Informes sobre malware

Desarrollo de las amenazas informáticas en el segundo trimestre de 2012

Números del trimestre

  • Según los datos de Kaspersky Security Network, en el segundo trimestre de 2012 los productos de Kaspersky Lab han detectado y neutralizado más de mil millones de objetos maliciosos.
  • Se ha registrado la propagación de programas maliciosos en 89,5 millones de URLs.
  • Se han detectado 14.900 ficheros de programas maliciosos para Android.

Panorama de la situación

Programas maliciosos para dispositivos móviles

En comparación con el trimestre anterior, en el segundo trimestre de 2012 prácticamente se ha triplicado la cantidad de troyanos para Android. En estos tres meses hemos agregado a nuestra colección más de 14.900 programas maliciosos.


Cantidad de modificaciones de malware detectadas para Android OS

Este desarrollo tan activo del malware para Android es un indicio de que cada vez son más los escritores de virus que se dedican a escribir programas maliciosos para dispositivos móviles. Al igual que con el malware para Windows, el desarrollo de los programas maliciosos para móviles ha conducido a que surja un mercado negro de servicios para propagarlos. Los principales canales de propagación son las tiendas no oficiales de aplicaciones y los programas de afiliados. No podemos dejar de mencionar que los programas maliciosos móviles se están haciendo cada vez más complejos: los delincuentes desarrollan activamente la tecnología de enmarañamiento y protección del código, lo que complica su análisis.

Casi la mitad (49%) de los ficheros maliciosos procesados por Kaspersky Lab en el segundo trimestre de 2012 son diversos troyanos multifuncionales, que roban datos del teléfono (nombres, contactos, direcciones, números telefónicos, etc.), y también pueden descargar módulos adicionales desde los servidores de los delincuentes.

Una cuarta parte de los programas maliciosos para Android detectados son troyanos SMS. Estos programas maliciosos vacían las cuentas de las víctimas, enviando SMS a números de pago sin que los dueños se den cuenta. Hace un par de años estos programas se podían encontrar sólo en las repúblicas de la ex URSS, en el Sureste Asiático y en China, pero ahora se han extendido por todo el mundo: en el segundo trimestre de 2012 hemos defendido contra SMS nocivos a los usuarios de 47 países.

El 18% de los programas maliciosos para Android detectados en el segundo trimestre son backdoors que les dan a los delincuentes el control total del dispositivo móvil. En estos programas se basan las botnets móviles.


Distribución por comportamiento de los programas maliciosos para Android descubiertos en el segundo trimestre

Por el momento la cantidad de troyanos espía para Android es baja, sólo del 2%. Pero estos son los programas que representan mayor peligro para los usuarios, porque buscan la información más valiosa, que les abre a los delincuentes el acceso a las cuentas bancarias de los usuarios.

En junio los expertos de Kaspersky Lab detectaron una nueva versión de un programa malicioso móvil que roba los SMS entrantes. El programa se hacía pasar por Android Security Suite Premium. Sin embargo, este troyano se caracteriza por otra razón: todos los servidores de administración de este programa malicioso estaban registrados a nombre de una sola persona. Por supuesto, los datos de registro eran falsos, pero eran los mismos usados para registrar varios de los dominios de administración de Zbot (ZeuS). De esto se puede concluir que el robo de SMS se hace con la intención de recibir los códigos de autorización de transacciones bancarias y que el programa malicioso pertenece a la familia Trojan-Spy.AndroidOS.Zitmo.

Programas maliciosos para Mac

En comparación con el primer trimestre de 2012, ha disminuido la cantidad de programas maliciosos para Mac: en nuestra base antivirus se agregaron identikits que detectan 50 programas maliciosos para Mac OS X.

Después de que el trimestre pasado descubriéramos la botnet FlashFake, conformada por más de 700.000 Mаcs, la compañía Apple puso más empeño en las cuestiones de seguridad de su sistema operativo. Por ejemplo, publicó los parches críticos para Oracle Java al mismo tiempo que las versiones para Windows y anunció las funciones de defensa de la siguiente versión de Mac OS X: sólo se podrán instalar de forma predeterminada programas de la tienda oficial, se usará una máquina virtual para los programas descargados de la tienda, la instalación de las actualizaciones será automática, etc.


Cantidad de nuevos identikits para Mac OS X agregados a las bases antivirus de Kaspersky Lab.
Segundo trimestre de 2012

El pronóstico de que los ataques contra los usuarios de Mac continuarían en el segundo trimestre se ha cumplido. A finales de junio de 2012 nuestros radares antivirus registraron un nuevo ataque dirigido contra los usuarios de Mac de habla uigur en China. A diferencia del ataque anterior, los delincuentes no usaron exploits para llevar el programa malicioso a los ordenadores atacados. Esta vez, se enviaron mensajes con un fichero zip a determinado círculo de usuarios. El archivo contenía un fichero jpg y una aplicación para Mac con un icono de documento de texto. Este es un ejemplo clásico de ingeniería social. El principal componente del ataque era un fichero ejecutable disfrazado de documento de texto, un backdoor para Mac OS Х que funciona tanto en la arquitectura i386, como en la PowerPC y que nuestros productos detectan como Backdoor.OSX.MaControl.b. En este ataque también se detectó un backdoor para Windows.

El backdoor cumple varias funciones, y en particular, permite copiar ficheros desde el equipo infectado. Los datos de la configuración de los servidores de administración están cifrados con un método bastante sencillo, por lo que se pudo establecer que el servidor de administración se encuentra en China.

Los productos de la compañía Apple son populares entre muchos políticos influyentes y la información que guardan sus ordenadores representa interés para determinada categoría de delincuentes. Esto significa que continuarán los ataques APT dirigidos contra los usuarios de Mac. La evolución de los ataques con blanco específico puede seguir el camino de los programas maliciosos para varias plataformas, que tendrán un código parecido y funcionarán en los sistemas operativos más difundidos.

La fuga de datos de LinkedIn y las contraseñas

En el segundo trimestre, varios servicios online estuvieron en los titulares debido al robo de la base de contraseñas. Una de las más notorias fue la noticia de que parte de la base (6,5 millones de contraseñas) de la popular red social LinkedIn se había hecho pública. El 6 de junio, después de la publicación de esta información, la compañía confirmó el robo y declaró que gracias a las medidas tomadas de inmediato, las contraseñas publicadas habían sido anuladas y que los usuarios deberían crear nuevas contraseñas.

Por desgracia, en el momento de publicación de esta declaración, más de la mitad de las contraseñas ya habían sido extraídas. ¿Por qué tan rápido? Es que LinkedIn, por algún motivo, almacenaba los hashs sin la línea de caracteres aleatorios (“sal”) que se agrega a la contraseña inicial antes de efectuar el hash. Como no se usaba esta tecnología, se descifraron los hashes SHA-1 con mucha rapidez, usando hashs previamente calculados de populares diccionarios de contraseñas. Tanta celeridad en el descifrado de las contraseñas también fue posible porque las contraseñas de la mitad de los usuarios eran muy simples y no hizo falta mucho esfuerzo para descifrarlas. Después del incidente, LinkedIn anunció que ahora se usa hash y “sal” para almacenar las contraseñas.

Para evitar convertirse en víctima de estos ataques, los usuarios deben en primer lugar usar contraseñas largas y complejas, que sean difíciles de averiguar usando diccionarios. Tampoco hay que olvidar que usar una sola contraseña en diferentes servicios aumenta notablemente los posibles daños en caso de que la roben.

A los administradores de sitios web les aconsejamos que para guardar contraseñas usen por lo menos hash y “sal”. No obstante, el uso de algoritmos rápidos de hashing (por ejemplo, SHA-1 ó MD5) y de “sal” puede no impedir su desciframiento, si se toma en cuenta la potencia que ofrecen los GPU modernos. Una solución más efectiva es el uso de algoritmos com PBKDF2 (Password-Based Key Derivation Function 2) o bcrypt, que no solo usan “sal” de forma predeterminada, sino que también hacen más lento el proceso de desciframiento.

Flame, la continuación de la historia de espionaje cibernético

El suceso más notable relacionado con el espionaje cibernético ha sido el descubrimiento del gusano Flame.

Kaspersky Lab, por petición de Unión Internacional de Telecomunicaciones, ha llevado a cabo la investigación y búsqueda del programa malicioso desconocido que borraba datos confidenciales en los equipos ubicados en los países del Oriente Próximo. Durante la búsqueda, detectamos un nuevo ejemplar de malware, que bautizamos Worm.Win32.Flame.

A pesar de que Flame tiene funcionalidades diferentes a las de los tristemente conocidos ejemplares de armamento cibernético Duqu y Stuxnet, hay muchas semejanzas entre estos programas maliciosos: la geografía de los ataques, la orientación hacia blancos concretos y el uso de vulnerabilidades específicas de software. Todo esto pone a Flame en la misma categoría de otras armas cibernéticas desplegadas en el Oriente Próximo por delincuentes desconocidos.

Flame es mucho más complicado que Duqu y está compuesto de un complicadísimo conjunto de instrumentos para realizar ataques. El tamaño del programa malicioso es de casi 20 megabytes. Es un programa  troyano-puerta trasera que también tiene rasgos propios de gusanos:  puede propagarse por redes locales y mediante medios extraíbles cuando recibe la orden de su dueño. El método de propagación de Flame más peligroso es cuando se reproduce en una red local ya infectada, disfrazándose de actualizaciones de Windows. Además, el código venía firmado por un certificado originalmente expedido por la compañía Microsoft. Microsoft detectó el uso ilegítimo de la firma digital y anuló el certificado. La compañía publicó de inmediato una notificación sobre la amenaza (security advisory) y publicó la actualización KB2718704.

Flame roba diferentes tipos de información en los ordenadores ubicados en el Oriente Próximo (Irán, Sudán, Siria, etc), como ficheros de vídeo, audio y ficheros de AutoCAD.

Hoy en día Flame es una de las amenazas cibernéticas más complejas. El programa tiene un gran tamaño y una estructura increíblemente compleja, que muestra muy bien cómo se pueden realizar las operaciones de espionaje en el siglo XXI.

Estadística

Todos los datos estadísticos usados en el informe se han obtenido mediante la red antivirus distribuida Kaspersky Security Network (KSN), como resultado del funcionamiento de los diferentes componentes de protección contra los programas maliciosos. Los datos se obtuvieron en los equipos de los usuarios de KSN que confirmaron su consentimiento en enviarlos. En el intercambio global de información sobre las actividades maliciosas toman parte millones de usuarios de los productos de Kaspersky Lab de 213 países del mundo.

Las amenazas en Internet

Los datos estadísticos citados en esta sección se han recibido del funcionamiento del antivirus web que protege a los usuarios cuando se descargan códigos maliciosos de páginas web infectadas. Pueden estar infectados sitios creados por los delincuentes con este fin, páginas web cuyo contenido lo crean los usuarios (por ejemplo, los foros) y páginas legítimas hackeadas.

Objetos detectados en Internet

En el segundo trimestre de 2012 se rechazaron 434.143.004 ataques realizados desde recursos de Internet ubicados en diferentes países. En estos incidentes se pudo registrar 145.007 diferentes programas nocivos y potencialmente indeseables.

TOP 20 de objetos detectados en Internet

Lugar Nombre* % del total de ataques*
1 URL maliciosas 85,8%
2 Trojan.Script.Iframer 3,9%
3 Trojan.Script.Generic 2,7%
4 Exploit.Script.Blocker 0,6%
5 Trojan.JS.Popupper.aw 0,4%
6 Trojan.Win32.Generic 0,4%
7 Trojan-Downloader.JS.Iframe.cxk 0,3%
8 Trojan-Downloader.JS.Expack.sn 0,2%
9 Exploit.Script.Generic 0,2%
10 Trojan-Downloader.Script.Generic 0,2%
11 Trojan-Downloader.JS.Agent.gqu 0,2%
12 Trojan-Downloader.Win32.Generic 0,2%
13 Hoax.HTML.FraudLoad.h 0,1%
14 Trojan-Downloader.SWF.FameGake.a 0,1%
15 Trojan.JS.Iframe.aaw 0,1%
16 Trojan.JS.Agent.bxw 0,1%
17 AdWare.Win32.IBryte.x 0,1%
18 AdWare.Win32.ScreenSaver.i 0,1%
19 Trojan-Downloader.JS.Agent.grd 0,1%
20 Trojan-Downloader.JS.JScript.ag 0,1%


* Veredictos de detección del módulo antivirus para la web. Información prestada por los usuarios de productos de Kaspersky Lab que han dado su consentimiento para el envío de datos estadísticos.
** Porcentaje del total de ataques web registrados en los equipos de usuarios únicos

El primer lugar de la estadística siempre lo ocupan los enlaces maliciosos de la lista de rechazados. En comparación con el trimestre anterior, su cantidad ha crecido en un 1,5% y constituyen el 85,8% del total de detecciones. En esta lista se enumeran en primer lugar los sitios a los que se remite a los usuarios. Recordamos que lo más frecuente es que los usuarios lleguen a los sitios maliciosos desde sitios legítimos que tienen incrustados scripts maliciosos (ataques drive-by). Además, los usuarios mismos siguen enlaces peligrosos, por ejemplo, al buscar contenidos piratas. Una importante cantidad de los URLs maliciosos detectados siguen perteneciendo a sitios que tienen paquetes de exploits.

13 posiciones de la estadística la ocupan programas maliciosos que explotan las brechas del software y que se usan para enviar programas maliciosos al ordenador del usuario. Dos de ellos se descubrieron mediante métodos heurísticos: Exploit.Script.Blocker y Exploit.Script.Generic.

Sigue disminuyendo en la estadística la cantidad de programas publicitarios detectados como AdWare: en el segundo trimestre había sólo dos. Estos programas funcionan como expansiones para navegadores: agregan un nuevo panel de búsqueda y modifican la página de inicio. En realidad, son programas legales que los creadores pagan dinero a los socios que los difunden por cada instalación. Pero hay distribuidores que quieren recibir dinero sin pedirle al usuario su consentimiento para instalarlos.

Aplicaciones en las que los delincuentes usan vulnerabilidades

La mayoría de los ataques mediante Internet se hacen mediante exploits que usan los errores del software para que la ejecución del programa malicioso pase inadvertida para el usuario.

Pero ¿qué aplicaciones usan con más frecuencia los exploits? Vemos la respuesta en el siguiente diagrama: Adobe Flash Player, Java, Android Root y Adobe Flash Player. Lo primero que los usuarios deben hacer es actualizar estos programas y, aún mejor, organizar su actualización automática.


Aplicaciones cuyas vulnerabilidades fueron usadas por los exploits web
Segundo trimestre de 2012

Países en cuyos recursos se hospedan programas nocivos

Para determinar la fuente geográfica de los ataques se usó el método de yuxtaponer el nombre de dominio a la dirección IP real, en la cual se encuentra este dominio, y determinar la ubicación geográfica de esta dirección IP (GEOIP).

En el segundo trimestre de 2012, el 85% de los recursos web (un 1% más que en el trimestre anterior) usados para propagar programas maliciosos se ubicó en diez países.


Distribución por países de recursos web que contienen programas maliciosos.
Segundo trimestre de 2011

El contenido del TOP 10 no ha sufrido cambios, porque está conformado por los mismos países del trimestre pasado. En los pasados tres meses ha crecido la cantidad de hostings ubicados en EEUU (+7%). Esto ha ocurrido sobre todo debido a la disminución de la participación de los demás países: Rusia (-1,5%), Alemania (-1,9%), Holanda (-1,2%), Inglaterra (-1%) y Francia (-1,7%). Rusia ha ocupado en esta lista el segundo puesto (14%), desplazando a Holanda al tercer puesto (12%).

Países en los cuales los usuarios estuvieron bajo mayor riesgo de infección mediante Internet

Para evaluar el grado de riesgo de infección mediante Internet al que están sometidos los ordenadores de los usuarios en diferentes países, hemos calculado para cada país la frecuencia de las reacciones del antivirus web durante el trimestre.


20 países donde los usuarios están bajo mayor riesgo de infectarse mediante Internet*. Segundo trimestre de 2012

*En los cálculos hemos excluido a los países en los cuales la cantidad de usuarios de los productos de Kaspersky Lab es relativamente pequeña (menos de 10.000).
**Porcentaje de usuarios únicos que fueron víctimas de ataques web, de entre todos los usuarios únicos de los productos de Kaspersky Lab en el país.

En el TOP 20 prevalecen los países de la ex URSS, además de los de África y el Sureste Asiático.

Todos los países se pueden dividir en varios grupos.

  1. Grupo de riesgo alto. En este grupo, con un resultado del 41-60% ingresaron 18 países, como  Rusia (59,5%), Kazajstán (54%), Ucrania (47,3%), India (48%), Indonesia (42,2%) y Malasia (41,8%).
  2. Grupo de riesgo. En este grupo ingresaron, con coeficientes del 21% al 40% ,103 países, entre ellos  España (37,8%), Italia (34,8%), Canadá (36%), EE.UU. (35,7%) e Inglaterra (31,6%).
  3. Grupo de los países más seguros para navegar en Internet. En este grupo hay 16 países con índices del 12,3 al 20%.

El menor porcentaje de usuarios atacados durante la visualización de páginas web está en Taiwán (15,2%), Japón (18,1%), Dinamarca (18,9%), Luxemburgo (19,7%) y República Checa (20%). Cabe destacar que en este grupo están los países de África del Sur, pero allí no todo está tan bien desde el punto de vista de las infecciones locales.


Riesgo que corren los ordenadores de infectarse mediante Internet en diferentes países.
Segundo trimestre de 2012

En general, el 39,7% de los ordenadores de los usuarios de KSN, es decir, cuatro de cada diez ordenadores en el mundo, sufrieron en este trimestre por lo menos un ataque durante la navegación en Internet. Cabe destacar que el porcentaje medio de equipos atacados, en comparación con el trimestre anterior, ha aumentado en un 11%.

Amenazas locales

Aquí analizaremos los datos estadísticos obtenidos gracias al funcionamiento del módulo antivirus, que analiza los ficheros en el disco duro durante su creación o cuando se los lee, y la estadística del análisis de diferentes memorias extraíbles.

Objetos detectables encontrados en los ordenadores de los usuarios

En el segundo trimestre de 2012 nuestras soluciones antivirus bloquearon con éxito 1.041.194.194 intentos de infección local en los equipos de los usuarios participantes en Kaspersky Security Network.

En total, durante los intentos de ejecutarse en los ordenadores de los usuarios el scanner online detectó 383.667 modificaciones únicas de programas maliciosos y potencialmente peligrosos.

Programas maliciosos detectados en los ordenadores de los usuarios: Top 20

Lugar Nombre % de usuarios atacados**
1 Trojan.Win32.AutoRun.gen 17,8%
2 Trojan.Win32.Generic 17,4%
3 DangerousObject.Multi.Generic 16,1%
4 Trojan.Win32.Starter.yy 7,4%
5 Virus.Win32.Sality.bh 6,7%
6 Virus.Win32.Virut.ce 5,4%
7 Net-Worm.Win32.Kido.ih 5,1%
8 Virus.Win32.Sality.aa 4,2%
9 HiddenObject.Multi.Generic 3,6%
10 Virus.Win32.Nimnul.a 3,1%
11 Trojan.WinLNK.Runner.bl 2,2%
12 Worm.Win32.AutoRun.hxw 2,0%
13 Trojan.Win32.Hosts2.gen 1,4%
14 Virus.Win32.Sality.ag 1,4%
15 Worm.Win32.Mabezat.b 1,0%
16 AdWare.Win32.GoonSearch.b 0,8%
17 AdWare.Win32.BHO.aqbp 0,7%
18 Trojan-Dropper.Script.Generic 0,5%
19 AdWare.Win32.HotBar.dh 0,3%
20 Trojan-Downloader.WMA.Wimad.ag 0,3%


Esta estadística contiene los veredictos de detección los módulos OAS y ODS del antivirus, enviados por los usuarios de los productos de Kaspersky Lab que dieron su consentimiento para el envío de datos estadísticos.
*Porcentaje de usuarios únicos en cuyos equipos el antivirus detectó este objeto, de entre todos los usuarios únicos de los productos de Kaspersky Lab en cuyos equipos hubo reacciones del antivirus.

El primer lugar de la estadística, con un índice del 17,8%, lo ocupa la renovada detección de programas maliciosos propagados mediante memorias extraíbles, sobre todo memorias flash. La aparición de este veredicto en el primer puesto es un indicio de que la cantidad de memorias extraíbles en las que se han descubierto huellas de programas maliciosos es muy grande.

El segundo puesto de la estadística lo ocupa el veredicto del analizador heurístico cuando hace la detección proactiva de un grupo de programas maliciosos, Trojan.Win32.Generic (17,4%).

Los programas maliciosos detectados mediante tecnologías “en la nube” (16,1%) han bajado del primer al tercer puesto. Estas tecnologías funcionan cuando en las bases antivirus todavía no existen firmas ni heurísticas que detecten el programa malicioso, pero la compañía antivirus ya tiene información sobre el objeto “en la nube”. En estos casos, se asigna al objeto detectado el nombre DangerousObject.Multi.Generic.

Los puestos 16, 17 y 20 los ocupan programas de publicidad. Aquí ha aparecido una novedad, la familia AdWare.Win32.GoonSearch (0,8%). Estos programas son plugins para Internet Explorer, pero se han dado casos de su aparición en los ordenadores de los usuarios sin el consentimiento de los usuarios, y en los que se han ofrecido resistencia a los antivirus.

Net-Worm.Win32.Kido (5,1%) sigue perdiendo posiciones en la estadística. Al mismo tiempo, ha aparecido otro representante de los infectores de ficheros: en el segundo trimestre, además de los virus Virus.Win32.Sality.bh, Virus.Win32.Sality.аа, Virus.Win32.Nimnul.a y Trojan.Win32.Starter.yy, ha aparecido en la estadística el famoso Virus.Win32.Virut.ce (5,4%), que usa los equipos infectados para crear una gran botnet que propaga otros programas maliciosos.

Países en los cuales los usuarios estuvieron bajo mayor riesgo de infección local

Las cifras obtenidas reflejan la media de equipos infectados en uno u otro país. En el 36,5% de los ordenadores de los usuarios de KSN que nos envían información, se ha encontrado un fichero malicioso (en el ordenador o en la memoria extraíble conectada al mismo) por lo menos una vez, un 5,7% menos que en el trimestre pasado.


TOP 20: porcentaje de ordenadores de los usuarios en los que se detectaron programas maliciosos, del total de los usuarios de Kaspersky Lab en el país*. Segundo trimestre de 2012

*En los cálculos hemos excluido a los países en los cuales la cantidad de usuarios de los productos de Kaspersky Lab es relativamente pequeña (menos de 10.000).
**Porcentaje de usuarios únicos en cuyos ordenadores se detectaron amenazas locales, de entre la cantidad total de usuarios de productos de Kaspersky Lab en el país.

El primer TOP 20 lo conforman casi en su totalidad países de África y del Sureste Asiático. En Bangladesh nuestros productos se han topado con programas maliciosos en el 98% de los ordenadores en los cuales están instalados.

En lo que atañe a las infecciones locales, podemos agrupar todos los países según su nivel de infección:

  1. Nivel máximo de infección (más del 60%). Son 20 países, sobre todo de la región asiática (India, Vietnam, Mongolia y otros), del Próximo Oriente (Irak, Afganistán) y África (Sudán, Angola, Nigeria, Camerún y otros.).
  2. Nivel de infección alto 41-60%. 51 países, entre ellos Indonesia (58,3%), Kazajstán (46,1%), China (43,9%), Ecuador (43,8%), Rusia (42,6%) y los Emiratos Unidos (42,3%).
  3. Nivel de infección medio 21-40%. 43 países, entre ellos Turquía, México, Israel, Letonia, Portugal, Italia, EE.UU., Australia y Francia.
  4. Nivel de infección mínimo: 23 países, entre ellos Canadá, Nueva Zelanda, Puerto Rico; 13 países europeos (entre ellos Noruega, Finlandia, Holanda, Irlanda, Alemania, Estonia), además de Japón y Hong Kong.


Riesgo de infección local que corren los equipos en diferentes países.
Segundo trimestre de 2012

Entre los 10 países más seguros por su bajo nivel de infección local están:

Lugar País % de usuarios únicos
1 Dinamarca 12,0
2 Reunión 13,4
3 República Checa 13,6
4 Japón 14,6
5 Luxemburgo 15,0
6 Suecia 15,0
7 Suiza 16,2
8 Finlandia 16,3
9 Alemania 17,2
10 Holanda 17,7

Dinamarca, Luxemburgo, República Checa y Japón se encuentra al mismo tiempo en la lista de los países más seguros para navegar en Internet. Pero incluso en Dinamarca detectamos objetos maliciosos en 12 ordenadores de cada 100.

Vulnerabilidades

En el segundo trimestre de 2012 hemos detectado en los ordenadores de los usuarios 31.687.277 aplicaciones y ficheros vulnerables. En término medio, en cada ordenador vulnerable hemos detectado cerca de 9 diferentes vulnerabilidades.

En la siguiente tabla presentamos el TOP 10 de vulnerabilidades.

Secunia ID, identificador único de la vulnerabilidad Nombre y vínculo a la descripción de la vulnerabilidad Posibilidades que ofrece la vulnerabilidad a los delincuentes Porcentaje de usuarios en cuyos equipos se detectó la vulnerabilidad Último cambio Nivel de peligro de la vulnerabilidad
1 SA 48009 Múltiples vulnerabilidades en Oracle Java JDK / JRE / SDK “Acceso al sistema y ejecución de cualquier código con privilegios de usuario local
Obtención de acceso a los datos confidenciales
Manipulación de datos
Ataques DoS

31,4% 4/10/2012 Altamente crítica
2 SA 48281 Dos vulnerabilidades en Adobe Flash Player “Acceso al sistema y ejecución de cualquier código con privilegios de usuario local
Obtención de acceso a los datos confidenciales

20,9% 4/10/2012 Highly Critical
3 SA 48500 Múltiples vulnerabilidades en VLC Media Player “Acceso al sistema y ejecución de cualquier código con privilegios de usuario local

19,3% 3/21/2012 Altamente crítica
4 SA 49472 Múltiples vulnerabilidades en Oracle Java “DoS-атака
Acceso al sistema y ejecución de cualquier código con privilegios de usuario local
Cross-site scripting
Obtención de acceso a los datos confidenciales
Manipulación de datos
16,5% 7/18/2012 Altamente crítica
5 SA 47133 Múltiples vulnerabilidades en Adobe Reader/Acrobat “Acceso al sistema y ejecución de cualquier código con privilegios de usuario local

14,4% 1/11/2012 Extremadamente crítica
6 SA 23655 Múltiples vulnerabilidades en Microsoft XML Core Services “Acceso al sistema y ejecución de cualquier código con privilegios de usuario local
Ataques DoS
XSS.
13,5% 7/13/2011 Altamente crítica
7 SA 49086 Múltiples vulnerabilidades en Adobe Shockwave Player Acceso al sistema y ejecución de cualquier código con privilegios de usuario local 11,4% 5/10/2012 Altamente crítica
8 SA 47447 Múltiples vulnerabilidades en Apple QuickTime Acceso al sistema y ejecución de cualquier código con privilegios de usuario local 11,3% 6/29/2012 Altamente crítica
9 SA 47932 Múltiples vulnerabilidades en Adobe Shockwave Player “Acceso al sistema y ejecución de cualquier código con privilegios de usuario local

9,8% 2/15/2012 Altamente crítica
10 SA 49388 Múltiples vulnerabilidades en Adobe Flash Player “Acceso al sistema y ejecución de cualquier código con privilegios de usuario local
Evasión del sistema de protección
9,2% 6/18/2012 Altamente crítica

* Por 100% se toma a los usuarios en cuyos ordenadores se ha descubierto por lo menos una vulnerabilidad

En primer lugar, como en el trimestre pasado, se encuentra la vulnerabilidad en Java de la compañía Oracle. Se detectó en el 31% de los ordenadores. En total, en nuestra estadística hay 2 vulnerabilidades Java.

Cinco de las 10 posiciones de la estadística siguen perteneciendo a productos de la compañía Adobe: los reproductores Flash Player y Shockwave y la popular aplicación para la lectura de documentos pdf, Acrobat Reader.

El único novato de la estadística es la vulnerabilidad en el reproductor gratuito VLC.


Productos vulnerables en el TOP 10 de vulnerabilidades.
Segundo trimestre de 2012

Todas las vulnerabilidades del TOP10 dan al delincuente la posibilidad de obtener acceso irrestricto al sistema mediante exploits. Tres vulnerabilidades permiten realizar ataques tipo DoS, y también le dan al delincuente la posibilidad de obtener acceso a información confidencial. En la estadística también se enumeran vulnerabilidades que dan la posibilidad de manipular datos, evadir el sistema de protección y realizar ataques XSS.


Distribución de vulnerabilidades del TOP 10 según el tipo de influencia en el sistema.
Segundo trimestre de 2012

Conclusión

En el segundo trimestre de 2012 ha seguido creciendo impetuosamente la cantidad de malware para Android. En estos tres meses, hemos agregado a nuestra colección casi 15.000 ficheros maliciosos dex. También la calidad de los programas maliciosos para Andoid ha evolucionado: los escritores de virus han inventado diferentes métodos de complicar su análisis y detección. Esto indica que está creciendo la cantidad de escritores de virus que se están dedicando a desarrollar programas maliciosos para dispositivos móviles. Además, también se esta desarrollando el mercado negro de servicios de propagación de programas maliciosos móviles, lo que en el futuro cercano conducirá al aumento de los ataques contra los usuarios de dispositivos móviles, ataques que serán cada vez más refinados.

El trimestre pasado, la fuga de datos de importantes servicios, que se ha convertido en algo regular gracias a las actividades de diferentes hacktivistas, ha puesto al descubierto las contraseñas de millones de usuarios.  Por desgracia, una gran cantidad de personas usan la misma combinación de login y contraseña para muchos sitios, lo que aumenta el riesgo de pérdida de datos importantes. Pero también hacemos notar que los culpables del rápido descifrado de las contraseñas durante estos ataques son los usuarios que prefieren contraseñas simples y los administradores de sitios web que usan técnicas sencillas de cifrado. El problema no es nuevo y existen varias formas de resolverlo. Esperamos que, debido a las intrusiones regulares, los administradores se vean obligados a usar algoritmos más seguros de almacenamiento de contraseñas.

En el siguiente trimestre nos esperan dos importantes conferencias de hackers, BlackHat y Defcon, donde según ya es tradición, se mostrará una serie de nuevas técnicas de ataques que no tardarán mucho en encontrar aplicación práctica en el mundo de la delincuencia cibernética. Así que se puede esperar que los delincuentes usen las nuevas técnicas ya en el tercer trimestre.

El principal tema del segundo trimestre de 2012 fue el descubrimiento del programa de espionaje cibernético Flame. Aparte de su gran tamaño y gran espectro de instrumentos de extracción de información en los equipos infectados, Flame usa un interesante método para propagarse en las redes locales, creando un servidor falsificado de actualizaciones de Windows. Además, en el célebre gusano Stuxnet, que hizo estragos en 2009, parte del código es similar a la de Flame. Esto sugiere que los desarrolladores de estos programas tienen alguna relación.

La situación de las armas cibernéticas recuerda a la caja de Pandora, que una vez abierta es imposible de cerrar. Muchos países han hecho declaraciones oficiales de que elaborarán doctrinas sobre las acciones en el espacio cibernético y que crearán subdivisiones especializadas. Por consiguiente, la historia de las armas cibernéticas no se limitará a Duqu y Flame. En esta situación, la principal dificultad es la ausencia de factores de disuasión en forma de una regulación internacional en este ámbito.

Desarrollo de las amenazas informáticas en el segundo trimestre de 2012

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada