Informes sobre malware

Desarrollo de las amenazas informáticas en el primer trimestre de 2013

Números del trimestre

  • Según los datos de Kaspersky Security Network, en el primer trimestre de 2013 los productos de Kaspersky Lab han detectado y neutralizado más de 1.345.570.352 de objetos maliciosos.
  • Se han detectado 22.750 nuevas modificaciones de programas maliciosos para dispositivos móviles, cifra que representa más de la mitad del total de modificaciones detectadas en todo 2012.
  • El 40% de los exploits detectados en el primer trimestre usan las vulnerabilidades de los productos de la compañía Adobe.
  • Casi el 60% de todos los hosts maliciosos están ubicados en tres países: EE.UU., Rusia y Países Bajos.

Panorama de la situación

El primer trimestre de 2013 ha resultado muy rico en diferentes incidentes de seguridad informática. En este informe escribiremos sobre los más importantes.

Espionaje y armas cibernéticas

Red October

A principios de 2013 Kaspersky Lab publicó un largo informe con los resultados de la investigación de la operación global de espionaje cibernético que recibió el nombre de Red October. Los blancos de este ataque fueron diferentes estructuras gubernamentales, organizaciones diplomáticas y compañías en diferentes países. El análisis de los ficheros y la reconstrucción de los esquemas del ataque ocuparon varios meses, pero al final de esta laboriosa investigación hemos logrado poner al desnudo bastantes hechos curiosos.

Los ataques estuvieron activos durante los últimos cinco últimos años. La plataforma multifuncional usada por los delincuentes permite aplicar con celeridad nuevos módulos expandidos para recopilar información. Con el objetivo de controlar y gestionar los sistemas infectados crearon más de 60 diferentes nombres de dominio y varios servidores ubicados en hostings de diferentes países. La infraestructura de los servidores de administración es una cadena de servidores proxy.

Aparte de los blancos tradicionales (las estaciones de trabajo, Red October) es capaz de robar datos de diferentes dispositivos móviles, recopilar información de los dispositivos de red, recopilar ficheros de unidades USB; robar bases de datos de correo del almacén local de Outlook o de un servidor POP/IMAP remoto y extraer ficheros de los servidores FTP de la red.

MiniDuke

En febrero, la compañía FireEye publicó un análisis sobre un nuevo programa malicioso que se introducía en el sistema mediante una vulnerabilidad de día cero de Acrobat Reader (CVE-2013-0640). El exploit que aprovechaba esta vulnerabilidad fue el primer exploit capaz de evadir el sandbox de Acrobat Reader. Descargaba un backdoor cuya principal función era robar información del sistema infectado. Después de recibir ejemplares de este software malicioso para analizarlo, le dimos el nombre de “ItaDuke”.

Pasado cierto tiempo, detectamos varios otros incidentes similares que usaban la misma vulnerabilidad, pero los programas maliciosos eran ya otros. El programa malicioso usado por los delincuentes recibió el nombre de “MiniDuke”. Realizamos la investigación de estos incidentes en colaboración con la compañía húngara CrySys Lab. Entre las víctimas de MiniDuke había instituciones estatales de Ucrania, Bélgica, Portugal, Rumanía, República Checa e Irlanda; un fondo de investigación en Hungría, dos institutos de investigaciones científicas, dos centros de investigación científica y una institución médica de EE.UU. En total conseguimos detectar 59 víctimas en 23 países del mundo.

Una de las peculiaridades más curiosas de los ataques de MiniDuke era la combinación de un programa malicioso cuyo código estaba escrito usando técnicas no triviales y complejas de la “vieja escuela” con las tecnologías relativamente nuevas, pero ya conocidas por su efectividad, de explotación de las vulnerabilidades de Adobe Reader.

Los atacantes enviaban documentos PDF infectados con exploits para las versiones 9, 10 y 11 de Adobe Reader. Los documentos contenían información sobre un seminario de derechos humanos (ASEM), datos sobre la política externa de Ucrania y también sobre los planes de los países integrantes de la OTÁN.  Si el exploit funcionaba bien, se instalaba en el equipo de la víctima un sistema backdoor de sólo 20 KB único para cada sistema, escrito en Assembler.

En este ataque los delincuentes usaban Twitter: para recibir las direcciones del servidor de administración y después descargar nuevos módulos maliciosos, el backdoor buscaba twits especiales en cuentas creadas con anterioridad. Tan pronto como el sistema infectado establecía conexión con el servidor de administración, empezaba a recibir módulos cifrados (backdoors) integrados en ficheros GIF. Estos módulos tenían funcionalidades bastante triviales: podían copiar, cambiar de lugar y eliminar ficheros, crear directorios y descargar nuevos programas maliciosos.

APT1

En febrero, la compañía Mandiant publicó un informe PDF sobre los ataques de cierto grupo de hackers chinos denominado APT1. El término APT (Advanced Persistent Threat) sigue estando en la memoria de todos. A veces se lo usa para describir amenazas o ataques que se pueden denominar “avanzados” sólo haciendo un gran esfuerzo. Pero en el caso de los ataques del grupo APT1 esta definición es más que oportuna: la campaña desarrollada por los hackers chinos era de gran envergadura y seriedad.

En el principio del informe Mandiant declara que APT1 podría ser una de las subdivisiones del ejército chino. La compañía incluso cita la posible dirección física de la subdivisión y hace suposiciones sobre su número de efectivos y la infraestructura que usan. Mandiant supone que el grupo APT1 está funcionando desde 2006 y en 6 años ha logrado robar terabytes de datos, como mínimo de 141 organizaciones. La mayor parte de las organizaciones afectadas están ubicadas en países angloparlantes. Sin duda, ataques de semejantes dimensiones serían imposibles sin el apoyo de cientos de personas y sin una infraestructura desarrollada y moderna.

Esta no es la primera vez que en diferentes niveles se acusa a China de realizar ataques cibernéticos contra los órganos gubernamentales y organizaciones de diferentes países. No hay nada sorprendente en el hecho de que el gobierno chino haya rechazado de una forma bastante brusca todas las suposiciones de la compañía Mandiant.

Hacemos hincapié en que hasta el presente ningún país ha asumido la responsabilidad de ningún ataque de espionaje cibernético o no lo ha confesado, aún bajo la presión de la sociedad y de la existencia de pruebas de peso.

TeamSpy

En marzo de 2013 se publicó una información sobre otro complejo ataque cuyos objetivos eran políticos del más alto nivel y luchadores por los derechos humanos en los países de la Comunidad de Estados Independientes y Europa del Este. La operación recibió el nombre de “TeamSpy“, porque para controlar los equipos de las víctimas los atacantes usaban el programa TeamViewer, destinado a la administración remota. El principal objetivo de los atacantes era recopilar información en el equipo del usuario, empezando desde la toma de capturas de pantalla y terminando con la copia de ficheros con extensión .pgp, entre ellos contraseñas y llaves de cifrado.

A pesar de que el conjunto de instrumentos usado durante la operación TeamSpy y en general la operación en sí aparenta ser menos sofisticada y profesional que la operación Red October, los ataques de TeamSpy tuvieron éxito.

Stuxnet 0.5

Este tipo de incidentes, cuya investigación lleva varios meses de esforzado trabajo, no son muy frecuentes en la industria antivirus. Y son aún menos frecuentes los sucesos que despiertan un interés que no se apaga ni siquiera después de tres años, como los provocados por Stuxnet. A pesar de que muchas compañías antivirus investigaron este gusano, todavía quedan muchos módulos que se han estudiado poco o nada en absoluto. Tampoco hay que olvidar que Stuxnet tuvo varias versiones, la más temprana de las cuales apareció en 2009. Los expertos expresaron en varias ocasiones la suposición de que existieron (o existen) versiones más tempranas del gusano, pero hasta ese momento nadie había obtenido pruebas.

Pero por fin se confirmaron estas suposiciones. A finales de febrero la compañía Symantec publicó una investigación sobre la nueva “antigua” versión del gusano: Stuxnet 0.5. Esta versión resultó ser la más temprana de las modificaciones conocidas de Stuxnet: estuvo activa entre 2007 y 2009. Además, esta versión posee características muy curiosas:

  • En primer lugar, se creó en la misma plataforma que Flame, y no en la Tilded, como las siguientes modificaciones de Stuxnet.
  • En segundo lugar, el gusano se propagaba mediante ficheros infectados creados con la ayuda del software Simatic Step 7 y no contenía ningún exploit para los productos de Microsoft.
  • En tercer lugar, Stuxnet 0.5 dejó de propagarse después del 4 de julio de 2009.
  • Y finalmente, es precisamente en Stuxnet 0.5 donde está presente la implementación completa de trabajo con el PLC Siemens 417 (en las siguientes versiones del gusano esta funcionalidad no estaba completa).

Los resultados de la investigación de la versión Stuxnet 0.5 complementaron la información sobre este programa malicioso. Lo más probable es que esta información siga complementándose en el futuro. Lo mismo se puede decir de los ejemplares de armamento cibernético o medios de espionaje cibernético descubiertos después de Stuxnet: no sabemos, ni remotamente, todo sobre ellos.

Ataques selectivos

Ataques contra los activistas tibetanos y uigures

En el primer trimestre de 2013 han continuado los ataques selectivos contra los activistas tibetanos y uigures. Para conseguir sus objetivos los atacantes usaron todo tipo de medios: se atacó a los usuarios de Mac OS X, Windows y Android.

En enero-febrero nuestra compañía detectó un aumento significante de la cantidad de ataques contra los uigures usuarios de Mac OS X. Todos estos ataques usaron la vulnerabilidad CVE-2009-0563, que la compañía Microsoft cerró hace casi 4 años. El exploit para esta vulnerabilidad se enviaba en documentos de MS Office que son fáciles de reconocer gracias a que el autor que se indica en las propiedades era “captain”. Si el exploit se ejecutaba con éxito, descargaba un backdoor para Mac OS X en forma de fichero Mach-O. Se trata de un pequeño backdoor que tiene funcionalidades muy limitadas: Instala otro backdoor y un programa para robar datos personales (contactos).

También a mediados de marzo de 2013 se registraron ataques contra los mismos activistas tibetanos. Esta vez los atacantes utilizaron el exploit CVE-2013-0640 mencionado más arriba (usado anteriormente en los ataques ItaDuke) para evadir el sandbox de Acrobat Reader X e infectar los equipos.

A finales de marzo de 2013 los usuarios de dispositivos Android también se sumaron a esta ola. Después de que el correo electrónico de un conocido activista tibetano fuese hackeado, se empezó a enviar en su nombre mensajes con adjuntos que contenían un fichero APK, que en realidad era un programa malicioso para Android (los productos de Kaspersky Lab lo detectan como Backdoor.AndroidOS.Chuli.a).  El programa malicioso notifica, en secreto, el éxito de la infección al servidor de administración, para después empezar a recopilar la información contenida en el dispositivo: contactos, registros de llamadas, mensajes SMS, datos GPS, información sobre el dispositivo, etc. Después el programa cifra los datos robados mediante el sistema Base64 y los envía al servidor de administración. La investigación del servidor de administración que llevamos a cabo indica al menos que los atacantes hablaban chino.

A los pocos días de la publicación de los resultados de nuestra investigación la organización The Citizen Lab publicó los materiales de su propia investigación del incidente.  El blanco del ataque eran personas que de una forma u otra estaban relacionadas con el Tíbet y los activistas tibetanos, y el programa malicioso usado tenía funcionalidades similares (robo de información personal), pero era una versión infectada del mensajero instantáneo Kakao Talk.

Hacking corporate networks

El primer trimestre resultó, por desgracia, rico en hackeos de infraestructuras corporativas y de fuga de contraseñas. Entre las compañías afectadas estaban Apple, Facebook, Twitter, Evernote y otras.

A principios de febrero Twitter declaró oficialmente que los delincuentes lograron robar los datos (entre ellos los hashes de contraseñas) de 250.000 usuarios de la red social. Dos semanas después, Facebook anunció en su blog que los equipos de varios de sus empleados se habían contagiado mediante exploits al visitar un sitio para desarrolladores móviles. La compañía declaró que no se trataba de un ataque común y corriente, sino de uno selectivo cuya tarea era irrumpir en la red corporativa de Facebook. Por suerte, según los representantes de la compañía, Facebook logró evitar la fuga de información perteneciente a los usuarios.

Unos días después la corporación Apple declaró que varios de sus empleados habían sufrido un ataque similar al visitar un sitio para desarrolladores móviles.  Según la información de Apple, no hubo ninguna fuga de datos.

A principios de marzo la compañía Evernote declaró que se anularían 50 millones de contraseñas para proteger los datos de los usuarios. Evernote se vio obligada a tomar esta decisión debido al hackeo de su red interna y los intentos de los delincuentes por obtener acceso a los datos allí almacenados.

En 2011 fuimos testigos de hackeos masivos de las redes de diferentes compañías y la fuga masiva de datos de los usuarios. A algunos les podría parecer que estos ataques habían desaparecido, pero no es así:  los delincuentes siguen interesados en hackear grandes compañías y obtener datos confidenciales (entre ellos de los usuarios).

Malware móvil

En febrero de 2013 publicamos un informe dedicado al desarrollo que en 2012 tuvieron las amenazas para smartphones, tabletas y demás dispositivos móviles. Según nuestros datos, en 2012 Android se convirtió en el principal blanco de los escritores de virus y la cantidad de amenazas creció impetuosamente durante el año. ¿Siguió creciendo la cantidad de malware móvil en el primer trimestre de 2013? Sin lugar a dudas.

Un poco de estadística

Enero, según la tradición, es un mes de calma entre los escritores de virus para dispositivos móviles: aparecieron “sólo” 1.263 nuevas variantes. Pero durante los dos meses siguientes descubrimos más de 20.000 nuevos programas maliciosos para dispositivos móviles. En febrero se descubrió 12.044 modificaciones de malware móvil y en marzo, 9.443. En comparación, en todo 2012 descubrimos 40.059 muestras de programas maliciosos para dispositivos móviles.

Los troyanos SMS, que envían mensajes de texto a números cortos de pago, siguen siendo la categoría más difundida de malware móvil: son responsables del 63,6% de los ataques.

El 99,9% del nuevo malware móvil detectado tiene como blanco a Android.

Según los datos de KSN, el TOP 20 del malware móvil y de programas potencialmente indeseables para Android más popular entre los delincuentes es el siguiente:

 

    Puesto     Nombre     % del total de ataques*
 1  Trojan-SMS.AndroidOS.FakeInst.a  29,45%
 2  Trojan.AndroidOS.Plangton.a  18,78%
 3  Trojan-SMS.AndroidOS.Opfake.a  12,23%
 4  Trojan-SMS.AndroidOS.Opfake.bo  11,49%
 5  Trojan-SMS.AndroidOS.Agent.a  3,43%
 6  Trojan-SMS.AndroidOS.Agent.u  2,54%
 7  RiskTool.AndroidOS.AveaSMS.a  1,79%
 8  Monitor.AndroidOS.Walien.a  1,60%
 9  Trojan-SMS.AndroidOS.FakeInst.ei  1,24%
 10  Trojan-SMS.AndroidOS.Agent.aq  1,10%
 11  Trojan-SMS.AndroidOS.Agent.ay  1,08%
 12  Trojan.AndroidOS.Fakerun.a  0,78%
 13  Monitor.AndroidOS.Trackplus.a  0,75%
 14  Adware.AndroidOS.Copycat.a  0,69%
 15  Trojan-Downloader.AndroidOS.Fav.a  0,66%
 16  Trojan-SMS.AndroidOS.FakeInst.ee  0,55%
 17  HackTool.AndroidOS.Penetho.a  0,54%
 18  RiskTool.AndroidOS.SMSreg.b  0,52%
 19  Trojan-SMS.AndroidOS.Agent.aa  0,48%
 20  HackTool.AndroidOS.FaceNiff.a  0,43%

 

 

El primer puesto lo ocupa Trojan-SMS.AndroidOS.FakeInst.a (29,45%). Este programa malicioso tiene como blanco principal a los usuarios de habla rusa que tratan de descargar software para sus dispositivos Android desde sitios dudosos. Con frecuencia, los delincuentes propagan programas maliciosos en estos sitios bajo el aspecto de software útil.

El segundo puesto lo ocupa el troyano publicitario Trojan.AndroidOS.Plangton.a (18,78%). El área principal de su distribución son los países europeos, donde los desarrolladores de software libre lo usan para monetizar sus productos mediante visualización de publicidad.

El tercer y cuarto puesto lo ocupan troyanos SMS de la familia Opfake: Trojan-SMS.AndroidOS.Opfake.a (12,23%) y Trojan-SMS.AndroidOS.Opfake.bo (11,49%). Las primeras modificaciones de malware de la familia Opfake se camuflaban como una nueva versión del popular navegador Opera. Pero ahora los programas maliciosos de esta familia se hacen pasar por diferentes nuevas versiones de software popular (Skype, Angry Birds, etc.).

Incidentes

En el segmento móvil, entre los incidentes virales más interesantes del primer trimestre de 2013, queremos detenernos en dos:

  • Un nuevo programa malicioso llamado Perkele o Perkel, que se dedica a la caza de mTAN,
  • La botnet MTK.

Sobre otro incidente importante, los ataques selectivos contra los usuarios de Android, ya hemos escrito más arriba.

Perkel

En la primera quincena de marzo el famoso periodista Brian Krebs descubrió en los foros clandestinos rusos información sobre un nuevo troyano bancario para dispositivos móviles, supuestamente dirigido a los usuarios de 69 países y que ya había infectado una gran cantidad de dispositivos en todo el mundo. Krebs supuso que este troyano fue creado por escritores de virus de habla rusa, ya que el conjunto de instrumentos para su creación se difunde mediante foros rusoparlantes.

Sin lugar a dudas, estas noticias también captan la atención de los especialistas de las compañías antivirus, pero hasta determinado momento nadie contaba con muestras del malware.

Unos días después se descubrieron las primeras modificaciones de Perkel. Después de analizarlas, descubrimos que se trataba de un nuevo programa que pertenecía al grupo de malware cuyo principal objetivo es robar los SMS que contienen mTAN. Las funcionalidades de Perkel son comunes a los programas de este grupo, pero con dos excepciones:

  1. Para comunicarse con el centro de administración y enviar la información robada (aparte de los SMS con mTAN el programa también recopila información sobre el dispositivo en sí) Perkel, como regla, no usa SMS, sino HTTP.
  2. El programa malicioso es capaz de autorenovarse, descargando nuevas copias de sí mismo desde un servidor remoto.

La botnet MTK

A mediados de enero aparecieron noticias sobre la existencia de una botnet millonaria, creada con dispositivos Android en su mayoría pertenecientes a usuarios chinos. Resultó que el responsable de la botnet es un programa malicioso propagado en China (Kaspersky Lab la detecta como Trojan.AndroidOS.MTK). Se propaga mediante tiendas extraoficiales de apps, junto con juegos populares hackeados. Además de robar información sobre el smartphone y los contactos y mensajes del usuario, el malware de esta familia aumenta ilícitamente el rating de diferentes aplicaciones. Para esto, los troyanos descargan e instalan en secreto aplicaciones en el dispositivo móvil de la víctima y también le ponen la máxima calificación al software en el sitio de la tienda. Después, envían información sobre las acciones ejecutadas al servidor remoto. Las aplicaciones para Android están en constante aumento y con frecuencia les es difícil ganarse popularidad entre los usuarios. Es justo por esta razón que los métodos ilegítimos de aumentar la popularidad se difunden cada vez más.

Revocación de los certificados TurkTrust

En el primer trimestre de 2013 tuvo lugar otro incidente con los certificados de raíz. Las compañías Microsoft, Mozilla y Google anunciaron al mismo tiempo la revocación de dos certificados de raíz del centro de certificación TurkTrust en las bases de datos que forman parte de sus navegadores de Internet.

Resultó que, en agosto del año anterior, el centro de certificación TurkTrust expidió a dos organizaciones certificados secundarios de raíz en vez de los certificados SSL comunes y corrientes. Los primeros se pueden utilizar para crear certificados SSL para cualquier recurso web en Internet y los navegadores de los visitantes los tomarán como si fueran dignos de confianza.

En diciembre, la corporación Google descubrió que uno de los certificados SSl expedidos en nombre del servicio TurkTrust para *.google.com se había usado en ataques del tipo “man-in-the-middle” (persona en el medio). Por supuesto, el ataque a los servicios de Google no es óbice para que otros certificados expedidos de la misma forma puedan utilizarse en ataques contra otras compañías.

Otro incidente serio relacionado con los certificados de raíz y la confianza que se les tiene demostró que el problema del uso malicioso de certificados legales sigue estando a la orden del día. Pero por el momento el uso malicioso de estos certificados se establece sólo después del ataque, porque todavía no existen métodos efectivos de evitar incidentes similares.

Datos estadísticos

Todos los datos estadísticos mencionados en el presente informe se obtuvieron a través de la red antivirus Kaspersky Security Network (KSN) compuesta de varios dispositivos antivirus. Estos datos provienen de usuarios de KSN que han aceptado proporcionarlos. Son millones los usuarios de los productos de Kaspersky Lab en 213 países y territorios que participan de este intercambio mundial de información sobre las actividades de programas maliciosos.

Amenazas en Internet

Los datos estadísticos que se presentan en este capítulo se obtuvieron mediante el componente Antivirus Internet que protege a los usuarios cuando intentan descargar un código malicioso desde un sitio infectado. Este sitio infectado puede pertenecer a ciberdelincuentes, o su contenido puede provenir de usuarios (como en los foros), o tratarse de un recurso legítimo comprometido.

Objetos detectados en Internet

En el primer trimestre de 2013, las soluciones de Kaspersky Lab neutralizaron 821.379.647 ataques lanzados desde recursos en Internet en distintos países.

Top 20 de los objetos detectados en Internet

 

    Categoría     Nombre*     % del total de ataques****
 1  Malicious URL  91,44%
 2  Trojan.Script.Generic  2,79%
 3  AdWare.Win32.Bromngr.b  1,91%
 4  Trojan.Script.Iframer  0,73%
 5  Exploit.Script.Blocker  0,70%
 6  Trojan.JS.Redirector.xa  0,33%
 7  Hoax.SWF.FakeAntivirus.i  0,22%
 8  Trojan.Win32.Generic  0,17%
 9  AdWare.Win32.MegaSearch.am  0,13%
 10  Trojan-Downloader.Win32.Generic  0,09%
 11  Exploit.Script.Blocker.u  0,07%
 12  AdWare.Win32.IBryte.heur  0,05%
 13  Exploit.JS.Retkid.a  0,05%
 14  Exploit.Script.Generic  0,05%
 15  Hoax.HTML.FraudLoad.i  0,04%
 16  Exploit.Win32.CVE-2011-3402.c  0,04%
 17  Packed.Multi.MultiPacked.gen  0,04%
 18  Trojan-Clicker.HTML.Agent.bt  0,04%
 19  WebToolbar.Win32.BetterInstaller.gen  0,03%
 20  Trojan.JS.Redirector.xb  0,03%

 

 

* Veredictos detectados en el módulo Antivirus Internet. Información proporcionada por los usuarios de los productos de Kaspersky Labque han aceptado hacerlo.**Porcentaje del total de ataques por Internet registrados en los ordenadores de usuarios únicos.

El primer lugar del Top 20 de los objetos detectados le pertenece una vez más a los enlaces maliciosos de la lista de rechazados. Respecto al último trimestre de 2012, su participación ha aumentado en un 0,5%, representando el 91,4% del total de las detecciones del módulo Antivirus Internet. Cabe señalar que el uso de los recursos de la red KSN para actualizar los ordenadores de los usuarios a través de la nube nos ha permitido neutralizar el 6,6% de los enlaces maliciosos. Los enlaces conducían a sitios, comprometidos o creados recientemente por ciberdelincuentes, a los que los usuarios intentaban acceder.

El Top 5 de los objetos detectados comprenden una vez más los veredictos Trojan.Script.Generic (segundo lugar) y Trojan.Script.Iframer (cuarto lugar). Estos objetos maliciosos se bloquean cuando se intenta lanzar ataques por descarga al paso, que es uno de los métodos de infección de ordenadores más populares.

Ya son varios meses que Hoax.HTML.FraudLoad.i figura en el Top 20. Este trimestre ocupa el 15œ lugar. Esta amenaza se cierne en especial sobre los usuarios que suelen descargar películas, series o aplicaciones desde recursos dudosos.  Las páginas desde las que los usuarios descargan los contenidos que buscan se detectan con el nombre de Hoax.HTML.FraudLoad. Antes de acceder a estas páginas, deben enviar un SMS de pago y proporcionar su número de móvil para suscribirse al abono. Si el usuario sigue las instrucciones, en lugar del contenido deseado, recibirá un archivo de texto en el que se le explica cómo usar los motores de búsqueda, o bien un programa malicioso, en el peor de los casos.

El código de explotación Exploit.Win32.CVE-2011-3402.c retrocedió a la 16? posición. Explota una vulnerabilidad en la biblioteca win32k.sys (TrueType Font Parsing Vulnerability). Recordemos que se trata de la misma vulnerabilidad que permitió la propagación de Duqu.

Top 20 de países cuyos recursos alojan programas maliciosos

Estos datos estadísticos se refieren a los países en los que se encuentran físicamente los sitios desde donde se descargan los programas maliciosos. Para definir la fuente geográfica de los ataques en Internet, hemos recurrido a una técnica de comparación entre el nombre de dominio y la dirección IP auténtica en la que se encuentra este dominio, y la definición de la locación geográfica de esta dirección IP (GEOIP).

El 81% de estos sitios Internet usados para la propagación de programas maliciosos se distribuye entre 10 países. Este índice ha disminuido en un 5% en los últimos 6 meses: en un 3% en el primer trimestre de 2013 y en un 2% en el último trimestre de 2012.


Clasificación por país de sitios Internet que alojan programas maliciosos. Primer trimestre de 2013

Rusia (19 %, -6 %) y EE.UU. (25 %, +3 %), han vuelto a intercambiar posiciones en la clasificación, por lo que EE.UU. ha recuperado la primera posición. En relación al último trimestre de 2012, la posición de los otros países casi no ha sufrido cambios.

Países cuyos internautas han estado más expuestos a riesgos de infecciones en Internet

Para evaluar el riesgo de infecciones en Internet al que se exponen los ordenadores de los usuarios en diferentes países, hemos calculado la frecuencia de detecciones del módulo Antivirus Internet en los usuarios de los productos de Kaspersky Lab en cada uno de los países en el transcurso del trimestre.


Top 20 de países en los que el riesgo de infecciones en Internet es más alto**. Primer trimestre de 2013

*A efecto de los cálculos, hemos excluido a los países en los que la cantidad de usuarios de los productos de Kaspersky Lab es inferior a 10.000.**Porcentaje de usuarios únicos que han sufrido ataques en Internet en relación al total de usuarios únicos de productos de Kaspersky Lab en el país.

En relación al último trimestre de 2012, los 10 primeros países cuyos habitantes suelen enfrentarse a programas maliciosos no han cambiado apenas: se trata principalmente de países de la ex Unión Soviética. Rusia ocupa la 3? posición con el 57%. Por el contrario, se observan modificaciones entre la 11? y la 20? posiciones: en el primer trimestre de 2013, Túnez (43,1 %) y Argelia (39 %) debutaron en la clasificación. El único país de Europa occidental presente en el Top 20 es Italia (39,9 %, 16?  posición).

Podemos distribuir estos países en varios grupos.

  1. Grupo de máximo riesgo. Países en los que más del 60% de sus usuarios se han enfrentado al menos una vez a programas maliciosos en Internet. En el primer trimestre de 2013, en este grupo sólo figuraba Tayikistán con el 60,4%.
  2. Grupo de alto riesgo. En este grupo, el índice de riesgo está entre el 41% y el 60%, y lo conforman 13 países del Top 20 (la misma cantidad que en el último trimestre de 2012). Salvo Vietnam, Túnez y Sri Lanka que cierran la lista, aparecen únicamente países de la ex Unión Soviética: Armenia (59,5 %), Rusia (57 %), Kazajistán (56,8 %), Azerbaiyán (56,7 %), Bielorrusia (49,9 %) y Ucrania (49%).
  3. Grupo de riesgo. En este grupo, el riesgo está entre el 21% y el 40%, y comprende 102 países, entre los que están Italia (39,9%), Alemania (35,8 %), Bélgica (33,8 %), Sudán (33,1%), España (32,5 %), Qatar (31,9 %), EE.UU. (31,6%), Irlanda (31,5%), Inglaterra (30,2 %), Emiratos Árabes Unidos (28,7 %) y Holanda (26,9 %).
  4. Grupo de países más seguros para navegar en Internet. En el primer trimestre de 2013, este grupo comprendía 28 países cuyo índice de seguridad estaba entre el 12,5% y el 21%. El porcentaje más bajo (menos del 20%) de usuarios víctimas de ataques mientras navegan en Internet se registra en África, donde Internet no se ha desarrollado del todo. Las excepciones son Japón (15,6 %) y Eslovaquia (19,9 %).


Riesgo de infecciones en los ordenadores de usuarios en Internet en varios países. Primer trimestre de 2013

En promedio, el 39,1% de los ordenadores de los participantes de KSN han sido víctimas de un ataque mientras navegaban en Internet durante el trimestre. Cabe señalar que la proporción de ordenadores atacados en relación al último trimestre de 2012 ha disminuido en un 1,5 %.

Amenazas locales

Esta sección está dedicada al análisis de los datos estadísticos obtenidos a partir del funcionamiento del antivirus que analiza los archivos en el disco en el momento de su creación o cuando se los modifica, así como de los resultados del análisis de varias unidades de disco fijas.

Objetos descubiertos en los ordenadores

En el primer trimestre de 2013, nuestras solucione antivirus bloquearon 490.966.403 intentos de infecciones locales en los ordenadores usados por los miembros de la red KSN.

TOP 20 Objetos descubiertos en los ordenadores

 

    Categoría     Nombre     % de usuarios únicos atacados*
 1  DangerousObject.Multi.Generic  18,51%
 2  Trojan.Win32.Generic  16,04%
 3  Trojan.Win32.AutoRun.gen  13,60%
 4  Virus.Win32.Sality.gen  8,43%
 5  Exploit.Win32.CVE-2010-2568.gen  6,93%
 6  Trojan.Win32.Starter.yy  5,11%
 7  Net-Worm.Win32.Kido.ih  3,46%
 8  HiddenObject.Multi.Generic  3,25%
 9  Trojan.Win32.Hosts2.gen  3,17%
 10  Virus.Win32.Nimnul.a  3,13%
 11  Virus.Win32.Generic  3,09%
 12  Net-Worm.Win32.Kido.ir  2,85%
 13  Trojan.Script.Generic  2,54%
 14  AdWare.Win32.Bromngr.b  2,51%
 15  Exploit.Java.CVE-2012-1723.gen  2,38%
 16  Trojan.Win32.Starter.lgb  2,38%
 17  Trojan-Downloader.Win32.Generic  2,13%
 18  AdWare.Win32.Bromngr.h  2,11%
 19  Hoax.Win32.ArchSMS.gen  2,09%
 20  Trojan-Dropper.VBS.Agent.bp  1,97%

 

 

Estos datos estadísticos son los veredictos detectados por los módulos OAS y ODS del antivirus y proporcionados por los usuarios de los productos de Kaspersky Lab que han aceptado hacerlo. *Porcentaje de usuarios únicos de los ordenadores en los que el Antivirus detectó el objeto en cuestión, en relación al total de usuarios únicos de los productos de Kaspersky Lab en cuyos equipos hizo las detecciones el Antivirus.

Al igual que el trimestre anterior, tres veredictos encabezan esta categoría con una gran ventaja sobre los demás.

Los programas maliciosos DangerousObject.Multi.Generic, detectados mediante tecnologías en nube, alcanzaron el primer lugar en el primer trimestre de 2013 con el 18,51 %, es decir con un aumento del 1,8% en relación al último trimestre de 2012. Las tecnologías en nube intervienen cuando las bases de datos antivirus todavía no contienen las definiciones y cuando no es posible detectar el programa malicioso mediante el método heurístico; sin embargo, Kaspersky Lab ya dispone en la nube de información relacionada con este objeto. En general, se han detectado así los programas maliciosos más modernos.

Trojan.Win32.Generic (16%), que se sitúa en la segunda posición, es un veredicto obtenido mediante análisis heurístico durante la detección proactiva de una multitud de programas maliciosos. Trojan.Win32.AutoRun.gen (13,6%) se posiciona en el tercer lugar. Esta denominación se refiere a los programas maliciosos que usan el lanzamiento automático.

Los programas publicitarios, o adware, de la familia AdWare.Win32.Bromngr ya ocupaban la 8? posición en el último trimestre de 2012; en el primer trimestre de 2013 ocuparon la segunda posición del Top 20. Todas las modificaciones en estos programas publicitarios son bibliotecas DLL que son extensiones para los navegadores más comunes (Internet Explorer, Mozilla Firefox, Google Chrome). Como la gran mayoría de programas similares, este módulo modifica los parámetros de búsqueda del usuario, la página de inicio y muestra regularmente ventanas con publicidad contextual.

Países en los que los ordenadores de los usuarios estuvieron más expuestos al riesgo de infecciones locales

Estos datos muestran el índice promedio de infecciones en los ordenadores de uno u otro país. Al menos uno de cada tres ordenadores (31,4 %) de los usuarios de KSN que nos han proporcionado estos datos contenía un archivo malicioso, ya sea en el disco duro o en un disco portátil conectado. Sin embargo, esta cifra es un 0,8% menor que la del trimestre anterior.


Top 20 de países* según el nivel de infección en los ordenadores**. Primer trimestre de 2013

*A efecto de los cálculos, hemos excluido a los países en los que la cantidad de usuarios de los productos de Kaspersky Lab es inferior a 10.000.**Porcentaje de usuarios únicos de los ordenadores en los que se bloquearon amenazas locales en relación al total de los usuarios únicos de productos de Kaspersky Lab en el país.

Por cuarto trimestre consecutivo, los 20 primeros lugares de la clasificación los ocupan países de África, Oriente Próximo y sudeste asiático. En Bangladesh, país que encabeza la clasificación, la proporción de ordenadores que presentaron un código malicioso ha vuelto a decaer, esta vez en un 11,8 %, y es del 67,8%. (Al final del tercer trimestre de 2012, este índice era del 90,9%).

En el caso de las infecciones locales, también podemos agrupar los países por su nivel de infección:

  1. Nivel máximo de infección (más del 60%): al final del primer trimestre de 2013, este grupo sólo comprendía dos países: Bangladesh (67,8 %) y Vietnam (60,2 %).
  2. Nivel alto de infección (41 a 60 %): 41 países, entre ellos Iraq (50,9 %)), Siria (45,5 %), Myanmar (44,5 %), Angola (42,3 %) y Armenia (41,4 %).
  3. Nivel medio de infección (21 a 40 %): 60 países, entre ellos China (37,6 %), Qatar (34,6 %), Rusia (34,3 %), Ucrania (33,6 %), Croacia (26,1 %), España (26%), Italia (23,8 %), Francia (23,4 %) y Chipre (23,3 %).
  4. Nivel medio de infección (hasta el 21%): 31 países, entre ellos Bélgica (19,3 %), EE.UU. (19%), Gran Bretaña (18,6 %), Australia (17,5 %), Alemania (17,7 %), Estonia (17,8 %), Holanda (16,2 %), Suecia (14,6 %), Dinamarca (12,1 %) y Japón (9,1 %).


Riesgo de infecciones locales en los ordenadores de usuarios en varios países. Primer trimestre de 2013

Este es el Top 10 de los países más seguros en cuanto a infecciones locales

 

    Japón     9,10%
 Dinamarca  12,10%
 Finlandia  13,60%
 Suecia  14,60%
 República Checa  14,80%
 Suiza  15,10%
 Irlanda  15,20%
 Países bajos  16,20%
 Nueva Zelandia  16,60%
 Noruega  16,80%

 

 

En relación al último trimestre de 2012, esta lista incluye dos nuevos países, Holanda y Noruega, que reemplazan a Luxemburgo y Puerto Rico.

Vulnerabilidades

En el primer trimestre de 2013, se registraron 30.901.713 aplicaciones y archivos vulnerables en los ordenadores de usuarios miembros de la red KSN. Hemos descubierto un promedio de 8 vulnerabilidades distintas por cada ordenador vulnerable.

Esta tabla muestra las 10 vulnerabilidades más propagadas.

 

    №    Secunia ID – Unique vulnerability number     Nombre    Consecuencias de la explotación % de ordenadores de usuarios en cuyos equipos se detectó una vulnerabilidad* Fecha de publicación Nivel de riesgo
    1  SA 50949  Oracle Java Multiple Vulnerabilities Ataque DoS, Acceso al sistema, Publicación de datos confidenciales, Manipulación de datos  45,26%  17.10.2012  Altamente crítico
    2  SA 51771  Adobe Flash Player / AIR Integer Overflow Vulnerability Acceso al sistema  22,77%  08.01.2013  Altamente crítico
    3  SA 51090  es Adobe Shockwave Player Multiple Vulnerabiliti Acceso al sistema  18,19%  24.10.2012  Altamente crítico
    4  SA 51280  Oracle Java Two Code Execution Vulnerabilities Acceso al sistema  17,15%  10.01.2013  Extremadamente crítico
    5  SA 47133  Adobe Reader/Acrobat Multiple Vulnerabilities Acceso al sistema  16,32%  07.12.2011  Extremadamente crítico
    6  SA 51692  VLC Media Player HTML Subtitle Parsing Buffer Overflow Vulnerabilities Acceso al sistema  14,58%  28.12.2012  Altamente crítico
    7  SA 51226  Apple QuickTime Multiple Vulnerabilities Acceso al sistema  14,16%  08.11.2012  Altamente crítico
    8  SA 43853  Google Picasa Insecure Library Loading Vulnerability Acceso al sistema  12,85%  25.03.2011  Altamente crítico
    9  SA 46624  Winamp AVI / IT File Processing Vulnerabilities Acceso al sistema  11,30%  03.08.2012  Altamente crítico
    10  SA 41917  Adobe Flash Player Multiple Vulnerabilities Ataque DoS, Acceso al sistema, Publicación de datos confidenciales, Evasión del sistema de seguridad  11,21%  28.10.2010  Extremadamente crítico

 

*Para el 100% de los usuarios cuyos ordenadores presentaban al menos una vulnerabilidad.

Las vulnerabilidades más propagadas tienen que ver con Java. Se han detectado en más del 45,26% de los ordenadores. Al final de la clasificación encontramos una vulnerabilidad en Adobe Flash Player muy antigua pero muy peligrosa. Aunque la detección de esta vulnerabilidad data de octubre de 2010, siempre se ha detectado en más del 11,21 % de los ordenadores vulnerables.

Los cinco primeros lugares pertenecen a vulnerabilidades para Oracle y Adobe, y como ya hemos señalado, la vulnerabilidad que se encuentra en la última posición también está relacionada con Adobe. De la 6? a la 9? posiciones, encontramos vulnerabilidades en las aplicaciones más utilizadas de diversos editores.


Desarrolladores de programas con vulnerabilidades del Top 10. Primer trimestre de 2013

La explotación de cualquier vulnerabilidad del Top 10 implica que se ejecute un código aleatorio en el sistema.


Clasificación del Top 10 de vulnerabilidades por tipo de efecto en el sistema. Primer trimestre de 2013

Este tipo de vulnerabilidades siempre ha gozado de la preferencia de los ciberdelincuentes y los códigos de explotación asociados cuestan más que los demás en el mercado negro.

Desarrollo de las amenazas informáticas en el primer trimestre de 2013

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada