La bitácora del analista antivirus es un weblog mantenido por los analistas antivirus de Kaspersky Lab, encabezado por Eugene Kaspersky.
Lea más sobre los autores de esta bitácora
En este webcast, Roel Schouwenberg, analista de seguridad senior de Kaspersky Lab, habla sobre la intrusión a la autoridad de certificación Diginotar y las repercusiones que tuvo en la confianza en Internet. Schouwenberg también hace una sugerencia clave para las principales empresas que ofrecen navegadores web.
Han pasado cuatro meses desde que Microsoft y Kaspersky Lab anunciaran la neutralización de Kelihos/Hlux botnet El metodo de drenaje que se uso tiene sus ventajas: es posible desactivar una red zombi con relativa rapidez sin tener que controlar la infraestructura. Sin embargo, como se vio en este caso en particular, no resulta muy efectivo si los dueños de la red zombi siguen en libertad.
Poco despues del desmantelamiento de Kehilos/Hlux, encontramos nuevas muestras muy similares a la version inicial. Despues de investigar el asunto, identificamos todas las diferencias entre ambas versiones. Este es un resumen de dicha investigación:
Comencemos con el nivel inferior, la calificación y empaquetado de los mensajes Kelihos/Hlux en el protocolo de comunicación. Por alguna razón, en la nueva versión, cambió el orden de las operaciones. Estos son los pasos del procesamiento de datos codificados para recuperar un mensaje de trabajo que esta organizado en una estructura de árbol:
?
Antiguo Hlux
Nuevo Hlux
1
Blowfish con llave 1
Blowfish con nueva llave 1
2
3DES con llave 2
Descompresion con Zlib
3
Blowfish con llave 3
3DES con nueva llave 2
4
Descompresion con Zlib
Blowfish con nueva llave 3
Para codificar un mensaje, todas las operaciones deben realizarse en orden inverso. Sabemos que las cadenas de símbolos se comprimen mejor que los datos en simple formato binario. El arbol inicial incluye muchas cadenas como mensajes de correo, plantillas de spam, etc. Por lo tanto no tiene sentido usar la compresión zlib después de codificar un árbol en la nueva versión de Hlux/Kelihos: el tamaño del paquete aumenta pero sin ninguna ventaja. Parece ser que alguien obtuvo el código fuente de la red zombi y quiso que los futuros robots sean diferentes, cambiando el orden de las etapas de codificación.
En segundo lugar, cambiaron las llaves de codificación, lo cual era previsible. Tambien se cambiaron las llaves RSA que se usan para firmar las partes de un arbol con los IPs de los controladores y actualizar las URLs y las correspondientes llaves públicas RSA en los robots.
Antiguo Hlux
Nuevo Hlux
IP de los controladores
Llave RSA 1
Nueva Llave RSA 1
Actualización/Ejecución urls1
Llave RSA 1
Nueva Llave RSA 1
Actualización/Ejecución urls2
Llave RSA 2
Nueva Llave RSA 2
Como podemos ver, dentro de un árbol se usan dos llaves RSA diferentes lo que nos lleva a pensar que probablemente hay dos grupos diferentes que poseen cada una de las llaves y tienen el control de la red zombi.
En cuanto a la estructura de arbol, todos los campos y sus significados permanecen iguales. El cambio mas significativo es que ya no se usa el algoritmo hashing para los nombres de los campos. En su lugar, ahora a cada campo le corresponde un nombre de 1-2 simbolos.
Esta era una estructura de árbol del antiguo Hlux después de descodificar un paquete:
Esta es una estructura de árbol del nuevo Hlux:
Otra innovación de la nueva versión de Hlux consiste en un enfoque mas preciso en la formación de paquetes: ahora, cada paquete (de entrada y de salida) incluye la suma de control calculada de los datos en su encabezamiento.
Nuestra investigación revelo que la nueva versión apareció el 28 de septiembre, justo después de que Microsoft y Kaspersky Lab anunciaran la neutralización de la red zombi original de Hlux/Kelihos. La lista de controladores en la nueva versión no tuvo casi ninguna modificación y fue cambiando poco a poco con el tiempo.
Esta red zombi sigue recibiendo ordenes de los spammers y sigue enviando spam en varios idiomas:
A continuación presentamos las principales conclusiones:
Es imposible neutralizar una red zombi controlando las maquinas controladoras o remplazando la lista de controladores sin realizar ninguna otra acción. El dueño de la red zombi puede conocer la lista de IPs routers activos, y puede conectarse directamente con ellos y volver a forzar la actualización del robot junto a la nueva lista de controladores.
Es posible neutralizar la red zombi mediante un drenaje pero recurriendo a tecnicas un poco diferentes a las que se usaron.
Es posible introducir una herramienta de actualización en los equipos infectados para neutralizar la red zombi. En este caso, el dueno de la red tiene que volver a infectar los equipos para construir otra red.
Creemos que el metodo mas efectivo para desactivar una red zombi es la identificación de quienes la controlan. Esperemos que Microsoft siga con su investigación hasta el final.
P.D. Nuestro agradecimiento a Alexey Borzenkov y Tillman Werner por brindarnos los detalles tecnicos.
Los responsables surcoreanos están siendo muy lentos en la neutralización del código malicioso distribuido públicamente que explota CVE-2012-0003, una vulnerabilidad reparada mediante la publicación MS 12-004 de Microsoft en enero de 2012. Hemos informado a la prensa que el código ha estado circulando desde el día 21, y parece que un sitio ha estado atacando públicamente a un reducido número de usuarios coreanos desde hace un par de días. El sitio sigue activo.
El exploit parece confiable y fácil de replicar, por lo que esperamos encontrarlo en la lista de paquetes de exploits de consumo y disponibilidad pública. Los autores del exploit dejan entrever que la prueba de concepto pronto será de código abierto, lo que incrementará la distribución del exploit en los próximos días. Aunque detectamos el lanzamiento inicial del código con una detección genérica un poco obsoleta, la estamos actualizando para lograr una identificación más precisa del javascript y del exploit usado como "Exploit.x.CVE-2012-0003". El muy reducido número de visitantes en este sitio se encontraron con un código desarrollado que distribuye un rootkit y componentes de programas espía. Parece que los componentes del rootkit han estado relacionados con algunos juegos online fabricados en Corea del Sur en los últimos seis meses aproximadamente.
El exploit ataca el código de Windows Media Player en winmn.dll y distribuye un heap spray que, por sorpresa, funciona en la mayoría de las versiones de Windows hasta Windows Server 2008 para sistemas x-64 con SP. Recomendamos a los usuarios que verifiquen la actualización de sus sistemas.
Ganancias diarias de los ciberdelincuentes brasileños... ¡más de lo que puedas ganar en un año!
¿Cuánto ganas al día? Si vemos cuánto ganan los ciberdelincuentes brasileños cada día, entenderemos por qué Brasil es una de las principales fuentes de malware del mundo.
A los piratas informáticos de este país les encanta usar URLs cortas para rastrear infecciones y llevar sus propias estadísticas. A continuación mostramos el perfil de uno de estos bandidos que usa Bitly como servicio de acortamiento de URLs.
Como podemos ver, ¡en un solo día logró ganar más de 33.000 clics o infecciones potenciales¡ Supongamos que sólo el 10 por ciento de todos los equipos atacados terminan infectándose. Esto nos da la cifra de 3.300 usuarios afectados. En Brasil, los programas maliciosos suelen propagarse con el solo fin de robar información sobre tarjetas de crédito y cuentas bancarias online, y este fue el caso de esta campaña en particular. No se robaron datos de cuentas de otros recursos de Internet, como Facebook, IM, correo, etc.
Entonces, ¿cuánto ganó este delincuente en ese día en particular? Veamos: en el mercado brasileño, el precio unitario de las tarjetas de crédito brasileñas robadas, es de unos 8 USD. Supongamos ahora que, en promedio ,una cuenta bancaria tenga unos 500 USD. Los ciberdelincuentes brasileños no venden el acceso a las cuentas bancarias robadas, sino que usan estas cuentas, vaciándolas por completo. Haciendo unos simples cálculos, 3305*8 + 3305*500, la cifra de ganancias diarias nos da ¡style="font-weight: bold; font-style: italic;">$ 1678940 USD! Por supuesto que lleva un tiempo cobrar este dinero, pero la suma obtenida es suficiente motivación para poner manos a la obra.
Pero en la vida real el índice de infecciones es mucho mayor al 10%. En la mayoría de los casos fácilmente está entre el 50 y el 60 por ciento.
La ausencia de leyes específicas en muchos países como Brasil posibilita el robo de grandes cantidades de dinero con un mínimo riesgo de ir a la cárcel.
Como muchos recordarán, en 2011 publicamos un fondo de pantalla que consistía en un calendario malware para cada mes del año. Volveremos a hacerlo este año, con información actualizada de 2011. Sin embargo, hemos decidido darle un enfoque ligeramente distinto este año y publicar los 12 fondos de pantalla en un solo lugar. Puedes encontrarlos aquí. Esperamos que los diseños para este año sean del agrado de todos y que la información resulte útil.
Tillman Werners, investigador de malware de Kaspersky Lab mantiene una charla con Ryan Naraine sobre la amenaza que representan las botnets peer-to-peer. Los temas analizados van desde las actividades de desmontaje de botnets y el juego de "gato y ratón" hasta las formas de poner atajo a las amenazas que representan las botnets.
Delincuentes abusan de publicidad de Twitpic para contratar mulas de lavado de dinero en Español
Los reclutadores de las mulas de lavado de dinero acuden a las publicidad pagada en Twitpic para contratar a las nuevas mulas y hacerlas participar en el lavado de dinero sustraído electrónicamente de las cuentas de las víctimas de la banca en línea. Los criminales cibernéticos están muy interesados en mulas que no solo hablen inglés sino ahora español también.
Así es como se ven los anuncios publicitarios en Twitpic donde el sexo y la travesía sirven de gancho para atraer a la gente:
Al dar click la víctima es redireccionada a un sitio Web en español donde se da publicidad falsa sobre los beneficios que uno podría llegar a tener al “trabajar de casa”. Por supuesto, toda la información presentada en el siguiente sitio Web es falsa, incluso los supuestos comentarios de las personas y sus testimonios. Todo el contenido está hecho exclusivamente para atrapar a nuevas mulas de lavado de dinero.
Hay que recordar que el lavado de dinero (prestar cuentas bancarias para transferir dinero robado, hacer los retiros en efectivo y el reenvío del dinero a los terceros), se considera ilegal y es penalizado de acuerdo al código penal de cada país.
Los criminales cibernéticos que montaron el sitio Web mencionado han incluido un pequeño script que al determinar la dirección IP de la víctima, es decir el país del que viene, cambia el título de la página. En mi caso, al conectarme desde una dirección IP del Ecuador, el sitio Web menciona las supuestas “nuevas tendencias del Ecuador”, pero si la víctima viniera desde digamos, México, Argentina o cualquier otro país, su contenido se ajustaría al país correspondiente.
El que en el pasado solamente se contratase mulas de lavado de dinero que hablasen inglés y ahora se lo empiece a hacer en español, significa que los criminales cibernéticos tienen más dinero sustraído ilegalmente que el que pueden usar. Por esto recurren a las mulas de lavado de dinero en todos los idiomas.
Recuerden, si nadie sirviera de mulas de lavado de dinero, podríamos cortarles el oxígeno a los criminales cibernéticos. Sencillamente no podrían blanquear los fondos y así no los llegarían a usar.
Ataque sobre dos flancos: Sitio argentino sufre ataque y fuga de información
Estaba navegando por algunos sitios comprometidos usados para propagar malware y encontré uno en Argentina que pertenece a un proveedor veterinario. El panel de administración había sido capturado y, lo peor de todo es que tenía una pestaña con los datos personales de personas que habían presentado sus CVs. Entonces, ¿qué pasó exactamente? Bien, básicamente hubo una fuga de mucha información confidencial como direcciones de domicilio, números de teléfono, información de los centros educativos donde estudiaron, números de teléfonos móviles, direcciones de correo, estado civil, hijos e incluso preferencias personales. Esto es muy malo porque esta información puede usarse para muchas formas de actividades fraudulentas: robo de identidad virtual, ataques dirigidos y muchas más. Estos son apenas unos ejemplos de CVs reales enviados y almacenados en el sitio atacado:
La mayoría de las víctimas son de Argentina o viven en ese país.
Entonces, ¿quién está detrás del ataque? Es difícil saberlo, pero hay un par de cosas interesantes que tomar en cuenta. La primera tiene que ver con una falsa identidad usada para presentar un CV.
Parece que alguien de lengua rusa ha estado merodeando en el sitio. La segunda es que han usado este mismo sitio web para propagar troyanos banqueros brasileños.
Entonces, es difícil determinar con certeza quién está detrás de este ataque en particular. ¿Son rusos o brasileños? O quizás se trata de un esfuerzo combinado entre ciberdelincuentes rusos y brasileños. Si este fuera el caso, no sería la primera vez que trabajan juntos, pues recientemente hemos detectado a ciberdelincuentes brasileños que usaban conocidos ciberrecursos maliciosos rusos.
La violación de la seguridad de Zappos y la autenticación por contraseña de texto
Después de la violación de la seguridad de su principal base de datos, la dirección de Zappos está haciendo lo correcto al comunicar, al parecer de forma rápida y clara, qué datos resultaron comprometidos y qué datos permanecen seguros; no se han dado retrasos inexplicables ni se ha visto confusión de su parte respecto al incidente. Parece otro momento Aurora en mi libro, cuando Google de manera extraordinaria informó sobre la violación de seguridad que sufrió mientras que otras 30 grandes corporaciones atacadas por Aurora optaron por lo contrario, aferrándose agresivamente a sus acuerdos de confidencialidad para ocultar sus incidentes relacionados con Aurora y ocultar sus cabezas en la arena. Zappos restauró 24 millones de contraseñas de usuarios y anoche envió mensajes de correo a cada uno de ellos informándoles sobre el problema.
Zappos también envió a sus 24 millones de usuarios un breve mensaje de correo con este texto: “Le escribimos para informarle que puede haber habido un acceso ilegal y no autorizado a parte de la información de su cuenta de cliente de zappos.com, incluyendo uno o más de los siguientes datos: su nombre, dirección de correo, direcciones de facturación y envío, número de teléfono, los cuatro últimos dígitos de su tarjeta de crédito (información convencional que aparece en los recibos), y/o su contraseña codificada criptográficamente", sin embargo "LA BASE DE DATOS QUE ALMACENA LA INFORMACIÓN CONFIDENCIAL DE LAS TARJETAS DE CRÉDITO U OTRA INFROMACIÓN DE PAGO NO SE VIO AFECTADA NI SUFRIÓ ACCESO ALGUNO”. Todo esto ha sido debatido y debería ser un elemento estándar y oportuno para notificaciones. Pero quedan pendientes un par de puntos interesantes.
1. Zappos debería establecer políticas más solidas para sus contraseñas. 2. Zappos todavía podría aclarar algunos detalles sobre la violación de su seguridad: qué había en la base de datos y qué diablos quieren decir con “contraseñas criptográficamente revueltas”.
Todos y cada uno tenemos nuestras propias ideas sobre políticas de contraseñas y compensaciones. La mía, en pocas palabras: soy un fanático de las contraseñas largas; prefiero OpenID para cuentas que no son críticas (no es tan grave si se secuestran temporalmente los comentarios de los lectores de periódicos locales o hasta de los foros más importantes) y mantener diferentes niveles de sensibilidad según el tipo de cuenta, y soy fanático de criptas de contraseñas que ayuden a mantener los crecientes volúmenes de cuentas y contraseñas.
¿Habrán aprendido los operadores de sitios web las lecciones de anteriores incidentes sobre mantener la solidez de las contraseñas para la “post-violación” de la seguridad los clientes? Teniendo en cuenta que Zappos es una tienda online que implica transacciones financieras, cualquier dato relacionado con la autenticación de un usuario es crítico. Es muy probable que Zappos haya mantenido un hash criptográfico de las contraseñas de sus clientes junto a un valor aleatorio único por usuario en la base de datos violada. Pero tiene que explicar si este esquema es o no lo que llamaron “criptográficamente revuelto”. “Revuelto (scrambled)” no es un término usual de la jerga de seguridad informática y muy probablemente fue lanzado por un redactor de marketing esforzándose por hacer lo mejor en medio de la crisis. ¿Están manteniendo md5 aleatorios para sus valores de contraseñas? ¿Qué tal algo más sólido y por qué no? Estas violaciones de seguridad sucedieron durante todo 2011, a menudo ocasionadas por "lulz", así que la mayoría de los administradores de sitios web deberían estar preparados para lo peor. Asimismo, Zappos no permite que sus usuarios usen ninguna de las seis últimas contraseñas. ¿Necesita la compañía almacenar las anteriores seis contraseñas de sus usuarios? ¿Se robaron también estas contraseñas? No se dice nada en el mensaje?
Cuando el equipo de Zappos obligó a sus usuarios a restaurar sus contraseñas anoche, les permitió usar un mínimo de 8 caracteres, incluyendo una letra mayúscula y minúscula, y un número o símbolo. Entonces la contraseña de un usuario podría ser, por ejemplo, "Zappos12”, y aquí radica el gran problema. Con las “tablas arco iris” que han estado circulando tanto como parte de productos comerciales como de proyectos de código abierto debatidos por años en las principales conferencias de seguridad, este débil esquema de contraseñas podría descodificarse rápidamente sin estar conectado a Internet. Ya no es razonable simplemente decir “use una combinación de 8 valores”, y dejarlo ahí. La crónica “Perfect Passwords” escrita por Mark Burnett en 2006, describe muy bien el juego de números cracker/defensor en términos que hoy quedan cada vez más obsoletos, y las presentaciones del año pasado en Defcon 19 demostraron la economía y las capacidades de la moderna descodificación, especialmente en la era del GPU. El potente y tan barato hardware GPGPU y las actuales soluciones en la nube pueden devorar niveles y volúmenes increíbles de imprevisibilidad y unicidad de contraseñas en muy poco tiempo. Ocho caracteres simplemente no son suficientes.
Finalmente, no sólo necesitamos políticas de contraseñas más sólidas sino más prácticas de las que actualmente aplican la mayoría de los operadores de sitios web, pero necesitamos pensar por unos años en los esquemas de autenticación fallidos que necesitan reparación con urgencia, incluyendo el uso generalizado de contraseñas de texto simple.
Escuela para ciberdelincuentes: Cómo ser un Black Hat
La vida se pinta muy buena para los hackers brasileños: la falta de leyes específicas sobre la ciberdelincuencia les hace sentirse invulnerables hasta el extremo de publicar descaradamente sus robos y alardear de sus ganancias obtenidas ilegalmente. Mostramos algo al respecto en una presentación que dimos en la última Virus Bulletin Conference, y es muy común encontrar videos en YouTube sobre estafadores financieros y de tarjetas de crédito que se jactan de sus ganancias ilegítimas y refriegan su dinero mal habido en la cara de sus víctimas (aquí hay un ejemplo, y se pueden encontrar varios más en Internet). Tampoco es raro encontrar los perfiles de los ciberdelincuentes en redes sociales como Twitter, Tumblr, etc. Todo lo hacen de forma abierta, sin temor a que los capturen.
Para ayudar a los nuevos “emprendedores” o principiantes interesados en llevar una vida delictiva, algunos ciberdelincuentes brasileños han empezado a ofrecer cursos de pago. Otros han ido más lejos y han creado una escuela para ciberdelincuentes para vender las habilidades necesarias a quienes están interesados en convertirse en delincuentes informáticos pero que carecen de conocimientos técnicos. En un sitio web dedicado a vender estos cursos y a promover esta “escuela”, podemos encontrar cursos como “Cómo ser un banker", "Kit Spammer" o "Cómo ser un defacer”.
Los cursos son paquetes bien diseñados con detalles completos del “curriculum” que se estudia. En el curso “Cómo ser un banker 101” encontramos:
“Este curso está dirigido a todos los que realicen transacciones online”. Aprenderás cómo un cracker toma el control de un ordenador corporativo o doméstico, en qué consiste la ingeniería social, cómo funciona “auto-infect”, como usar fuentes (de troyanos), cómo manipular los plugins de seguridad instalados en los navegadores como IE, Firefox, Chrome, Avant, Opera, y antivirus y cortafuegos. Cómo ayuda el spamming a atrapar nuevas víctimas, qué hacen los “loaders” y cómo los usa un cracker. Aprenderás la jerga que usan los crackers y los bankers, como "loaders", "info", "cc", "admin", "laras" (mulas de dinero), "Desco", "Ita", "Uni", "CEF", "BB", "City" (nombres de conocidos bancos brasileños), y mucho más. Descubrirás cómo un cracker clona tarjetas de crédito, chequeras, identidades, licencias de conducir, certificados de nacimiento, y otros documentos. Aprenderás cómo un cracker puede poseer sitios web de comercio electrónico que almacenen números de tarjetas de crédito, y qué hacer con estos datos. Aprenderás sobre la legislación brasileña y conocerás la sentencia si es que te atrapan, así como los riesgos que corres y cómo evitar que te atrapen. Todo esto y mucho más es parte de este curso”.
También ofrecen un curso para que los spammers aprendan sobre las técnicas que necesitan para ser más efectivos. A esto se añade un regalo: una lista con 60 millones de direcciones de correo para comenzar a lanzar spams de forma inmediata:
"KIT SPAM ACTUALIZADO: Hoy en día, el mundo virtual es cada vez más competitivo, lo que dificulta que los nuevos usuarios puedan competir con rivales expertos en un mercado en creciente crecimiento. Esto nos ha llevado a crear KIT SPAM, que incluye más de 60 millones de direcciones de correo agrupadas en diferentes categorías: profesionales, individuos y compañías, ejecutivos, empresarios, además de políticos. El kit incluye remitentes, técnicas de ingeniería social para garantizar una óptima propagación, extractor de direcciones de correo, y códigos fuente en Delphi. Todo lo que tienes que hacer es compilar y enviar los mensajes masivos. Todo por 130,00 R$" (unos 75 USD). Todos los cursos se pagan online, o si deseas, puedes asistir a cursos presenciales. La dirección de la “escuela” también aparece en el sitio web:
Las instituciones financieras brasileñas han informado sobre pérdidas de 685 millones de reales brasileños (unos 380 millones de USD) en el primer semestre del 2011, debido a pagos por compensaciones de clientes que realizaron transacciones bancarias online y perdieron su dinero. Creo que es hora de que los políticos brasileños aprueben una legislación nacional contra la ciberdelincuencia local para permitir que las autoridades competentes empiecen a luchar contra este flagelo. Necesitamos una campaña más enérgica y radical para frenar a los ciberdelincuentes que sin tapujos ostentan sus turbias ganancias.
