierta cautela) realizaríamos la siguiente clasificación:

* Malware para Windows: 1.480.971 muestras únicas.
* Malware para Mac OS: 298 muestras únicas.
* Malware para Linux: 219 muestras únicas.
* Malware Android: 117 muestras únicas.
* Malware Symbian: 54 muestras únicas.
* Malware para iPhone: una única muestra.

Estos son muestras únicas llegadas a VirusTotal en el último mes y detectadas por más de cinco motores antivirus por firmas. Hay que tener
en cuenta muchos factores como por ejemplo que las firmas para sistemas diferentes a Windows no están tan entrenadas en todos los motores, pero da una buena idea de la diferencia de órdenes de magnitud. Por ejemplo, si Windows cuenta ahora mismo con un 88% de cuota de mercado y Mac OS con un 5%, la cantidad de malware único no se ajusta en absoluto a esa proporción. El malware para Mac representa un 0,02% de las muestras únicas recibidas. En otros términos, por cada 5.000 muestras únicas de malware recibidas para Windows, se recibe sólo una destinada a Mac. Como dato adicional, la mayoría de esas casi 300 muestras son variantes de MacDefender, que se ha propagado con fuerza en los últimos días. Quizás en otros momentos los datos varíen.

El sistema móvil para el que se crea más malware es Android, con diferencia con respecto a iOS. Aquí es curioso como iOS de iPhone e iPad, siendo mucho más utilizado que Android (2,24% frente al 0,66% de uso), está por detrás en cuestión de malware. La razón es sencilla: iOS es un sistema “cerrado” donde todo el software es firmado y las descargas más o menos verificadas. Esto le libra del malware “masivo”, aunque por ello pierde “flexibilidad” para el usuario. Sin embargo, tras años en el mercado, siguen existiendo vulnerabilidades en iOS para eludir su “cierre” y realizar un “jailbreak”. Con cada nueva versión, intentan cerrar una puerta… pero siempre existen. Estos fallos los podría aprovechar el malware.

Evolución de las amenazas informáticas en el primer trimestre de 2011

Encontramos en la web de Viruslist.com, portal sobre seguridad en Internet, un informe sobre el desarrollo de las amenazas informáticas en el primer trimestre de 2011. Os hacemos un resumen de las principales amenazas ocurridas durante este periodo. Entre estas destacamos las amenazas móviles y los ataques dirigidos.

Troyanos móviles

Las aplicaciones maliciosas descubiertas para Android OS y publicadas en Android Market (más de 50),  eran versiones reempaquetadas de programas legales con funcionalidades troyanas adicionales.

El blanco de los delincuentes era la información almacenada en el teléfono: los códigos IMEI e IMSI. El troyano tiene también un módulo que permite descargar componentes adicionales del troyano al teléfono sin que el usuario se dé cuenta. Para obtener el control del teléfono, los delincuentes necesitan hacer un jailbreak (romper el sistema de seguridad del teléfono para recibir acceso al sistema de ficheros). Para conseguir privilegios de root, lo que da prácticamente posibilidades ilimitadas de manipular el sistema, se usan las vulnerabilidades y los famosos exploits “rage against the cage”. Los exploits se propagaban en el mismo paquete que los troyanos.

Los programas maliciosos detectados en Android Market usaban vulnerabilidades del sistema. Ssólo eran vulnerables los dispositivos con una versión del sistema inferior a 2.3 “Gingerbread”, lanzado el 6 de diciembre de 2010. Según Google, tres meses después del lanzamiento la cantidad de dispositivos con el nuevo SO instalado rondaba el 2%. Este porcentaje indica que los usuarios no tienen ninguna prisa por actualizar su sistema. El principal motivo de esta inercia es que los fabricantes de teléfonos introducen cambios significativos en el sistema operativo antes de instalarlo por primera vez en los dispositivos móviles. Después, la actualización del sistema operativo instalado no siempre es posible, o exige la participación del fabricante del teléfono.

A grandes rasgos, la situación de Android OS empieza a recordar la situación actual de Windows:

  • existe una enorme cantidad de dispositivos Android con software antiguo, que contiene diferentes vulnerabilidades abiertas.
  • los usuarios, en la absoluta mayoría de los casos, no hacen caso a las notificaciones del sistema en el momento de lanzar y actualizar cualquier aplicación.
  • al igual que en Windows, donde la mayoría de los equipos infectados son aquellos cuyos usuarios tienen derechos de administrador, los sistemas Android que corren más peligro son los que han pasado por el jailbreak.
  • los programas maliciosos se comunican con sus dueños según el esquema clásico del malware para Windows, es decir, usando centros de administración, lo que a fin de cuentas conduce a la aparición de botnets móviles.
  • existe la posibilidad de evadir el sistema de control de las aplicaciones: en Android OS no se pueden instalar otras aplicaciones además de las de Android Market.

Ataques Dirigidos

A finales del año pasado el grupo Anonymous se atribuyó la responsabilidad por los ataques DDoS lanzados contra Mastercard, Visa y Paypal para mostrar su apoyo al sitio Wikileaks. Mucha gente sintió curiosidad por saber quién estaba detrás de la máscara de Anonymous. A principios de 2011 la compañía HBGary, dedicada a la seguridad informática, declaró que sabía quiénes eran los autores. Sin embargo, después de algunos días, la misma HBGary se convirtió en blanco de ataques de hackers.

El primer trimestre de 2011 estuvo marcado por varios ataques a diferentes organizaciones. Además de los ataques contra HBGary, los hackers irrumpieron en RSA, BMI, Lush, los sitios de Play.com, wiki.php.net y otros. Como resultado de los exitosos ataques, los delincuentes obtuvieron diferentes tipos de información (por ejemplo, los datos personales de los usuarios), la cual, a pesar de que no permite lucrar de inmediato, representa interés para los delincuentes informáticos.

Unos años atrás el hackeo de los servidores de una gran compañía era una situación excepcional, pero ahora, por desgracia, estos sucesos se están convirtiendo en habituales. Todo parece indicar que una parte de los delincuentes informáticos ha encontrado una nueva veta de oro y ha dejado de realizar infecciones masivas en los equipos de usuarios domésticos para pasar a hackear grandes corporaciones. Para los delincuentes, esto representa más riesgos (pues las corporaciones, a diferencia de los usuarios móviles, toman represalias), pero las apuestas en los ataques dirigidos contra compañías son mayores y hay menos competencia en este segmento del mercado negro.

Autoridad Certificación Comodo

A finales de marzo salió un boletín de Microsoft que informaba que se habían emitido 9 certificados falsos en nombre de la compañía Comodo (de confianza en todas las versiones de Windows y Mac OS X). Los delincuentes usan los certificados falsos para realizar ataques phishing, spoofing del contenido de los sitios y ataques MITM.

Según la declaración de la compañía Comodo, la emisión de los certificados falsos fue posible porque los hackers capturaron las cuentas de dos socios de confianza de la compañía. Este incidente sacó a la luz un problema más: como el derecho de emisión de certificados en nombre de una compañía de confianza se transmite a terceros, los usuarios se ven obligados no solo a confiar en la compañía, sino también en sus socios.

Conclusiones

La principal tendencia del primer trimestre de 2011 es el aumento de los ataques contra diferentes organizaciones. Y no sólo se trata de los tradicionales ataques DDoS que dejan fuera de servicio a las compañías, sino también de la penetración a servidores corporativos con el objetivo de robar información. Los ataques se pueden dividir en:

  • Vender la información robada de los servidores de las compañías. Como resultado de los ataques, con frecuencia caen en las manos de los delincuentes los datos de los clientes de la organización afectada.
  • Ataques con carácter de protesta. Estos ataques no están relacionados con el deseo de lucro de los atacantes y a fin de cuentas persiguen un objetivo: poner bajo duda la autoridad de la compañía atacada y poner en duda su reputación.

El mayor riesgo de infección lo corren los países en vías de desarrollo. El nivel de computarización en estos países crece muy rápido, pero no se puede decir lo mismo del nivel de educación informática de sus habitantes.

Según los datos de IDC, en el cuarto trimestre de 2010 las ventas de smartphones ya superaron a las de ordenadores. En estas circunstancias, la creciente popularidad de Android OS en el mercado de dispositivos móviles podrá pronto conducir a una situación similar a la que ya se ha establecido en el mundo de los ordenadores. La dominación de Android OS permitirá a los escritores de virus no desperdiciar sus fuerzas y concentrarse en la creación de programas maliciosos para una plataforma. Esta táctica permitirá a los delincuentes infectar la mayor cantidad de dispositivos móviles.

El acelerado crecimiento de la popularidad de las redes sociales, blogs, torrents, Youtube y Twitter está haciendo que cambie el paisaje digital. Estos servicios garantizan la alta velocidad de propagación de datos y su accesibilidad en cualquier rincón del mundo. Con frecuencia, la gente confía en la información publicada en los blogs de los usuarios no menos que en la publicada en los medios masivos de información. Los delincuentes ya se han dado cuenta de la popularidad de este tipo de recursos. Por esta razón, en el futuro hay que esperar que aumente la cantidad de ataques mediante estos servicios y contra estos servicios.

Os dejamos el enlace a la web con el informe completo.

Los toolkits de exploits se convierten en la gran amenaza para las empresas

De acuerdo con un informe publicado por HP Digital Vaccine Labs (DVLabs), los toolkits de exploit se están volviendo cada vez más sofisticados y eficaces, y están listos para hacer aún un mayor impacto este año.

El informe también cuenta que los toolkits agrupan un conjunto de exploits que puede aprovecharse de una amplia gama de vulnerabilidades. Sus altas tasas de infección en parte puede atribuirse a su uso frecuente de ataque de día cero, para los que no hay parche disponible.

Mientras algunos toolkits siguen aprovechando vulnerabilidades ya conocidas, cada nueva versión de un toolkit es probable que contenga al menos un nuevo día cero, que aumenta las posibilidades del atacante de infectar con éxito un host, de acuerdo con el informe.

Los toolkits que son comprados, vendidos o negociados para simplificar el lanzamiento de ataques cibernéticos, tuvieron tasas de éxito especialmente altas en los sistemas que infectaron.

Para mantenerse al día con el lanzamiento de parches, los toolkits también ofrecen muchas actualizaciones de versión por un módico precio, aumentando aún más sus tasas de éxito, señala el informe. Esta característica, junto con su accesibilidad y facilidad de uso, ha aumentado la demanda de toolkits entre los criminales.

Utilizan necesidad de trabajo para infectar PC

Una falsa aplicación para encontrar trabajo a través del iPad y el iPhone es utilizada para infectar los PC de los usuarios. El ataque hace uso de una vulnerabilidad en Adobe y está diseñado para no levantar sospechas en el usuario.

Virus Apple

La necesidad de encontrar trabajo en tiempos de crisis y dos dispositivos punteros como el iPad y el iPhone son el nuevo gancho que los ciberdelincuentes están usando para engañar a los usuarios e infectar sus ordenadores, según informa BitDefender.

El ataque comienza cuando los usuarios reciben un correo electrónico con un archivo PDF adjunto que se hace pasar por una Nota de Prensa. Para incitar al usuario a abrir ese archivo adjunto, en el correo se explica que en él se podrá encontrar información sobre una aplicación para el iPhone y el iPad que ayuda a encontrar trabajo en los Estados Unidos.

Sin embargo, si el usuario abre el archivo adjunto, lo que estará haciendo es poner en movimiento el proceso de infección, ya que el archivo en realidad es un código malicioso diseñado para controlar la navegación del usuario por Internet y para abrir un puerto trasero del ordenador y permitir que un atacante remoto tome el control del mismo.

Sin embargo, para que el usuario no sospeche que algo raro está ocurriendo, este código malicioso está también diseñado para abrir un archivo PDF normal, así como para ejecutar una secuencia de comandos que limpiará el rastro dejado por el código malicioso en el sistema.