Todas las amenazas

Virus

Hackers

Spam

Todo el sitio    Sólo virus
  
Enciclopedia de virus
Alertas
Análisis
Noticias
Glosario
Bitácora

 
Archivo

<< 2014  
ene feb mar
abr may jun
jul ago sep
     
Sobre los autores de la bitácora del analista antivirus
About Diary's Authors

La bitácora del analista antivirus es un weblog mantenido por los analistas antivirus de Kaspersky Lab, encabezado por Eugene Kaspersky. Lea más sobre los autores de esta bitácora

 

  Home / Bitácora

Bitácora del analista antivirus

IV Cumbre de Analistas de Seguridad Latinoamericanos en Cartagena


  Juan Andres Guerrero-Saade       28 agosto 2014 | 15:28  MSK

Comentar  

Casco Histórico, Cartagena, Colombia

La pasada semana, GReAT LatAm tuvo el placer de participar en la IV Cumbre de Analistas de Seguridad Latinoamericanos en Cartagena, Colombia, a la que también asistieron 29 periodistas de 12 países de la región y un conferenciante invitado especial. Este es uno de nuestros programas favoritos porque ofrece la rara oportunidad de conversar directamente con los periodistas sobre investigaciones en curso y tratar asuntos de seguridad a nivel regional. El enfoque latinoamericano del acontecimiento nos permitió analizar el ‘sabor latino’ de la ciberdelincuencia y del ciberespionaje en la región.

La cumbre duró dos días. El primer día se tuvo presentaciones sobre la evolución del escenario de amenazas, los problemas que rodean a los dispositivos móviles, la perturbadora tendencia de infección de cámaras web (camfecting), y las nuevas tendencias en los troyanos bancarios brasileños que ahora cuentan con la cooperación de los ciberdelincuentes de Europa del este. šEl segundo día estuvo dedicado sobre todo a los ataques APT, a las campañas de ciberespionaje y a las amenazas móviles que afectan a la integración con la nube.

Amenazas hiperconectadas

El siempre afable Fabio Assolini se refirió a uno de sus temas favoritos: el desarrollo de troyanos banqueros en su Brasil natal. Este país tiene fama por su cultura de fraudes con tarjetas bancarias y su avanzado nivel de ciberdelincuencia. Entre los interesantes datos expuestos estaba la correlación entre el precio de Zeusy Caberp y sus índices de infección en la región, al constatarse un exorbitante aumento en el índice de infección una vez que sus respectivos códigos fuente se filtran y se supera con eficacia la inversión inicial de parte de los ciberpiratas. Asimismo, Fabio develó la conexión entre los ciberdelincuentes brasileños y sus colegas de Europa del este que intercambian sus conocimientos a través de recursos online para afinar sus técnicas ciberdelictivas.

Nuestro compañero Santiago Pontiroli habló sobre los vectores de ataque móviles y de nube en una presentación plagada de paralelismos Orwellianos y advertencias. Santiago hizo hincapié en la propensión en Latinoamérica por la pornografía y la piratería, lo que significa enormes oportunidades para los ciberdelincuentes que sin duda se complacen en explotarlas.

Android, una plataforma ampliamente adoptada en la región, también se ha convertido en un blanco cada vez más atractivo para los ciberpiratas, como se evidencia por el hecho de que el 98% de los programas maliciosos detectados en 2013 estaban dirigidos a los dispositivos Android (¡cifra que se duplicó en el primer trimestre de 2014!). Muchos de estos dispositivos están ahora integrados con la nube, lo que revive los antiguos esquemas de phishing, cuya recompensa incluye ahora un amplio acceso a los datos personales, unidades de almacenamiento e incluso a información de localización en tiempo real. Algunos ciberpiratas han llegado incluso a manipular los servicios de recuperación de los fabricantes para que actúen como programas ramsomware preinstalados.

Roberto Martinez y yo tratamos el tema de las tecnologías portátiles y los cada vez más populares dispositivos que recopilan todo tipo de estadísticas sobre sus usuarios, guardan su información personal y están diseñados para su uso permanente. Me enfoqué en el reloj inteligente Samsung Galaxy Gear 2 y la facilidad con la que los usuarios maliciosos pueden manipularlo para tomar fotos sexualizadas no autorizadas (creepshots) con la obtención de permisos privilegiados (rooting) y la ejecución de algunos comandos que desactivan las alertas y limitaciones de grabación de la cámara. Roberto habló sobre Google Glass, cuya capacidad wi-fi integrada deja el paso abierto para el robo de información (sniffing) del tráfico que se transmite al dispositivo.

Remarcamos que el mismo diseño de los dispositivos portátiles alienta al uso de conocidos métodos de ataques, ya que los usuarios tienen acceso limitado a la información sobre aplicaciones alteradas o conexiones sospechosas. Puesto que los dispositivos portátiles funcionan conectados a un dispositivo móvil, podrían convertirse en útiles medios de ataques persistentes gracias su capacidad de interactuar con la información guardada en nuestros teléfonos sin tener que someterse a las medidas de seguridad de sus dispositivos maestros.

Evolución de las amenazas en el ciberespionaje

En el frente del ciberespionaje, tuvimos dos presentaciones emocionantes y que nos dieron mucho que pensar.

Se nos unió Jaime Blasco, Director de Investigación de Alienvault, y un gran amigo de GReAT. Jaime se refirió en forma general a las campañas APT de la última década, a las medidas desarrolladas para entenderlas, y a las características que ayudan a clasificar el trabajo de recurrentes actores gubernamentales.

Dmitry Bestuzhev anunció el descubrimiento que hizo GReAT de la primera campaña de ciberespionaje originada en Latinoamérica. La campaña Machete afectó a instituciones militares, diplomáticas y gubernamentales en 15 países, especialmente en Venezuela, Ecuador y Colombia. Curiosamente, a pesar de que muchos consideran que Latinoamérica carece de la infraestructura para un ciberespionaje sostenido, la investigación reveló que la campaña había estado activa desde 2010.

Finalmente, ninguna reunión de Kaspersky estaría completa sin un día dedicado al entretenimiento de todos los participantes. En esta oportunidad nos retiramos al Cartagena Golf Club durante toda una tarde para participar en actividades como kayak, voleibol de playa, preparación de cocteles, lecciones de baile, arreglos florales y masajes. La velada de cierre incluía una cena de gala acompañada por la música y danzas folclóricas de Colombia y el discurso de clausura de nuestros atentos organizadores. ¡Espero que puedas unirte a nosotros el próximo año!

Puedes seguirme en twitter: @juanandres_gs

El ataque APT NetTraveler se renueva a sus 10 años


  Costin       27 agosto 2014 | 15:00  MSK

Comentar  

Ya hemos escrito antes sobre NetTraveler aquí y aquí.

A principios de este año observamos un alza en el número de ataques lanzados contra activistas uigures y tibetanos a través de una versión actualizada de la puerta trasera NetTraveler.

Este es un ejemplo de un ataque dirigido tipo spear-phishing mediante correo contra activistas uigures en marzo de este año.

nettraveler_1

El mensaje de correo tiene dos adjuntos, uno es un archivo JPG inofensivo, y el otro es un archivo .doc de Microsoft Word, de 373KB.

Nombre de archivo"Sabiq sot xadimi gulnar abletning qeyin-Qistaqta olgenliki ashkarilanmaqta.doc"
MD5b2385963d3afece16bd7478b4cf290ce
Tamaño381.667 bytes

El archivo .doc, que en realidad es un contenedor “Página web de un solo archivo”, también conocido como “Archivo web comprimido”, parece que se creó en un sistema utilizando Microsoft Office – Chino simplificado.

Contiene un exploit para la vulnerabilidad CVE-2012-0158 que los productos de Kaspersky Lab detectan como Exploit.MSWord.CVE-2012-0158.db.

Si se ejecuta en una versión vulnerable de Microsoft Office, descarga el módulo principal como “net.exe” (los productos de Kaspersky Lab lo detectan como Trojan-Dropper.Win32.Agent.lifr), que a su vez instala otros archivos. El módulo principal de C&C se descarga en “%SystemRoot%\system32\Windowsupdataney.dll”, (los productos de Kaspersky Lab lo detectan como Trojan-Spy.Win32.TravNet.qfr).

NombreWINDOWSUPDATANEY.DLL
MD5c13c79ad874215cfec8d318468e3d116
Tamaño37.888 bytes

Está registrado como un servicio (llamado “Windowsupdata”) a través de un archivo Windows Batch llamado “DOT.BAT” (los productos de Kaspersky Lab lo detectan como Trojan.BAT.Tiny.b):

@echo off


@reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost" /v Windowsupdata /t REG_MULTI_SZ /d Windowsupdata /f

@reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windowsupdata" /v ImagePath /t REG_EXPAND_SZ /d %SystemRoot%\System32\svchost.exe -k Windowsupdata /f

@reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windowsupdata" /v DisplayName /t REG_SZ /d Windowsupdata /f

@reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windowsupdata" /v ObjectName /t REG_SZ /d LocalSystem /f

@reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windowsupdata" /v ErrorControl /t REG_DWORD /d 1 /f

@reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windowsupdata" /v Start /t REG_DWORD /d 2 /f

@reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windowsupdata\Parameters" /v ServiceDll /t REG_EXPAND_SZ /d %SystemRoot%\system32\Windowsupdataney.dll /f


Para asegurarse de que el malware no se ejecute múltiples veces, utiliza el mutex “SD_2013 Is Running!” para señalar su presencia en el sistema.š šEntre los mutex conocidos que utilizan las variantes antiguas y nuevas, están:

  • Boat-12 Is Running!
  • DocHunter2012 Is Running!
  • Hunter-2012 Is Running!
  • NT-2012 Is Running!
  • NetTravler Is Running!
  • NetTravler2012 Is Running!
  • SH-2011 Is Running!
  • ShengHai Is Running!
  • SD2013 is Running!

El archivo de configuración del programa malicioso está escrito en la carpeta “SYSTEM” (en contraste con SYSTEM32) y posee un nuevo formato un poco más liviano en comparación a las versiones “más antiguas” de NetTraveler:

nettraveler_2

Recordemos que un archivo de configuración antiguo de NetTraveler luce así:

nettraveler_3

Resulta obvio que los responsables de NetTraveler han tomado las medidas necesarias para ocultar la configuración de este programa malicioso. Afortunadamente, no es difícil descifrarlo.

El algoritmo es como sigue:

for (i=0;i<string_size;i++)
decrypted[i]=encrypted[i] - (i + 0xa);

Una vez descifrado, el nuevo config luce así:

nettraveler_4

Podemos identificar claramente el servidor de comando y control (C&C) en la captura de pantalla de arriba: “uyghurinfo[.]com”.

Hemos detectado varias muestras con este nuevo esquema de cifrado. A continuación presentamos una lista de todos los servidores C&C extraídos:

Servidor C&C IPLocalización IPRegistro
ssdcru.com103.30.7.77Hong Kong, Albert Heng, Trillion CompanySHANGHAI MEICHENG TECHNOLOGY
uygurinfo.com216.83.32.29United States, Los Angeles, Integen IncTODAYNIC.COM
INC.
samedone.com122.10.17.130Hong Kong, Kowloon, Hongkong Dingfengxinhui Bgp DatacenterSHANGHAI MEICHENG TECHNOLOGY
gobackto.net103.1.42.1Hong Kong, Sun Network (hong Kong) LimitedSHANGHAI MEICHENG TECHNOLOGY
worksware.netN/AN/ASHANGHAI MEICHENG TECHNOLOGY
jojomic.comwas
202.146.219.14
Hong Kong, Sun Network (hong Kong) LimitedSHANGHAI MEICHENG TECHNOLOGY
angellost.netwas 103.17.117.201hong kong hung tai international holdings SHANGHAI MEICHENG TECHNOLOGY
husden.comwas 103.30.7.76hong kong hung tai international holdings SHANGHAI MEICHENG TECHNOLOGY

Te recomendamos bloquear todos estos hosts en tu cortafuegos.

Conclusión

Este año, los responsables de NetTraveler celebran 10 años de actividad. Aunque las muestras iniciales que descubrimos parecen haberse compilado en 2005, hay indicios que señalan a 2004 como el año en el comenzó su actividad.

nettraveler_5

Durante 10 años NetTraveler ha atacado a varios sectores, especialmente a blancos diplomáticos, gubernamentales y militares.

nettraveler_6

Víctimas de NetTraveler por sector

Últimamente, los principales objetivos de las actividades de ciberespionaje han sido la exploración espacial, la nanotecnología, la producción de energía, la energía nuclear, los láseres, la medicina y las comunicaciones.

El ataque contra los activistas uigures y tibetanos queda como un componente estándar de sus actividades y podemos suponer que se mantendrá, quizás, por los próximos 10 años.

Escuela de verano sobre la legislación en Internet


  Stefan       26 agosto 2014 | 13:47  MSK

Comentar  

No puede haber privacidad donde no hay seguridad

Los finales del verano son siempre emocionantes para mí, porque se lleva a cabo uno de mis acontecimientos favoritos: la Escuela de verano sobre la legislación en Internet que organiza ELSA, la Asociación europea de estudiantes de derecho. Esta escuela de verano es la ocasión perfecta para conocer a jóvenes, inteligentes y con talento estudiantes de derecho y conversar con ellos sobre la privacidad, la seguridad o las amenazas en Internet.

Estos estudiantes son los futuros abogados, fiscales y jueces, de manera que es importante que conozcan los problemas del mundo real en la lucha contra la ciberdelincuencia para proteger la privacidad de la información personal.

internet
Estudiantes de derecho de 12 países europeos

La lucha contra la ciberdelincuencia utilizando todos los medios a nuestro alcance, siempre ha sido nuestra misión en Kaspersky Lab. Pero no podemos librarla solos. Es cierto que nuestros productos y tecnologías protegen a cientos de millones de usuarios en todo el mundo, pero detener la ciberdelincuencia es algo que no podemos hacer solos.

La ciberdelincuencia es un problema enorme en todo el mundo y es siempre frustrante ver que los ciberpiratas en muy pocas ocasiones paguen por las consecuencias de sus actos. En las últimas 24 horas hemos descubierto más de 300.000 nuevos virus, troyanos y gusanos. ¿A cuántos ciberdelincuentes se ha enviado a prisión en ese mismo tiempo?

La razón por la que los ciberdelincuentes suelen salirse con la suya es que a los sistemas policiales y judiciales en todo el mundo les está costando mucho mantenerse al día con la evolución tecnológica, y en este caso en particular, con las amenazas en Internet. Es por esto que es tan importante preparara a los encargados de hacer cumplir la ley. Es por esto que es tan importante preparar a los futuros jueces y fiscales. Al fin y al cabo, ellos son los que librarán las batallas contra los ciberdelincuentes enviándolos a la cárcel.

Este año, el principal tema de la escuela de verano fue la libertad de los medios de comunicación y la vida privada. Me enfoqué en la privacidad y la seguridad, por supuesto, en un taller llamado "La vida privada en el ciberespacio: la protección de tu información personal online".

¿Mi mensaje principal? Confía en la codificación y úsala para neutralizar a los fisgones, pero no olvides que no importa cuán buena sea la codificación que uses, un sistema operativo inseguro siempre le ofrece al atacante una oportunidad de acceder a tu información antes de que llegues a cifrarla. No puedes tener privacidad sin contar con una buena seguridad.


“El Machete”


  Global Research & Analysis Team (GReAT), Kaspersky Lab       19 agosto 2014 | 21:30  MSK

Comentar  

Introducción

Hace un tiempo, un cliente nuestro en Latinoamérica nos comentó que estuvo de visita en China y que creía que su equipo se infectó con un virus todavía no detectado, no conocido. Mientras le ayudábamos con el análisis de la máquina, encontramos un archivo muy interesante que no tenía nada que ver con China pues no contenía ningún rastro de códigos chinos. En principio, aparentaba ser una aplicación relacionada con Java, pero tras un rápido análisis, quedó claro que era algo más que un simple archivo de Java. šEra parte de un ataque dirigido al que bautizamos como “Machete”.

¿Qué es “Machete”?

“Machete” es una campaña de ataques dirigidos con orígenes en idioma español. Creemos que esta campaña empezó en 2010 y se renovó con una infraestructura mejorada en 2012. Es posible que la operación siga "activa”.

El programa malicioso es capaz de realizar las siguientes operaciones de ciberespionaje:

  • Captura de actividad en el teclado
  • Captura de la entrada de audio en el micrófono del equipo
  • Captura de imágenes de la pantalla
  • Captura de datos de localización geográfica
  • Captura de fotos con la cámara web del equipo
  • Envío de copias de archivos a un servidor remoto
  • Copias de archivos a un dispositivo USB especial cuando se lo inserta
  • Captura del contenido del portapapeles y la información en el equipo atacado

Objetivos de “Machete”

El_Machete_1

La mayoría de sus víctimas se encuentra en Ecuador, Venezuela, Colombia, Perú, Rusia, Cuba y España, entre otros. En algunos casos, como el de Rusia, los blancos parecen ser embajadas de los países mencionados.

Sus objetivos incluyen servicios de inteligencia, fuerzas armadas, embajadas e instituciones gubernamentales.

¿Cómo funciona “Machete”?

Este programa malicioso se propaga mediante técnicas de ingeniería social, incluyendo mensajes de correo tipo spear-phishing e infecciones vía web, mediante un sitio web especialmente preparado y fraudulento. No tenemos evidencias de exploits para vulnerabilidades día-cero. Tanto los atacantes como sus víctimas parecen ser hispanoparlantes.

Durante nuestra investigación, también descubrimos otros archivos que instalan esta herramienta de ciberespionaje, en lo que parece ser una campaña dedicada tipo spear-phishing. Estos archivos se muestran como una presentación de PowerPoint que instala programas maliciosos en el sistema atacado cuando el archivo se abre.š Estos son los nombres de los adjuntos de PowerPoint:

  • Hermosa XXX.pps.rar
  • Suntzu.rar
  • El arte de la guerra.rar
  • Hot brazilian XXX.rar

En realidad, estos archivos son archivos comprimidos de Nullsoft Installer que se autodescomprimen y tienen fechas de compilación que datan de hasta 2008.

Una particularidad del código es el lenguaje Python incrustado en los ejecutables es que estos instaladores lo incluyen y también todas sus librerías necesarias para la ejecución, así como el archivo PowerPoint que se le muestra a la víctima durante la instalación. El resultado son archivos muy grandes, de más de 3MB.

Estos son algunos ejemplos de capturas de pantalla de los archivos mencionados:

El_Machete_2

El_Machete_3

El_Machete_4

Un punto técnico relevante en esta campaña es el uso de Python incrustado en los ejecutables de Windows del programa malicioso. Esto es muy inusual y no representa ninguna ventaja para los atacantes, salvo la facilidad de escribir códigos. No cuenta con soporte para múltiples plataformas ya que el código está muy dirigido a Windows (uso de librerías). Sin embargo, varias pistas que detectamos nos indicaron que los atacantes estaban preparando la infraestructura para usuarios de Mac OS X y Linux. Además de los componentes para Windows, también descubrimos un componente móvil (Android).

Tanto los atacantes como las víctimas son hispanohablantes nativos, como pudimos constar de manera consistente en el código fuente del lado del cliente y en el código Python.

Indicadores de la infección

Infecciones web

Encontramos los siguientes fragmentos de código en el HTML de los sitios web utilizados para infectar a las víctimas:

El_Machete_5

También encontramos el siguiente enlace a un artefacto de infección conocido:

hxxp://name.domain.org/nickname/set/Signed_Update.jar

Dominios

Estos son los dominios que encontramos durante la campaña de infección. Cualquier intento de comunicación con ellos debe considerarse de extremo riesgo:

java.serveblog.net
agaliarept.com
frejabe.com
grannegral.com
plushbr.com
xmailliwx.com
blogwhereyou.com (sinkholed by Kaspersky Lab)
grannegral.com (sinkholed by Kaspersky Lab)

Artefactos de infección

MD5Nombre de archivo
61d33dc5b257a18eb6514e473c1495feAwgXuBV31pGV.eXe
b5ada760476ba9a815ca56f12a11d557EL ARTE DE LA GUERRA.exe
d6c112d951cb48cab37e5d7ebed2420bHermosa XXX.rar
df2889df7ac209e7b696733aa6b52af5Hermosa XXX.pps.rar
e486eddffd13bed33e68d6d8d4052270Hermosa XXX.pps.rar
e9b2499b92279669a09fef798af7f45bSuntzu.rar
f7e23b876fc887052ac8e2558f0d6c38Hot Brazilian XXX.rar
b26d1aec219ce45b2e80769368310471Signed_Update.jar

Rastros en el equipo infectado

Se crea el archivo Java Update.lnk que conduce a appdata/Jre6/java.exe

El programa malicioso se instala en appdata/ MicroDes/

Procesos en ejecución Creates Task Microsoft_up

El lado humano de “Machete”

Idioma

La primera evidencia es el idioma utilizado, tanto para las víctimas como por los atacantes, español.

Todas las víctimas son hispanoparlantes, por los nombres de archivos de los documentos robados.

El idioma que utilizan los operadores de la campaña también es el español, ya que el código del lado del servidor está escrito en este idioma: informes, ingresar, peso, etc.

Conclusión

El descubrimiento de “Machete” revela que existen muchos actores regionales en el mundo de los ataques dirigidos. Por desgracia, estos ataques conforman el ciberarsenal de muchos países hoy. Con seguridad en este mismo momento hay otros ataques dirigidos que operan paralelamente y otros que están por nacer.

Nota: Si está interesado en el reporte técnico completo de esta APT, pueden solicitarlo escribiéndonos a: intelreports@kaspersky.com

ZeroLocker no vendrá a tu rescate


  Roel       19 agosto 2014 | 13:43  MSK

Comentar  

Últimamente los programas maliciosos ransomware, que cifran archivos, han estado muy activos.

Uno de los últimos en aparecer es ZeroLocker. Hay indicios de que la configuración del C&C contiene algunos errores que no permiten el correcto descifrado de los archivos. Por esta razón urgimos a los usuarios que no paguen por su rescate.

Hasta ahora hemos observado una limitada cantidad de detecciones en nuestra red de seguridad Kaspersky Security Network. Los responsables de ZeroLocker piden, en principio, el equivalente a 300 $ en BTC para que las víctimas recuperen sus archivos. Pero esta cantidad puede llegar hasta 500 $ y 1000 $ a medida que el tiempo pasa:

zerolocker

ZeroLocker añade la extensión .encrypt a todos los archivos que cifra. A diferencia de otros programas ransomware, ZeroLocker cifra prácticamente todos los archivos en el sistema en lugar de limitarse a un predeterminado tipo de archivos. No cifra archivos con un tamaño mayor a 20 MB, ni archivos localizados en directorios con las palabras “Windows”, “WINDOWS”, “Archivos de programa”, “ZeroLocker” o “Escritorio”. Este programa malicioso se ejecuta en el arranque del sistema desde C:\ZeroLocker\ZeroRescue.exe.

Aunque hay una billetera Bitcoin hardcoded dentro del binario, este malware trata de capturar nuevas direcciones de billeteras desde el C&C, muy probablemente con el propósito de dificultar aún más el seguimiento de los éxitos de la operación y del destino del dinero.

Hemos recopilado varias direcciones de billeteras Bitcoin, pero al momento de escribir este artículo, ninguna mostraba transacciones relacionadas con ellas. Puesto que el servidor C&C le proporciona la información sobre las billeteras Bitcoin, es posible que los atacantes usen una billetera única para cada una de sus víctimas.

Este programa malicioso genera aleatoriamente una llave 160-bit AES con la que cifra todos los archivos. Debido a la manera en que se genera, el espacio de la llave es algo limitado, aunque es lo suficientemente grande para neutralizar todo intento de fuerza bruta. Tras cifrar los archivos, el programa malicioso ejecuta la utilidad cipher.exe para eliminar del disco todos los datos no utilizados, lo que dificulta en gran medida la recuperación de los archivos. La llave de cifrado, junto a un CRC32 de la dirección MAC del equipo, y la billetera Bitcoin asociada, se envían al servidor.

Curiosamente, la llave de cifrado, junto al resto de la información, se envía mediante una petición GET, en lugar de una POST. Esto ocasiona un 404 en el servidor. Esto podría significar que el servidor no almacena esta información y que las víctimas que pagan quizás nunca recuperen sus archivos.

Varias otras URLs que el malware trata de obtener también resultan en un 404, lo que indica que esta operación puede estar en su etapa inicial. Cuando esos errores se corrijan es posible que veamos un ZeroLocker desplegado en su máxima escala. Estas operaciones se nutren de las víctimas que pagan. šPor eso, no hay que pagar. Para tu tranquilidad, es mejor que empieces a crear copias de seguridad de tu información.

Kaspersky Lab detecta ZeroLocker como Trojan-Ransom.MSIL.Agent.uh.

Malware sirio: un castillo de naipes


  Global Research & Analysis Team (GReAT), Kaspersky Lab       19 agosto 2014 | 13:27  MSK

Comentar  

Our full Report (eng)

Introducción

Los conflictos geopolíticos en el Oriente Medio se han profundizado en los últimos años. Siria no es la excepción, con una crisis interna que ha asumido muchas formas, como el conflicto en el ciberespacio que se intensifica a medida que ambas partes tratan de inclinar la balanza a su favor, explotando la ciberinteligencia y recurriendo a la distorsión.

El Equipo mundial de análisis e investigación de Kaspersky Lab (GReAT) ha descubierto nuevos ataques de programas maliciosos en Siria, con algunas técnicas para ocultar y operar malware, además de eficaces trucos de ingeniería social para propagarlos engañando y manipulando a sus víctimas para que los abran y se ejecuten los archivos maliciosos. Algunos archivos maliciosos se descubrieron en sitios de activistas y en foros en redes sociales, otros fueron detectados por organizaciones locales como CyberArabs y Tech4Freedom.

El informe completo, con detalles de los ataques y actividades relacionadas se encuentra aquí.

Un vistazo a los descubrimientos

La cantidad de ataques y de archivos maliciosos propagados sigue incrementándose a medida que los atacantes se vuelven más organizados y eficientes. Todas las muestras se basan en Herramientas Troyanas de Administración Remota (RATs).

La cantidad de archivos maliciosos detectados es de 110.
La cantidad de dominios vinculados a los ataques es de 20.
La cantidad de direcciones IP vinculadas a los ataques es de 47.

El Programa de seguridad nacional: Radiografía de los ataques

Camuflado como un supuesto “programa gubernamental filtrado” que contiene los nombres de todas las personas buscadas en Siria, el Programa de seguridad nacional oculta un cliente RAT con todas sus funciones para robar todo tipo de información con uno de sus botones.

TheSyrianMalwareHouseofCards_1
برنامج الأمن الوطني.exe (El Programa de seguridad nacional)

Videos con imágenes fuertes para propagar malware

Un video en YouTube con imágenes perturbadoras de víctimas heridas en recientes bombardeos fue la carnada para atraer la atención de los usuarios y manipularlos para que descarguen una aplicación maliciosa disponible en un sitio web público para compartir archivos. Tras un análisis primario, el archivo con el nombre "فضائح .exe" (Scandals.exe) resultó estar altamente ofuscado con la utilidad comercial "MaxToCode" para .NET, con el propósito de evitar su prematura detección por soluciones antivirus.

TheSyrianMalwareHouseofCards_2

¿Instalaste tu paquete de seguridad “Ammazon”?

Si creías que la época de los falsos programas antivirus había terminado, te equivocaste, pues he aquí este nuevo programa desarrollado en Siria. Con el inocente nombre de “Ammazon Internet Security”, esta aplicación maliciosa simula ser un análisis de seguridad que incluso contaba con una interfaz gráfica de usuario bastante elaborada y algunas funciones interactivas.

TheSyrianMalwareHouseofCards_3

Tu "Ammazon” ya está seguro. ¿Qué pasa con el resto de tu red?

La oferta de aplicaciones de seguridad para protegerse contra la vigilancia es una de las muchas técnicas que usan los ciberpiratas para engañar a los usuarios desesperados por mantener su privacidad e inducirlos a ejecutar estos dudosos programas.

TheSyrianMalwareHouseofCards_4

Mensajes instantáneos, infecciones instantáneas

Lo mismo ocurre con otros casos en los que la ingeniería social se hace cargo del trabajo pesado. Las aplicaciones de mensajería instantánea para sistemas operativos de escritorio se utilizaron en el pasado para propagar programas maliciosos, y al parecer los ciberpiratas sirios se han sumado a la moda.

TheSyrianMalwareHouseofCards_5

Cuidado con los ataques químicos

Otro de los ataques con trucos de ingeniería social, como el archivo malicioso llamado Kimawi.exe (químicos, en árabe), con un icono JPG, es en realidad un archivo RAT vinculado a la imagen Kimawi.jpg. La imagen es la de un documento filtrado supuestamente desde el gobierno sirio, en el que se previene a las unidades militares para que se preparen contra ataques químicos. Este archivo se envía por correo a determinados destinatarios.

TheSyrianMalwareHouseofCards_6

PREGUNTAS MÁS FRECUENTES

¿Cuál es la novedad?

Los atacantes se están volviendo más organizados, el número de sus ataques se incrementa, y los objetos maliciosos que utilizan son cada vez más sofisticados, y recurren ampliamente a poderosas técnicas de ingeniería social que logran engañar a muchos usuarios.

¿Dónde están las víctimas y los atacantes?

Las víctimas que se infectaron cuando accedían a los foros y sitios de redes sociales comprometidos, eran usuarios ordinarios o activistas, o blancos específicos que recibieron el malware por correo, Skype, o por mensajes de redes sociales.

Las víctimas también se encuentran fuera de Siria. Hemos detectado víctimas de programas maliciosos sirios en:

  1. Turquía
  2. Arabia Saudita
  3. Líbano
  4. Palestina
  5. Emiratos Árabes Unidos
  6. Israel
  7. Marruecos
  8. Francia
  9. EE.UU.

Los centros de comando y control de los atacantes se rastrearon a direcciones IP en Siria, Rusia, Líbano, EE.UU. y Brasil.

¿Cuántas son las víctimas?

Creemos que la cantidad de víctimas sobrepasa las 10.000, y que algunos de los archivos se descargaron más de 2.000 veces.

Los programas maliciosos y sus variantes se han incrementado dramáticamente desde apenas unos cuantos en el primer trimestre de 2013 a alrededor de 40 en el segundo trimestre de 2014.

¿Cuál es el impacto en las víctimas?

Se han utilizado Herramientas Troyanas de Administración Remota (RATs) para comprometer por completo los sistemas en los equipos de las víctimas. Estas RATs son capaces de robar los datos de los usuarios, activar la cámara web y el micrófono…

¿Los usuarios están protegidos?

Kaspersky detecta y bloquea todos los programas maliciosos encontrados. Se detectan de la siguiente manera:

  • Trojan.MSIL.Zapchast
  • Backdoor.Win32.Bifrose
  • Backdoor.Win32.Fynloski
  • Backdoor.Win32.Xtreme

Para conocer más en detalle estos ataques y los programas maliciosos, lee nuestro informe completo aquí.

Actualización de Adobe Reader: se está usando CVE-2014-0546 en ataques dirigidos


  Costin       15 agosto 2014 | 14:02  MSK

Comentar  

Adobe ha publicado el boletín de seguridad APSB14-19, dando crédito a Kaspersky Lab por haberle alertado sobre CVE-2014-0546.

Este parche fuera de ciclo previene que se use una ingeniosa táctica de escape de la caja de arena que observamos en una cantidad limitada de ataques dirigidos.

Por ahora no damos muchos detalles sobre ella porque la investigación sigue en curso. Aunque estos ataques son muy raros, recomendamos que seas precavido y consigas la actualización del sitio de Adobe lo antes posible.

Puedes descargar las actualizaciones de Adobe Reader aquí.


Defcon22: Warkitteh, computadoras centrales y aviones


  Marco       15 agosto 2014 | 13:58  MSK

Comentar  

La conferencia DefCon de este año acaba de terminar, enviando a miles de hackers, profesionales de la seguridad y visitantes de regreso a casa. La agenda de este año volvió a tener una buena mezcla de charlas, pero escoger a cuál asistir no era fácil por la gran cantidad de visitantes. Por eso, los organizadores volverán a trasladarse el próximo año a un lugar más grande que de abasto a los nuevos participantes y eventos.

Cinco tipos de charlas principales, "skytalks" y competencias llenaron los tres días de la agenda con facilidad. Algunas charlas recibieron mucha atención, como el experimento de Gene Bransfield, que utilizó un gato para registrar las redes WiFi del barrio, llamado "Warkitteh". El hackeo de aviones nos hace pensar en todo tipo de escenarios horrorosos, pero Phil Postra explicó en Hacking airplanes que no es posible quitarle el control al piloto. Pero también se discutieron los ataques a Mainframes, computadoras centrales. Las computadoras centrales son sistemas especiales que se utilizan en los sectores corporativos y gubernamentales. Muchas charlas se concentraron en los ataques a dispositivos con conexión a Internet, lo que refleja la tendencia del Internet de las Cosas.

La insignia de DefCon de este año volvió a ser la electrónica, abierta a ataques y modificaciones. Se podía hacer desde extensiones de luces LED básicas hasta montar un quadrirotor.


Blackhat 2014 flota alto en la burbuja de la ciberseguridad


  Kurt Baumgartner       15 agosto 2014 | 13:54  MSK

Comentar  

La versión estadounidense de Blackhat2014 se llevó a cabo en Mandalay Bay, Las Vegas, después de haberse realizado en Caesar's durante los últimos 15 años. Aunque la ubicación no era central como Caesar's, el hotel era más espacioso, fácil para moverse, más limpio y, en general, una mejora.

Jeff Moss inspiró a la multitud de Blackhat 2014 con su introducción, y dijo que estamos en una burbuja pasajera. No sólo por fin se está tomando en serio a los encargados de la ciberseguridad, sino que nunca antes habían sido tan importantes y ahora están cerca de la cumbre de su apogeo. Los fabricantes de control de acceso, de dispositivos médicos, productores de automóviles como Tesla, y muchas otras compañías ya no solo escuchan. Están integrando la seguridad en sus procesos de producción, que es un gran avance. Hemos progresado. Pero con esta relevancia, si miramos hacia atrás, ¿en qué hemos contribuido?

En su intensa charla introductoria, Dan Geer pasó por una larga lista de propuestas de políticas para algunos de los retos de la seguridad informática actuales. Aunque no estoy de acuerdo con todo lo que dice, es uno de mis pensadores/oradores/escritores favoritos en el tema y busco sus charlas siempre que puedo. Entre los temas más interesantes estaba la obligación de informar sobre las fallas de seguridad a nivel nacional, los contraataques, resistencia de los programas y el derecho al olvido. Había más, muchos más. Una versión de su texto "Cybersecurity as Realpolitik" está disponible en la red y te advierto que es denso y profundo, así que deberías reservar un poco de tiempo para leerlo.

Dan está a favor de que se obligue a informar sobre las intrusiones de seguridad, como dijo en "Sobreviviendo con frutas envenenadas", y en que se aumente el apoyo para un régimen de denuncia de fallas de seguridad. Explicó los precedentes de las leyes que obligan a que se comunique al público otro tipo de amenazas y ejemplos básicos de por qué funcionaría. Los informes de enfermedades contagiosas del Centro para el Control y Prevención de Enfermedades (CDC) y el centro anónimo Mitre de informes sobre cuasi-accidentes de aviación son ejemplos claros de sistemas en los que alertar sobre sus propias situaciones de riesgo es tan práctico como beneficioso. Construyó un caso sólido en el que una colección de datos de ciberseguridad puede ser práctica y a la vez valiosa, y es hora de que el gobierno nacional y las entidades relacionadas con el gobierno apoyen las colecciones transparentes y anónimas.

La legitimidad de los contraataques defensivos son algo que Dan descartó por extrañas razones, pero la versión de su texto propone un SÍ LIMITADO. Declaró que, mientras Microsoft y el FBI están logrando contraataques exitosos, las organizaciones más pequeñas no tienen los medios para hacerlo. Esto es extraño, porque los negocios pequeños pueden juntar sus recursos cuando están bajo ataque y existen cooperativas y otras estructuras de acumulación que pueden ayudarlos. La Cámara de Comercio de los Estados Unidos, por ejemplo, es una organización muy poderosa que actúa a favor de las pequeñas empresas, acumulando recursos para cuando los necesiten. La Cámara tiene mucho poder en Estados Unidos, y las compañías pequeñas se benefician con algunas de sus acciones (y tal vez también sufren por otras). Y no abordó la idea de que el contraataque no necesita ser caótico, destructivo o sostenible para poner un fin a muchos de los ataques. Pero detener de forma remota un ataque DDoS de gran escala que se lanzó desde servidores comprometidos no siempre requiere una atribución, y sin duda tampoco necesita soluciones caóticas y destructivas. Puede ser preciso, y la atribución suele ser posible. Todos cometemos errores. Mencionó que la dificultad de la atribución agrava el problema. El mayor problema es que estos incidentes cruzan múltiples jurisdicciones, definiciones de ley y autoridades legales. Y hay partes del mundo en que no se persigue a quienes realizan algunas de las actividades que en otros países serían ilegales.

La postura de Dan en el derecho al olvido revela una cuestión inquietante que recuerda a Foucalt: "He hablado en otros lugares sobre cómo ahora todos somos agentes de inteligencia, recolectando información entre nosotros en representación de los gobernantes", y asegura que quiere mantener algunos derechos en el mundo digital para defender la privacidad: "Quiero tener la capacidad de elegir si tergiversarme a mí mismo", dijo. Pero es un alivio escuchar que un pensador líder habla de su deseo y derecho de saltar fuera del panóptico digital.

Los representantes de Kaspersky Lab, Vitaly Kamluk y Sergey Belov; y Anibal Sacco, de Cubica, presentaron "Absolute Backdoor Revisted", una sorprendente actualización del estado de la seguridad de una utilidad de bajo nivel muy utilizada. Presentaron varios comportamientos inusuales que este programa implementa, cosas que rara vez veo en programas legítimos pero con frecuencia en malware. Después lo explotaron en muchas demostraciones en vivo en las que aprovecharon vulnerabilidades de Absolute Computrace para borrar de forma remota la información de un equipo con Windows 8 x64 nuevo de paquete.

Tantos años deberían haber dado una amplia oportunidad para solucionar problemas graves en los mecanismos de actualización, pero parece que se acaba de comenzar en respuesta a la investigación.

Los servicios web recibieron serios ataques este año. "Pivoting in Amazon Clouds" de Andrés Riancho, fue interesante en vista a los ataques recientes a sitios Elasticsearch en la nube de Amazon, ya que demostraron los problemas de post-explotación que permiten que los atacantes se sumerjan más profundo en la nube. Publicó la herramienta Nimbostratus y un entorno Hacme que le ayudaba con sus pruebas de penetración en el pasado y a comprender el problema de seguridad EC2. Stephen Breen, en "Mobile Device Mismanagement", comprobó que los sistemas de Administración de Dispositivos Móviles están llenos de problemas de aplicaciones web con SQLi, criptografía débil, trucos de cifrado y estrategias de autentificación personalizada con problemas de diseño.

Por último, si tienes un minuto para alejarte de la diversión de Defcon, revisa el informe de Epic Turla y su Apéndice (pdf en inglés) que GReAT publicó este año en Blackhat.


¿Una conferencia BlackHat Post-PC?


  Roel       15 agosto 2014 | 13:52  MSK

Comentar  

La conferencia BlackHat de este año abarcó temas muy diversos. Que se amplíe la gama de temas significa que se están atacando más blancos. Esto no nos toma por sorpresa.

Por una parte, compañías como Microsoft y Google han fortalecido sus programas para evitar que se exploten sus vulnerabilidades.

Por otra, están apareciendo montones de nuevos tipos de dispositivos que se pueden conectar a la red. Estos aparatos tienen poca o ninguna protección integrada.

Este enfoque en dispositivos integrados también se refleja en la cantidad de investigaciones que se ha estado haciendo sobre los dispositivos de nuestros teléfonos y ordenadores personales. En una de las presentaciones de Blackhat, se hizo una demostración de un ataque práctico contra procesadores de banda de base para smartphones mediante el protocolo OMA DM. Su falta de seguridad integrada y facilidad para agregar controles de seguridad demuestran la gran debilidad de su defensa actual.

Mi colega Vitaly Kamluk demostró, con Anibal Sacco de Cubica Labs, cómo los atacantes pueden utilizar Computrace, el popular programa de localización y gestión de equipos perdidos, para ejecutar códigos de forma remota. No hay un modo fácil de mitigar este ataque aparte de desactivar esta característica, lo que a veces ni siquiera es posible.

Cada vez dependemos más de tecnologías que sólo pueden ser medianamente seguras cuando se las apaga. Esta no es una práctica sostenible. Aunque aprecio que nuestros sistemas operativos personales estén cada vez más seguros, soy bastante pesimista en lo que respecta al mundo post-PC.


Page Top  |  Archivo >>

 

Copyright © 1996 - 2014
Kaspersky Lab
Todos los derechos reservados

Correo electrónico: webmaster@viruslist.com