Informes sobre malware

Desarrollo de las amenazas informáticas en el primer trimestre de 2015

Números del trimestre

  • Según los datos de KSN, en el primer trimestre 2015 los productos de Kaspersky Lab bloquearon 2 205 858 791 ataques maliciosos en los equipos y dispositivos móviles de los usuarios.
  • Las soluciones de Kaspersky Lab han neutralizado 469 220 213 ataques lanzados desde recursos de Internet ubicados en diferentes países del mundo.
  • Nuestro antivirus web detectó 28 483 783 objetos maliciosos únicos (scripts, exploits, ficheros ejecutables, etc.).
  • Se han registrado 93 473 068 direcciones URL únicas que provocaron reacciones del antivirus web.
  • El 40% de los ataques bloqueados por nuestros productos se lanzó desde recursos web ubicados en Rusia.
  • Nuestro antivirus para ficheros ha detectado 253 560 227 programas nocivos únicos y potencialmente indeseables.
  • Los productos de Kaspersky Lab para la protección de dispositivos móviles han detectado:
    • 147 835 paquetes de instalación,
    • 103 072 nuevos programas maliciosos para dispositivos móviles,
    • 1 527 nuevos troyanos bancarios móviles.

Panorama de la situación

La ecuación APT: los ataques más sofisticados

Quizás la noticia que más revuelo levantó en el primer trimestre haya sido la del poderoso grupo Equation, dedicado al espionaje informático. Hace muchos años que interactúa con otros grupos influyentes como Stuxnet y Flame. Los ataques de Equation son, posiblemente, los más sofisticados: uno de sus módulos permite modificar el firmware de los discos duros. Desde 2001 el grupo Equation ha logrado infectar los equipos de miles de víctimas en Irán, Rusia, Siria, Afganistán, EE.UU. y otros países. Las víctimas son instituciones gubernamentales y diplomáticas, de telecomunicaciones, aeroespaciales, de energética, etc.

Este grupo usa varios y diversos programas maliciosos, algunos de los cuales superan en su complejidad a la famosa plataforma Regin. Entre los métodos conocidos de difusión en infección están el uso del gusano USB Fanny (en su arsenal había dos vulnerabilidades de día cero, que más tarde se usarían en Stuxnet), la presencia de instaladores maliciosos en discos CD, y el uso de exploits web.

Carbanak, la campaña informática más exitosa

En la primavera de 2014 Kaspersky Labš participó en la investigación de un delito penal:š los cajeros automáticos de un banco entregaban dinero sin que mediara una interacción física con el que recibía el dinero. Así empezó la historia de la investigación de la campaña Carnabak y la investigación del programa malicioso del mismo nombre.

Carberp es una puerta trasera (backdoor) escrita usando como base el código de Carberp.š El programa malicioso está destinado al espionaje cibernético, la recopilación de datos y el control remoto del equipo infectado. Después de que los delincuentes recibían acceso a algún equipo, analizaban la red local para seguir propagando el malware e infectar los sistemas de importancia crítica: los sistemas de procesamiento, deš contabilidad y los cajeros automáticos.

Se detectaron tres maneras de sacar el dinero de las organizaciones financieras:

  1. mediante cajeros automáticos,
  2. haciendo transferencias de dinero a las cuentas de los delincuentes informáticos mediante la red SWIFT
  3. introduciendo modificaciones en las bases de datos para crear cuentas falsas, de las que después las “mulas” sacaban el dinero.

La infección se hacía de una forma típica para APT, mediante ataques phishing a blancos específicos, durante los cuales se enviaban mensajes que contenían un documento con un exploit. Los mensajes estaban hechos de tal manera que no levantaban sospechas y en algunos casos llegaban desde direcciones de los empleados de la empresa atacada.

Según los cálculos de Kaspersky Lab, este grupo delincuente causó daños a cerca de 100 organizaciones financieras, sobre todo en Europa del este y los daños totales se aproximan a los mil millones de dólares, lo que hace que Carbanak sea la campaña más exitosa que conocemos.

Desert Falcon: ataques en el Cercano Oriente

Durante la investigación del incidente ocurrido en el Cercano Oriente que llevaron a cabo los expertos de Kaspersky Lab se detectó que estaba activa una agrupación antes desconocida que realizaba ataques selectivos. El grupo se llamaba “Halcón del desierto” (Desert Falcons) y es el primer grupo árabe que realiza operaciones completas de espionaje cibernético y que, a todas vistas, están dictadas por la situación política en la región.

Los primeros indicios de las actividades de Desert Falcon datan de 2011, las primeras infecciones se conocieron en 2013 y el pico de actividades del grupo tuvo lugar a finales de 2014 y principios de 2015. Los miembros del grupo no son de ninguna manera principiantes, ya que desarrollaron desde cero programas maliciosos para Windows y Android, y organizaron un ataque maestro en el que usaron mensajes phishing, sitios web falsos y cuentas falsas en las redes sociales.

Las víctimas del grupo están sobre todo en Palestina, Egipto, Israel y Jordania. Entre las víctimas hay activistas y líderes políticos, instituciones militares y gubernamentales, medios masivos de información, instituciones financieras y de otros tipos. Hasta el presente se calculan más de 3000 víctimas. Los atacantes pudieron robar más de un millón de ficheros y documentos.

Aparte de los sofisticados y cuidadosamente planeados envíos masivos de mensajes destinados a infectar a las víctimas, cabe destacar un método más de Desert Falcon: el uso de la ingeniería social en la red Facebook. Los atacantes creaban cuentas especiales para empezar a mantener correspondencia con las víctimas, ganarse su confianza y después enviarles por el chat un programa malicioso camuflado como una imagen.š Para hacer que las infecciones sean masivas, usaban posts con enlaces maliciosos en nombre de cuentas capturadas o falsificadas de personalidades políticas.

Animal Farm APT

En marzo de 2014 el periódico francés Le Monde publicó un artículo sobre los instrumentos del espionaje cibernético revelados por el Centro de Seguridad de Comunicaciones de Canadá (CSEC).š Los instrumentos descritos se usaron en la operación Snowglobe, lanzada contra los medios de comunicación masiva francoparlantes canadienses, Grecia, Francia, Noruega y algunos países africanos. Partiendo de los resultados del análisis realizado, CSEC supuso que esta operación la habrían podido iniciar los servicios de espionaje franceses.

A principios de 2015 los investigadores publicaron el análisis de algunos programas maliciosos (1, 2, 3), que tienen mucho en común con las características de los programas de la operación Snowglobe. En particular, se identificaron ejemplares que contenían el nombre interior Babar, que coincidía con el nombre del programa mencionado en las diapositivas de CSEC.

Los expertos de Kaspersky Lab, tras analizar los programas maliciosos de esta campaña y encontrar relación entre ellos, bautizaron a la agrupación que estaba detrás como Animal Farm.š Se descubrió que dos de tres vulnerabilidades zero-day encontradas por Kaspersky Lab en 2014 que se utilizaron en los ataques cibernéticos las habían adoptado este grupo. Por ejemplo, el ataque lanzado desde el sitio del Ministerio de Justicia de Siria, capturado por los delincuentes, y que usaba los exploits para CVE-2014-0515 provocaba la descarga de uno de los instrumentos de Animal Farm llamado Casper.

Entre las peculiaridades de esta campaña merece la pena destacar que uno de los programas del arsenal de la agrupación, NBOT, está destinado a lanzar ataques DDoS, una de las funciones típicas de los grupos APT. Además, uno de los “animales” maliciosos lleva el extraño nombre de Tafacalou, que posiblemente es una palabra en idioma occitano, que se habla en algunos países, entre ellos Francia.

Upatre, la activa propagación del malware bancario Dyre/Dyreza

En este trimestre el primer lugar de los troyanos bancarios lo ocupa Upatre, el cargador del malware financiero Dyre, también conocido como Dyreza. Este troyano bancario apareció ya en 2014 y tiene como blanco a los usuarios de diferentes organizaciones financieras. Usa la técnica de evadir la conexión protegida SSL para robar información de pagos. Además, el programa malicioso cuenta con funciones de administración remota (RAT) para que el atacante pueda, de forma manual, realizar transacciones en nombre del usuario de la banca online.

El cargador de Upatre le llega al usuario en mensajes spam, muchos de los cuales lucen como mensajes legítimos de instituciones financieras. La lista de los bancos atacados por el troyano Dyre cargado por Upatre incluye a Bank of America, Natwest, Citibank, RBS y Ulsterbank. Los investigadores remarcan que la principal actividad de Dyre en el presente ocurre en Inglaterra.

PoSeidon, ataques contra terminales PoS

Se ha descubierto un nuevo ejemplar de un troyano bancario que ataca terminales PoS. PoSeidon hace un barrido del contenido de la memoria operativa del dispositivo PoS para encontrar información de pagos almacenada de forma abierta y la envía a los delincuentes.

Los investigadores de Cisco Security Solutions aíslan tres componentes del programa malicioso que con gran probabilidad se aplican a PoSeidon. keylogger, cargador y el scanner de memoria operativa propiamente dicho, que también tiene funciones de keylogger. El keylogger está destinado a robar los datos de la cuenta del programa de acceso remoto LogMeIn. Pero antes, borra las contraseñas y perfiles cifrados de LogMeIn para obligar al usuario a que las ingrese de nuevo. Los investigadores suponen que el keylogger es para robar los datos iniciales de acceso remoto, necesarios para comprometer el sistema PoS y la posterior instalación de PoSeidon.

Después de que los atacantes obtienen el acceso al terminal PoS, instalan un cargador que descarga desde sus servidores de administración el scanner FindStr. Este último sirve para buscar en la memoria operativa del dispositivo PoS determinados renglones de código que correspondan al número de tarjeta. Una peculiaridad interesante es que sólo se buscan números de tarjetas que empiecen por determinadas cifras.

Estadísticas

Todos los datos estadísticos usados en el informe se han obtenido mediante la red antivirus distribuida Kaspersky Security Network (KSN)como resultado del funcionamiento de los diferentes componentes de protección contra los programas maliciosos. Los datos se obtuvieron en los equipos de los usuarios de KSN que confirmaron su consentimiento en enviarlos. En el intercambio global de información sobre las actividades maliciosas toman parte millones de usuarios de los productos de Kaspersky Lab de 213 países del mundo.

Amenazas para dispositivos móviles

La principal tendencia de la evolución de los programas maliciosos para dispositivos móviles está relacionada con su monetización: los escritores de virus tratan de que sus creaciones puedan extraer el dinero y los datos bancarios de los usuarios usando diversos métodos.

Cada vez son más los troyanos SMS que adquieren la capacidad de lanzar ataques contra las cuentas bancarias de las víctimas. Por ejemplo, Trojan-SMS.AndroidOS.OpFake.cc ahora puede atacar como mínimo a 29 aplicaciones bancarias y financieras.

Los troyanos SMS también han empezado a usar funciones de los programas maliciosos extorsionadores. Trojan-SMS.AndroidOS.FakeInst.ep, para obtener los datos de la tarjeta bancaria de la víctima usa los métodos de los programas extorsionadores: no se puede cerrar las ventanas abiertas por el malware sin ingresar determinados datos.

El usuario ve un mensaje enviado en nombre de la compañía Google que le exige abrir Google Wallet y pasar una “personificación”, ingresando los datos de su tarjeta de crédito (es curioso que una de las justificaciones de estas acciones es la necesidad de luchar contra la delincuencia informática). Mientras la víctima no ingrese los datos, será imposible sacar la ventana de la pantalla.

Los troyanos-espía, del mismo modo que los troyanos SMS, se están modificando y obteniendo posibilidades de realizar ataques contra las cuentas bancarias de las víctimas. Por ejemplo, Trojan-Spy.AndroidOS.SmsThief.ay ahora puede atacar cinco diferentes aplicaciones bancarias y financieras.

De esta manera, los programas maliciososš móviles usados por los delincuentes para robarle dinero a sus víctimas, con cada vez más frecuencia se tornan multifuncionales. Ahora no sólo los troyanos bancarios especializados pueden robar dinero de las cuentas bancarias de los usuarios atacando las aplicaciones bancarias, sino también los troyanos SMS e incluso los troyanos-espía. Es posible que esta sea una de las razones por las cuales en el primer trimestre de 2015 se hayan detectado relativamente pocos troyanos bancarios móviles.

En total, en el primer trimestre de 2015 el 23,2% de las nuevas amenazas móviles fueron programas maliciosos destinados al robo y extorsión de dinero (troyanos SMS, troyanos bancarios y troyanos-extorsionadores. Estos tres tipos de software malicioso son extremadamente peligrosos y el interés de los escritores de virus por el dinero de sus víctimas estimula su desarrollo.

Novedades del trimestre

  1. El troyano bancario Trojan-Banker.AndroidOS.Binka.d ha evolucionado. Ahora cuenta con la función de “escuchar” a la víctima. El sonido se graba por el micrófono y se guarda en un fichero que se envía al servidor de los delincuentes.
  2. La técnica de patching e incrustación de código malicioso ahora es uno de los principales métodos de propagación de los troyanos. Por ejemplo, Trojan-SMS.AndroidOS.Chyapo.a se incrustó en la aplicación Unity Launcher Free. La diferencia entre la aplicación limpia y la maliciosa se puede ver sólo cuando aparece una solicitud de acceso al procesamiento de mensajes SMS entrantes. Otra peculiaridad interesante de este troyano era su centro de administración, ubicado en el hosting sites.google.com.
  3. Los creadores del troyano SMS Podec han hecho suyo un nuevo mecanismo de propagación, mediante la red social VKontakte. El fichero malicioso se había cargado a los servidores de la popular red social usados para almacenar los contenidos de los usuarios. Como resultado, este troyano es uno de los tres líderes por la cantidad de usuarios atacados.
  4. La resistencia del malware a las soluciones de seguridad informática es una tecnología que a pesar de no ser nueva, está ganando popularidad. šEl troyano bancario Trojan-Banker.AndroidOS.Svpeng.f detectado el primer trimestre trata de desinstalar las aplicaciones antivirus de las compañías Avast, Eset y DrWeb.

Estadística de las amenazas móviles

En el primer trimestre de 2015 los productos de Kaspersky Lab para la protección de dispositivos móviles han detectado 103 072 nuevos programas maliciosos móviles, 3,3 veces más que en el cuarto trimestre de 2014.

Con esto, la cantidad de paquetes maliciosos fue de 147 835, que es 2,3 más que en el trimestre anterior.

Número de paquetes de instalación y nuevos programas nocivos móviles detectados (tercer trimestre de 2014 – primer trimestre de 2015)

Últimamente observamos una disminución de la correlación de nuevos programas malicioso y de los paquetes de instalación maliciosos. Si en el tercer trimestre de 2014 a cada programa malicioso le correspondía un promedio de más de 6,2 paquetes de instalación maliciosos, en el cuarto trimestre esta cifra bajó a sólo cerca de 2.š En el primer trimestre de 2015 este índice bajó hasta alcanzar el 1,4.

Distribución de los programas maliciosos móviles por tipos

Distribución de nuevos programas maliciosos móviles por tipos de comportamiento, primer trimestre de 2015

En la estadística de objetos maliciosos para dispositivos móviles detectados en el primer trimestre de 2015 lideran las aplicaciones potencialmente indeseables RiskTool (35,7%). Se trata de aplicaciones legales que son potencialmente peligrosas para los usuarios: su uso irresponsable por parte del dueño del smartphone o del delincuente puede causar pérdidas financieras al usuario.

En el segundo puesto están los troyanos SMS, con un índice del 21%. Recordamos que en el tercer trimestre de 2014 el porcentaje de troyanos SMS entre las nuevas amenazas móviles bajó del 22% al 14%. Pero ya a finales de 2014 recuperaron sus posiciones. Por su ritmo de crecimiento, este tipo de amenazas móviles está en el tercer lugar: la cantidad total de troyanos SMS en nuestra colección aumentó en un 18,7% en los tres primeros meses de 2015.

En el tercer puesto están los programas publicitarios potencialmente indeseables (15,2%). La cantidad de estos programas en el flujo de las nuevas amenazas móviles está bajando de forma paulatina.

La cantidad de troyanos bancarios detectados en el software malicioso detectado el primer trimestre se ha reducido considerablemente y es de sólo el 1,1%. En el trimestre, la cantidad de nuevos troyanos bancarios en nuestra colección ha crecido en un 6,5%.

Cabe destacar también que Trojan-Ransom, que apareció en el arsenal de los delincuentes hace relativamente poco tiempo, ha mostrado el ritmo de crecimiento más alto entre todas las amenazas móviles.š En el primer trimestre se detectó 1113 unidades, lo que hace que la cantidad de programas extorsionadores móviles en nuestra colección haya aumentado en un 65%. Esta es una tendencia peligrosa, ya que los programas de este tipo están orientados a extorsionar dinero y su infección amenaza con echar a perder los datos de los usuarios y bloquear sus dispositivos.

Otro tipo de amenazas móviles con un alto ritmo de crecimiento son los programas-espía (Trojan-Spy). En el primer trimestre de 2015 su cantidad en nuestra colección ha aumentado en un 35%.

TOP 20 de programas maliciosos móviles
Nombre % de ataques*
1 DangerousObject.Multi.Generic 10,90%
2 AdWare.AndroidOS.Viser.a 9,20%
3 Trojan-SMS.AndroidOS.Podec.a 7,92%
4 RiskTool.AndroidOS.MimobSMS.a 7,82%
5 Trojan-SMS.AndroidOS.OpFake.a 6,44%
6 Trojan.AndroidOS.Mobtes.b 6,09%
7 Adware.AndroidOS.MobiDash.a 5,96%
8 Exploit.AndroidOS.Lotoor.be 4,84%
9 RiskTool.AndroidOS.SMSreg.gc 4,42%
10 AdWare.AndroidOS.Xynyin.a 3,31%
11 AdWare.AndroidOS.Ganlet.a 2,63%
12 Exploit.AndroidOS.Lotoor.a 2,19%
13 AdWare.AndroidOS.Dowgin.l 2,16%
14 Trojan-SMS.AndroidOS.Stealer.a 2,08%
15 AdWare.AndroidOS.Kirko.a 2,04%
16 Trojan.AndroidOS.Rootnik.a 1,82%
17 Trojan.AndroidOS.Pawen.a 1,81%
18 Trojan-SMS.AndroidOS.Gudex.f 1,75%
19 RiskTool.AndroidOS.SMSreg.dd 1,69%
20 AdWare.AndroidOS.Kemoge.a 1,52%

* Porcentaje de usuarios atacados por este programa malicioso, del total de los usuarios atacados

En el primer puesto de la estadística está DangerousObject.Multi.Generic (10,90%). Este es el nombre que las tecnologías “en la nube” de Kaspersky Security Network asignan a las aplicaciones maliciosas. Estas tecnologías hacen que nuestros productos reaccionen con rapidez ante las amenazas nuevas y desconocidas.

Los programas publicitarios potencialmente indeseables ocupan siete puestos en la estadística, entre ellos el segundo, donde se ubicó el módulo financiero AdWare.AndroidOS.Viser.a (9,2%).

En el TOP 20 de amenazas detectadas los Troyanos SMS siguen perdiendo posiciones: en cuarto trimestre de 2014 ocupaban nueve de los puestos de la estadística, en el primer trimestre de 2015 ocupan sólo cuatro.

Al mismo tiempo, Trojan-SMS.AndroidOS.Podec.a (7,92%) está en el TOP 3 de amenazas maliciosas móviles ya hace dos trimestres, lo que está condicionado por su activa propagación. Cómo ya hemos escrito más arriba, los delincuentes pusieron este programa malicioso en el almacén de ficheros de la red social VKontakte, la más grande en Rusia. Este troyano es conocido entre los especialistas por usar el enmarañador comercial más potente de hoy en día.

Los representantes de la categoría RiskTool ocuparon tres posiciones en el TOP 20. En el cuarto puesto de la estadística está RiskTool.AndroidOS.MimobSMS.a, que atacó al 7,82% de los usuarios.

Troyanos bancarios móviles

En el periodo que abarca nuestro informe hemos detectado 1 527 troyanos bancarios móviles, 4,4 veces menos que en el trimestre anterior.

Cantidad de troyanos bancarios móviles detectados (del primer trimestre de 2014 al primer trimestre de 2015)

Territorios de propagación de las amenazas bancarias móviles en el primer trimestre de 2015 (cantidad de usuarios atacados)

El 96% de los ataques lanzados por los troyanos bancarios móviles afectó a 10 países.

TOP 10 de países atacados por los troyanos bancarios móviles:

País % del total de ataques*
1 Rusia 86,66%
2 Ucrania 2,27%
3 EE.UU. 2,21%
4 Kazajistán 1,87%
5 Alemania 0,97%
6 Corea del Sur 0,70%
7 Bielorrusia 0,64%
8 Inglaterra 0,37%
9 Uzbekistán 0,34%
10 India 0,21%

* Porcentaje de usuarios atacados en el país, del total de usuarios atacados en todo el mundo

Rusia se mantiene como el tradicional líder de esta parte de la estadística. En el segundo puesto del primer trimestre está Ucrania, que desplazó a EE.UU. y Kazajstán al tercer y cuarto puestos respectivos. Bielorrusia bajó del quinto al séptimo puesto.

Geografía de las amenazas móviles

En el transcurso del primer trimestre de 2015 detectamos los ataques de los programas maliciosos móviles en 213 países del mundo.

Mapa de intentos de infección por programas maliciosos móviles en el primer trimestre de 2015
(porcentaje del total de usuarios atacados)

TOP 10 de países atacados por el malware móvil:

País % de ataques*
1 Rusia 41,92%
2 India 7,55%
3 Alemania 4,37%
4 Brasil 3,20%
5 Irán 3,12%
6 Kazajistán 2,88%
7 EE.UU. 2,84%
8 Ucrania 2,53%
9 Malasia 2,05%
10 Vietnam 1,87%

* Porcentaje de usuarios atacados en el país, del total de usuarios atacados en todo el mundo

En esta parte de la estadística Rusia ocupa el primer lugar, dejando muy abajo al resto de los países (42%). En el segundo puesto está India (7,5%).

Aplicaciones vulnerables usadas por los delincuentes

La siguiente clasificación de las aplicaciones vulnerables se basa en los datos de los exploits, bloqueados por nuestros productos, usados por los delincuentes tanto en los ataques mediante Internet, como en lasš aplicaciones locales afectadas, entre ellas en los dispositivos móviles de los usuarios.

Distribución de los exploits usados en los ataques de los delincuentes, según tipos de aplicaciones atacadas, primer trimestre de 2015

El primer puesto en nuestra estadística del primer trimestre de 2015 lo ocupa la categoría “Navegadores” (64%), que incluye los exploits para Internet Explorer. En 2014 esta categoría era la líder según el cálculo de los índices de los últimos tres trimestres.

En el primer trimestre observamos una reducción significativa de la cantidad de exploits para Oracle Java (-7 puntos porcentuales en comparación con el cuarto trimestre de 2014). Esto se puede explicar porque los exploits para estas aplicaciones estaban casi completamente ausentes en los paquetes de exploits.

Merece la pena destacar que en el primer trimestre aumentó la cantidad de exploits para MS Office (+2 puntos porcentuales en comparación con el cuarto trimestre de 2014) y Adobe Flash Player (+1 puntos porcentuales).

El crecimiento de la cantidad de objetos flash se debe en primer lugar a la gran cantidad de vulnerabilidades encontradas en el primer trimestre de 2015. En el presente, casi todos los paquetes de exploits usan exploits para las vulnerabilidades de Adobe Flash Player.

Programas maliciosos en Internet (ataques mediante la web)

Los datos estadísticos de este capítulo han sido recopilados por el antivirus web, que protege a los usuarios cuando estos descargan objetos maliciosos de una página web maliciosa o infectada. Los delincuentes crean sitios maliciosos adrede, pero también los sitios legítimos se pueden infectar si su contenido lo crean los usuarios (es el caso de los foros), o si son víctimas de hackeo.

Amenazas online en el sector bancario

En el primer trimestre de 2015 las soluciones de Kaspersky Lab neutralizaron los intentos de ejecución de programas maliciosos que roban dinero mediante el acceso a cuentas bancarias en los equipos de 929 082 usuarios. En comparación con el trimestre anterior (565 515) este índice ha aumentado en un 64,3%.

Número de ordenadores atacados por software financiero malicioso, primer trimestre de 2015

Observamos que está en aumento el número de ataques del malware financiero. Cabe destacar que la cantidad de ataques tuvo un brusco aumento en marzo de 2015.

En total, los productos de Kaspersky Lab han registrado durante el trimestre 5 106 804 notificaciones sobre intentos de infección con malware dirigido al robo de dinero mediante el acceso online a cuentas bancarias.

Territorios de los ataques

Territorios de propagación de los ataques de malware bancario, primer trimestre de 2014

TOP-10 de países según el número de usuarios únicos

Países Cantidad de usuarios atacados
1 Brasil 91 893
2 Rusia 85 828
3 EE.UU. 66 699
4 Alemania 51 670
5 Inglaterra 25 269
6 India 22 085
7 Turquía 21 397
8 Australia 18 997
9 Italia 17 663
10 España 17 416

Brasil sigue liderando entre los países más atacados, en comparación con el trimestre anterior su índice ha aumentado en un 15%.

TOP 10 de familias de malware bancario

TOP 10 de las familias de programas maliciosos usados para lanzar ataques contra los usuarios de la banca online en el primer trimestre de 2015 (según la cantidad de usuarios atacados):

Nombre Número de notificaciones Cantidad de usuarios atacados
Trojan-Downloader.Win32.Upatre 3 127 365 349 574
Trojan-Spy.Win32.Zbot 865 873 182 966
Trojan-Banker.Win32.ChePro 355 735 91 809
Trojan-Banker.Win32.Banbra 35 182 16 363
Trojan.Win32.Tinba 94 972 15 719
Trojan-Banker.Win32.Agent 44 640 12 893
Trojan-Banker.Win32.Shiotob 60 868 12 283
Trojan-Banker.Win32.Banker 39 728 12 110
Trojan-Spy.Win32.SpyEyes 57 418 9 168
Backdoor.Win32.Papras 56 273 3 062

La aplastante mayoría de los programas maliciosos del TOP 10 usan la técnica de inyectar un código HTML arbitrario en la página que el navegador está visualizando e interceptar los datos de pago ingresados por el usuario en los formularios originales y los falsificados.

El troyano bancario ZeuS (Trojan-Spy.Win32.Zbot), que fue el más popular según los resultados del informe de 2014, en el primer trimestre de 2015 dejó el primer puesto a Trojan-Downloader.Win32.Upatre. Los programas maliciosos de esta familia son bastante simples, de un tamaño no superior a los 3,5 Kb y por lo general descargan un troyano bancario de la familia conocida como Dyre/Dyzap/Dyreza. šLa lista de instituciones financieras atacadas por este troyano bancario depende de la configuración que se le envíe desde el centro de administración.

Otro representante de los troyanos bancarios en el TOP 3 es Trojan-Banker.Win32.ChePro. Este malware se propaga mediante mensajes spam cuyo tema está relacionado con la banca online (por ejemplo, los mensajes pueden tener el asunto “Cuenta de banca en Internet”). En el mensaje hay adjunto un documento Word con una imagen incluida que cuando se la pulsa, provoca el lanzamiento del código malicioso.

Amenazas financieras

Las amenazas financieras no se limitan al malware bancario que ataca a los clientes de los sistemas de banca online.

Número de ataques del software malicioso financiero

La segunda amenaza más popular es el robo de billeteras Bitcoin. Una amenaza más, relacionada con este dinero cifrado es el “Bitcoin maining”, es decir el uso del ordenador de la víctima para generar Bitcoins.

TOP 20 de objetos detectados en Internet

Durante el primer trimestre de 2015 nuestro antivirus web detectó 28 483 783 objetos maliciosos únicos (scripts, exploits, ficheros ejecutables, etc.).

De todo el malware involucrado en los ataques de Internet en los ordenadores de los usuarios, se han identificado 20 de los más activos.  Ellos representan el 95,9% de todos los ataques en Internet.

TOP 20 de objetos detectados en Internet

Nombre* % del total de ataques**
1 URL maliciosos 37,55%
2 AdWare.JS.Agent.bg 36,06%
3 AdWare.Script.Generic 6,58%
4 Trojan.Script.Iframer 4,49%
5 AdWare.NSIS.AnProt.b 3,83%
6 Trojan.Script.Generic 2,91%
7 AdWare.JS.Agent.an 1,06%
8 AdWare.Win32.Yotoon.bfm 0,81%
9 Trojan.JS.Redirector.ads 0,47%
10 Exploit.Script.Blocker 0,33%
11 AdWare.Win32.Eorezo.eod 0,31%
12 Trojan.Win32.Generic 0,24%
13 Trojan-Downloader.Win32.Generic 0,22%
14 AdWare.Win32.ConvertAd.vo 0,17%
15 Trojan-Downloader.Script.Generic 0,16%
16 AdWare.NSIS.Agent.bx 0,16%
17 AdWare.NSIS.Agent.cv 0,13%
18 AdWare.AndroidOS.Xynyin.a 0,13%
19 AdWare.Win32.Yotoon.heur 0,12%
20 AdWare.Win32.SoftPulse.xvm 0,12%

*Veredictos de detección pertenecientes al módulo del antivirus web. Esta información la han hecho posible los usuarios de los productos de KL que expresaron su consentimiento para la transmisión de datos.
**Porcentaje del total de ataques web registrados en los ordenadores de usuarios únicos.

En el TOP 20 tienen representación mayoritaria los veredictos que se aplican a los objetos usados en ataques drive-by, y a los módulos de publicidad. El 37,55% de las detecciones del antivirus web corresponden a los enlaces de la lista de rechazados.

Países-fuente de ataques web: Top 10

Esta estadística muestra la distribución según país de las fuentes de ataques web bloqueados en los ordenadores de los usuarios (páginas web con redirecciones a exploits, sitios con exploits y otros programas maliciosos, centros de administración de botnets, etc.). Hacemos notar que cada host único puede ser fuente de uno o más ataques web.

Para determinar el origen geográfico de los ataques web se usó el método de comparación del nombre de dominio con la dirección IP real donde se encuentra el dominio dado y la definición de la ubicación geográfica de la dirección IP (GEOIP).

En el primer trimestre de 2015 las soluciones de Kaspersky Lab han neutralizado 469 220 213 ataques lanzados desde recursos de Internet ubicados en diferentes países del mundo. El 90% de las notificaciones sobre ataques web bloqueados se obtuvo durante el bloqueo de los ataques lanzados desde recursos web ubicados en diez países.

Distribución por países de las fuentes de ataques web, primer trimestre de 2015

La composición del TOP 10 no ha cambiado durante un largo periodo de tiempo, pero este trimestre cambió el líder. Ahora el primer puesto, con un 40%, lo ocupa Rusia, que subió desde el cuarto puesto. El líder del trimestre anterior, que era EE.UU. ocupa el segundo puesto con un índice del 18%.

Países en los cuales los usuarios han estado bajo mayor riesgo de infectarse mediante Internet

Para evaluar el riesgo de infección a través de Internet al que están expuestos los ordenadores de los usuarios en diferentes países del mundo, hemos calculado con qué frecuencia durante el año los usuarios de los productos de Kaspersky Lab en cada país se han topado con la reacción del antivirus web. Los datos obtenidos son el índice de la agresividad del entorno en el que funcionan los ordenadores en diferentes países.

País* % de usuarios únicos atacados**
1 Kazajistán 42,37%
2 Rusia 41,48%
3 Azerbaiyán 38,43%
4 Ucrania 37,03%
5 Croacia 37,00%
6 Armenia 35,74%
7 Mongolia 33,54%
8 Moldavia 33,47%
9 Bielorrusia 33,36%
10 Kirguistán 32,20%
11 Argelia 32,12%
12 Catar 31,15%
13 Georgia 30,69%
14 Emiratos Árabes Unidos 29,36%
15 Letonia 28,69%
16 Tayikistán 28,36%
17 Bosnia y Herzegovina 28,00%
18 Grecia 27,55%
19 Túnez 27,54%
20 Bulgaria 27,44%

La presente estadística contiene los veredictos de detección del módulo del antivirus web que enviaron los usuarios de los productos de Kaspersky Lab que dieron su consentimiento para el envío de datos estadísticos.
* En los cálculos hemos excluido a los países en los que la cantidad de usuarios de ordenadores es relativamente baja (menos de 10.000).
**Porcentaje de usuarios únicos expuestos a ataques web, del total de usuarios únicos de Kaspersky Lab en el país.

En el primer trimestre de 2015, Kazajstán ocupa el primer puesto por primera vez, habiendo desplazado a Rusia al segundo. En comparación con el trimestre anterior, Vietnam y Portugal han abandonado la lista. Los nuevos países en la estadística son Bosnia y Herzegovina (28,00%) y Grecia (27,55%), que ocupan los puestos 17 y 18 respectivamente.

Entre los países más seguros para navegar en Internet están Japón (12,4%), Dinamarca (12,7%), Singapur (14,3%), Finlandia (14,9%), Sudáfrica (14,8%) y los Países Bajos (15,2%).

En promedio, durante el trimestre el 26,3% de los ordenadores en el mundo ha sufrido por lo menos un ataque web.

Amenazas locales

Un indicador crucial es la estadística de infecciones locales de los ordenadores de los usuarios. En estos datos se incluyen los objetos que no ingresaron a los ordenadores por Internet, correo electrónico o puertos de red.

En este apartado analizaremos los datos estadísticos obtenidos del funcionamiento del antivirus que escanea los ficheros en el disco duro en el momento en que se los crea o cuando se los lee, y los datos del escaneo de diferentes memorias extraíbles.

El primer trimestre de 2015 nuestro antivirus para ficheros ha detectado 253 560 227 diferentes programas nocivos y potencialmente indeseables.

Objetos detectables encontrados en los ordenadores de los usuarios: Top 20

Nombre* % de usuarios únicos atacados**
1 DangerousObject.Multi.Generic 22,56%
2 Trojan.WinLNK.StartPage.gena 17,05%
3 Trojan.Win32.Generic 15,06%
4 AdWare.Script.Generic 6,12%
5 WebToolbar.Win32.Agent.azm 4,49%
6 WebToolbar.JS.Condonit.a 4,20%
7 AdWare.Win32.Agent.heur 4,15%
8 RiskTool.Win32.BackupMyPC.a 3,83%
9 Downloader.Win32.Agent.bxib 3,74%
10 Trojan.Win32.AutoRun.gen 3,70%
11 Trojan.VBS.Agent.ue 3,64%
12 Downloader.Win32.MediaGet.elo 3,42%
13 AdWare.Win32.SearchProtect.ky 3,34%
14 Worm.VBS.Dinihou.r 3,31%
15 Virus.Win32.Sality.gen 3,18%
16 AdWare.Win32.DealPly.brj 2,86%
17 Trojan.Script.Generic 2,74%
18 AdWare.Win32.NewNext.a 2,70%
19 WebToolbar.JS.CroRi.b 2,66%
20 AdWare.MSIL.Kranet.heur 2,49%

*Veredictos de detección de los módulos OAS y ODS del antivirus, que fueron proporcionados por los usuarios de los productos de Kaspersky Lab que dieron su consentimiento para la transmisión de datos estadísticos.
**Porcentaje de usuarios únicos en cuyos ordenadores el antivirus detectó este objeto, del total de usuarios únicos de los productos de Kaspersky Lab y en los que ocurrió la detección.

Es tradición que en esta lista se enumeren los veredictos aplicados a los programas publicitarios y sus componentes (como por ejemplo Trojan.VBS.Agent.ue) y a los gusanos propagados en memorias extraíbles. Estos veredictos ocuparon 13 posiciones en la estadística.

Por primera vez entra a la lista (y de inmediato ocupa el segundo puesto) Trojan.WinLNK.StartPage.gena. Este veredicto se aplica a los ficheros LNK donde se indica un enlace para abrir el navegador y la página que debe abrirse. Estas páginas, como regla, tienen nombres similares a los de los sistemas de búsqueda, pero en realidad remiten al usuario a sitios de contenido dudoso. Algunos de estos sitios de destino pueden representar peligro y también pueden ser detectados por el antivirus web. Estos ficheros LNK se detectaron con particular frecuencia en enero.

El único representante de los virus, Virus.Win32.Sality.gen, sigue perdiendo posiciones. El porcentaje de equipos infectados por este virus se viene reduciendo desde hace un largo tiempo. En este trimestre Sality está en el puesto 15 con un índice del 3.18%.

Países en los que los ordenadores de los usuarios han estado bajo mayor riesgo de infección local

Para cada uno de los países hemos calculado qué porcentaje de usuarios de los productos de Kaspersky Lab se han topado con las reacciones del antivirus de ficheros durante el periodo que abarca el informe. La presente estadística refleja el nivel de infección de los ordenadores personales en diferentes países del mundo.

TOP 20 de países según su cantidad de ordenadores infectados

País* % de usuarios únicos**
1 Vietnam 60,68%
2 Bangladesh 60,20%
3 Mongolia 57,28%
4 Yemen 55,91%
5 Somalia 55,64%
6 Nepal 55,01%
7 Afganistán 54,91%
8 Argelia 54,83%
9 Irak 54,38%
10 Camboya 52,70%
11 Laos 52,54%
12 Armenia 52,44%
13 Pakistán 51,95%
14 Kazajistán 51,54%
15 Ruanda 51,36%
16 Etiopía 50,93%
17 Egipto 50,60%
18 Siria 50,11%
19 India 50,00%
20 Tayikistán 49,80%

La presente estadística contiene los veredictos de detección del módulo OAS y ODS del antivirus que proporcionaron los usuarios de los productos de Kaspersky Lab que dieron su consentimiento para el envío de datos estadísticos. Hemos tomado en cuenta los programas maliciosos encontrados directamente en los ordenadores de los usuarios o en las memorias extraíbles conectadas a éstos: memorias USB, tarjetas de memoria de cámaras, teléfonos y discos duros externos.
*En los cálculos hemos excluido a los países en los cuales la cantidad de usuarios de los productos de Kaspersky Lab es relativamente pequeña (menos de 10.000).
**Porcentaje de usuarios únicos en cuyos ordenadores se detectaron amenazas locales, de entre la cantidad total de usuarios de productos de Kaspersky Lab en el país.

Los países de África, Cercano Oriente y Asia Sudoriental ocupan establemente todas las posiciones de esta lista. Pero en este trimestre destacan Armenia (puesto 12), Kazajstán (puesto 14) y Tayikistán (puesto 20).

Vietnam (60,68%) lidera en esta lista durante casi dos años, mientras que Bangladesh (60,2%) y Mongolia (57,3%) conservan sus puestos desde hace tres trimestres seguidos.

En Rusia en el primer trimestre de 2015 se detectaron amenazas locales en los equipos del 49,6% de los usuarios.

Entre los países más seguros según el nivel de infección local tenemos: Japón (14,7%), Dinamarca (20,1%), Suecia (21,4%), Hong Kong (21,5%) y Finlandia (21,6%).

En promedio, en el mundo por lo menos una vez durante el trimestre se detectaron amenazas locales en el 39,8% de los equipos de los usuarios, un 2% más que en el segundo trimestre.

Desarrollo de las amenazas informáticas en el primer trimestre de 2015

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada