Boletín de seguridad de Kaspersky

Boletín de seguridad Kaspersky. Enero-junio de 2006. Programas maliciosos para plataformas diferentes a Win32

Esta sección del informe semestral está dedicada a los programas malintencionados y las vulnerabilidades de los sistemas operativos similares a Unix. Como, de hecho, Mac OS X es Unix, también será analizado en esta sección. En este momento Mac OS X representa un gran interés para los investigadores de seguridad informática, aún más que otros sistemas similares a Unix.

Principales resultados del primer semestre

Por una parte, Unix, de forma lenta pero segura, está recuperando el mercado que Windows le había quitado, tanto en el sector de servidores, como de los usuarios particulares. Pero Unix todavía está lejos de la popularidad que podría estimular a los autores de virus a producir el mismo número de programas maliciosos que existen para Win32. OS X puede llegar a ser el canal que conduzca a una cantidad cada vez mayor de usuarios a familiarizarse con sistemas similares a Unix, provocando que aumente el número de programas malintencionados.

El mismo hecho de que freebsd y mach sean el corazón de OS X hace posible que se implementen tecnologías de Unix.

Los resultados del primer semestre en términos de malware destinado a sistemas operativos similares a Unix se muestran en la siguiente tabla:


Número de programas malintencionados para sistemas operativos similares a Unix

El diagrama demuestra que el interés de los escritores de malware ha crecido respecto a OS X y ha experimentado un leve descenso respecto a los otros sistemas operativos similares a Unix.

Mac OSX

Aún antes de publicarse, Mac OS X para x86 ha acaparado la atención de los expertos en seguridad.


Este interés ha seguido creciendo después de que Apple anunciara que podría tomar la vía de los procesadores Intel, lo que llevaría a una búsqueda más activa de vulnerabilidades, tanto en el sistema operativo, como en las aplicaciones escritas para éste. Por ejemplo, más de una vez se han descubierto vulnerabilidades en el navegador web Safari, popular entre los usuarios de Mac.


Michale Lehn encontró una vulnerabilidad en Safari que permite ejecutar un código aleatorio desde un archivo zip.


Fulldisclosure, una lista de envíos que goza de gran autoridad, publicó ejemplos del código ejecutado aprovechando la vulnerabilidad de Safari. Cuando Safari cargue una página web infectada, el usuario verá el SRCOD (Spinning Rainbow Cursor of Death), algo así como “el cursor del arco iris giratorio de la muerte”. Y después, Safari colapsará.


Debemos hacer notar que otros navegadores populares, como FireFox, Opera e IE tienen los mismos problemas que Safari. No cesan de detectarse vulnerabilidades de diversa severidad en todos estos navegadores, y algunas pueden ser explotadas por troyanos escritos con ese propósito.


Pero Safari no es la única aplicación de OS X dónde se han encontrado errores. Apple ha publicado varias actualizaciones para OS X que eliminan las vulnerabilidades de diferentes aplicaciones.


Aún más, a principios de febrero apareció cierto número de “pruebas de concepto” de programas maliciosos para OS X.

  • Leap. Es un gusano para sistemas de mensajes instantáneos que apareció en febrero de 2006. El gusano se propagaba vía iChat, el cliente de mensajes instantáneos de OS X, y se enviaba a sí mismo a todos los contactos de la libreta de mensajes.


    Una ventana de diálogo aparece durante la propagación del gusano.

  • Inqtana. Este gusano, escrito en Java, apareció casi al mismo tiempo que Leap. Se propaga vía Bluetooth y usa una antigua vulnerabilidad (Bugtraq ID 13491), que fue publicada por primera vez en mayo de 2005.

Los dos programas son gusanos “prueba de concepto”: su existencia demuestra que es posible crear este tipo de programas. En el futuro, los usuarios podrían encontrarlos en el mundo real, por lo que los programadores de OS X deben estar alertas a los problemas de seguridad.

Linux


Ahora nos centraremos en sistemas Unix más tradicionales. Mientras las múltiples vulnerabilidades identificadas en el núcleo (kernel) de Linux están obligando a los programadores a hacer sonar las alarmas, el número de programas maliciosos para este sistema operativo, que es uno de los más populares entre los similares a Unix, ha experimentado un leve decrecimiento.

La aparición de otro virus multiplataforma, Virus.Multi.Bi también merece una mención. Ya se habían hecho intentos de crear este tipo de programas maliciosos, y este virus es sólo otra variante de un viejo tema. Otros virus como Virus.Multi.Etapux y Virus.Multi.Pelf entran en la misma categoría.

Estos tres virus (Virus.Multi.Bi, Virus.Multi.Etapux, y Virus.Multi.Pelf) son “pruebas de concepto”. Su principal objetivo es demostrar que es posible crear programas que pueden infectar sistemas Linux y Win32. En general, Unix es amenazado sobre todo por programas tipo “puerta trasera” y una serie de utilidades clasificadas como “hacktools”. La explicación es que los equipos Unix afectados se suelen usar como plataformas para ataques posteriores. Una vez que se captura una cuenta en un equipo Unix, puede usarse para ejecutar sniffers, ataques DoS y puertas traseras.

Un desglose de estos programas maliciosos se muestra en el siguiente diagrama.


Desglose de los programas maliciosos para Unix.

Tendencias y pronósticos

La evolución de los programas maliciosos refleja la evolución de la industria informática. La razón es que cuando se evalúa la seguridad de sistemas operativos diferentes a Windows, pocas personas pueden negar que no sólo es posible crear programas maliciosos para estas plataformas, sino que ya existe cierto número de tales programas. Es más, la integración de diferentes tecnologías fomenta a los usuarios maliciosos a buscar soluciones que sean capaces de funcionar en varias plataformas.


Las conclusiones que siguen están basadas en la información expuesta más arriba, y cubre dos campos principales de actividad.

  1. A medida que OS X vaya ganando popularidad, el número de ataques dirigidos a este sistema operativo y sus aplicaciones irá en incremento. Si OS X alcanza determinada “masa crítica”, los usuarios maliciosos aumentarán su interés en los equipos con OS X, lo que puede llevar a que aparezcan programas maliciosos para OS X en el mundo real.
  2. Otro blanco potencial es la plataforma de 64 bits. Por una parte, las nuevas tecnologías crean dificultades adicionales, pero la innovación es siempre una fuente de interés para los investigadores de seguridad “duros”. Debemos esperar ver programas maliciosos para sistemas operativos similares a Unix que funcionen con procesadores Intel de 64 bits.

Para terminar, debemos decir que un reducido número de programas maliciosos en cualquier entorno informático no significa que haya que tomar su seguridad a la ligera. Para terminar, ni Linux, ni OS X, ni ningún otro sistema operativo es en esencia más seguro que Windows, y los usuarios deben tomar las precauciones adecuadas, sin importar cuán seguros se sientan.

Boletín de seguridad Kaspersky. Enero-junio de 2006. Programas maliciosos para plataformas diferentes a Win32

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada