Informes sobre malware

Estadísticas mensuales del malware: abril de 2012

Abril en cifras

Los siguientes datos estadísticos que se compilaron en abril provienen de los ordenadores con productos Kaspersky Lab instalados.

  • Se detectaron y neutralizaron más de 280 millones de programas maliciosos;
  • Se previnieron 134 millones (48% de todas las amenazas) de infecciones que circulan en Internet:
  • Se detectaron más de 24 millones de URLs maliciosas.

Ciberamenazas y temas polémicos:

Mac OS X: Explotación masiva y APT

La excepcionalmente elevada actividad detectada en marzo de programas maliciosos dirigidos a Mac OS X fue sólo la punta del iceberg. Dos sucesos que tuvieron lugar en abril han cambiado para siempre la forma en que vemos el escenario de seguridad de Mac OS X: uno tiene que ver con la explotación masiva, y el otra con el uso de Mac OS X como parte de un APT.

Flashfake

Comencemos con la red zombi Flashfake o Flashback. La familia de programas maliciosos Flashfake se detectó en 2011 como Trojan-Downloader.OSX.Flashfake. Se propagaba como una falsa actualización para Flash Player, lo que explica el origen de su nombre. Entre septiembre de 2011 y febrero de 2012, Flashfake se propagó sólo mediante métodos de ingeniería social: a los visitantes en varios sitios web se les pedía que descarguasen una falsa actualización para Adobe Flash Player.

En el informe de marzo notamos que este programa malicioso se propagaba a través de cientos de miles de blogs de WordPress hackeados. Esto agravó la situación puesto que Flashfake usaba exploits para infectar los ordenadores de los usuarios víctimas, lo que resultó en la creación de la red zombi Flashfake, compuesta por más de 750.000 ordenadores con Mac OS X.

Los ciberdelincuentes responsables de Flasfake lograron propagar este programa malicioso a través de WordPress, usando para tal efecto el tráfico desde los blogs de WordPress mediante un programa asociado ofrecido por la ciberpandilla. Un 85% de los blogs capturados pertenecían a usuarios de EE.UU. y el control del tráfico de WordPress permite que los ciberdelincuentes dueños de Flashfake desvíen a los visitantes de los sitios de WordPress hacia sitios piratas bajo su control. Una vez que la víctima llega al sitio pirata, se activan tres exploits para infectar el ordenador del usuario: CVE 2011-3544, CVE 2008-5353 y CVE 2012-0507, o el sitio intenta persuadir al usuario para que descargue e instale un archivo JAR con una falsa firma de Apple. Si uno de los exploits logra su objetivo, el ordenador de la víctima se infectará sin que su dueño se entere de ello. El archivo JAR firmado sólo funciona cuando el usuario acepta la instalación. La página ofrece los detalles técnicos del proceso de instalación y del comportamiento de Flashfake.

Sin embargo, la clave del éxito de esta campaña fue no sólo el nuevo método de propagación, sino los exploits que se usaron. No deja de ser interesante la manera en que todos estos exploits apuntaban a Java, tomando en cuenta que la implementación y la publicación de parches para Mac OS X la hacía Apple en lugar de la misma Oracle, lo que causaba retrasos en los parches de seguridad para los usuarios finales de Mac OS X. Por ejemplo, el parche de Oracle para la vulnerabilidad CVE 2012-0507 en todas las otras plataformas se publicó el 14 de febrero, pero Apple no lo hizo sino hasta el 3 de abril, dejando a los usuarios de Mac OS X expuestos por un largo tiempo. Java no se instala en Lion por defecto, aunque cualquier usuario puede optar por instalarlo. Finalmente, cuando se publicó el parche, sólo estaba disponible para los usuarios de Lion y Snow Leopard.

Kaspersky montó un sitio de verificación (Flashbackcheck.com) para que los usuarios puedan verificar si sus ordenadores estaban infectados y descargar una herramienta gratuita de desinfección para eliminar este programa malicioso.

  1. Anatomía de Flashfake Parte I
  2. Se confirma la existencia de la botnet Flashfake para Mac OS X
  3. Nuevo sitio web y herramienta gratuita para eliminar Flashfake
  4. Explotación masiva de Mac OS X ¿Por qué ahora?

SabPub: Nueva APT (Advanced Persistent Threat)

En abril se identificó una APT activa, SabPub, que usaba dos tipos de troyanos tipo puerta trasera para infectar los ordenadores de los usuarios. El primer troyano, creado en febrero de 2012, explotaba una vulnerabilidad en Microsoft Word para penetrar en el ordenador. La segunda variante de SabPub, que se creó en marzo de 2012, atacaba la plataforma Mac OS X explotando una vulnerabilidad en Java. Una vez que el troyano puerta trasera infectaba el ordenador, procedía a capturar imágenes de pantalla mientras el usuario usaba el ordenador, y ejecutaba comandos en el mismo. Hasta la fecha, los ciberdelincuentes dueños de SabPub siguen atacando los ordenadores de los usuarios.

Nuevas campañas spam usan BlackHole Exploit Kits

Campaña activa spam en Twitter

Kaspersky Lab descubrió una nueva campaña activa spam en Twitter que llegó a comprometer más de 500 cuentas. Esta campaña spam enviaba a los usuarios enlaces incrustados que los desviaban hacia sitios maliciosos que contenían BlackHole Exploit Kit. Los sitios instalaban en los ordenadores de las víctimas programas maliciosos tipo scareware que aparecían como notificaciones antivirus urgiendo al usuario a analizar su sistema en busca de infecciones. Los clientes de Kaspersky Lab se encontraban protegidos desde el mismo inicio de la campaña. Las amenazas se detectaron como: Trojan-FakeAV.Win32.Agent.dqs y Trojan-FakeAV.Win32.Romeo.dv.

Mensajes phishing para US Airways

A principios de abril Kaspersky Lab informó sobre una campaña de mensajes phishing que se había iniciado a finales de marzo. La campaña consistía en enviar falsos mensajes de parte de US Airways. Los ciberdelincuentes enviaban estos mensajes con el propósito de persuadir a los usuarios a que activasen los enlaces incrustados en los mensajes y que ofrecían “información de reservas online”, además de opciones para el check-in de los vuelos. Si el usuario activaba cualquiera de los enlaces, acababa en un sitio fraudulento que contenía BlackHole Exploit Kit con una avanzada forma del programa malicioso ZeuS (GameOver). Este programa malicioso banquero se autoinstala en el ordenador del usuario y roba los datos de sus cuentas bancarias. Con estos mensajes spam que se enviaron masivamente, los ciberpiratas apostaban a embaucar a algunos usuarios que hubiesen reservado pasajes en US Airways, lo que aumentaría las posibilidades de que activaran los enlaces.

Programas maliciosos para móviles

Los usuarios japoneses de Android bajo ataque

La gran mayoría de los modernos programas maliciosos para Android son específicos para determinadas regiones. Los ciberpiratas en varios países crean diversos tipos de programas maliciosos dirigidos a los usuarios de determinados países. Es decir, que es muy baja la posibilidad de que un usuario ruso de Android se vea afectado por un programa malicioso chino. Sin embargo, esto no significa que la cantidad de infecciones (y ganancias) generadas por los hackers no esté en aumento.

Japón no es una excepción para los programas maliciosos para móviles regionales, y está cada vez más activo. A principios de abril se descubrió un nuevo tipo de programa malicioso para Android, que estaba escrito por autores japoneses de virus para móviles. Este programa estaba dirigido a los dispositivos Android en Japón. Kaspersky Lab detectó este programa malicioso como Trojan.AndroidOS.FakeTimer.

Por desgracia, casi 30 distintos tipos de aplicaciones maliciosas estaban disponibles en Google Play, y al menos unos 70.000 usuarios descargaron alguna de ellas. Este programa malicioso es capaz de ponerse en contacto con un servidor remoto. Si la conexión se realiza, descarga un archivo de video MP4. También es capaz de robar información confidencial en el dispositivo infectado, como nombres, direcciones de correo y números telefónicos de las personas en la lista de contactos de la víctima. El programa malicioso envía la información robada al servidor remoto.

TigerBot – otro robot para SMS

Los programas maliciosos móviles que se controlan mediante mensajes SMS cada día son más y más populares. En abril se descubrió otro programa puerta trasera llamado TigerBot. Este programa malicioso se camufla después de la infección y no muestra ninguna señal de existencia en el dispositivo. Si la víctima verifica la lista de procesos que se están ejecutando en su dispositivo, quizás no pueda identificar el nombre del proceso de TigerBot, como “System”. Este programa malicioso registra un recibidor llamado “android.provider.Telephony.SMS_RECEIVED” para pinchar todos los mensajes SMS entrantes y verificar si contienen o no un comando especial.

Varios comandos pueden dar lugar a la grabación de llamadas telefónicas, el robo de coordenadas GPS, el envío de mensajes SMS, o a cambios en los parámetros de la red. Todas estas características pueden ocasionar una grave fuga de información. Este programa malicioso también puede reiniciar los teléfonos infectados, aunque es menos probable que esto suceda porque alertaría a la víctima de que su dispositivo tiene un problema.

Por suerte, no hay evidencias de que TigerBot estuviera (o esté) disponible en Google Play, pero sigue siendo importante tener mucho cuidado cuando se instala aplicaciones provenientes de cualquier fuente.

Kaspersky Mobile Security detectó esta amenaza como Backdoor.AndroidOS.TigerBot.

Clasificación de abril

*Estos datos estadísticos representan veredictos detectados de los módulos antivirus y fueron proporcionados por los usuarios de los productos de Kaspersky Lab que aceptaron compartir sus datos locales.

Amenazas en Internet

Mapa del riesgo de infecciones al navegar en Internet /

Top 10 de zonas de dominios maliciosos

Fuente de ataques web por zona de dominio*

*cantidad de ataques desde recursos web según el dominio detectado por el módulo antivirus web.

Top 10 de países en los que los recursos web se sembraron con programas maliciosos (Clasificación mundial de sitios infectados y alojamientos de programas maliciosos)

Top 10 de amenazas en Internet

  TOP 10 WAV Marzo % de todos los ataques* Cambio en la clasificación
1 URL maliciosa 87,6% 0
2 Trojan.Script.Iframer 2,9% 0
3 Trojan.Script.Generic 2,4% 0
4 Trojan.JS.Popupper.aw 0,4% 4
5 Trojan.Win32.Generic 0,3% -1
6 Trojan.JS.Agent.bxw 0,3% Nuevo
7 Exploit.Script.Blocker 0,3% Nuevo
8 HEUR:Trojan-Downloader.Win32.Generic 0,2% Nuevo
9 Trojan-Downloader.Script.Generic 0,2% -4
10 Trojan.JS.Redirector.ux 0,2% Nuevo


Exploits detectados por el módulo Web Antivirus en los ordenadores de los usuarios por aplicación atacada

* Porcentaje de todos los ataques bloqueados de exploits desde Internet


Nuevas modificaciones de malware para móviles, abril de 2012


Cantidad de nuevas firmas para las amenazas contra Mac OS X entre marzo y abril de 2012

Los 20 países en los que los usuarios corren el mayor riesgo de infección por Internet

  País % * Cambio en la clasificación
1 Federación Rusa 50
2 Armenia 47,1
3 Bielorrusia 45 1
4 Kazaquistán 44,4 -1
5 Azerbaiyán 42,9
6 Uzbequistán 42,7 2
7 Sudán 41,7
8 Ucrania 40,3 -2
9 Rep. de Moldavia 36 Nuevo
10 Bangladesh 35,9


Los 10 países en los que los usuarios corren el menor riesgo de infección por Internet

  País % * Cambio en la clasificación
1 Burkina Faso 6,8238 5
2 Mali 6,8483 Nuevo
3 Benin 7,8883 -1
4 Japón 8,1372 -1
5 Taiwán 9,577 -4
6 Luxemburgo 10,2856 Nuevo
7 Dinamarca 11,1927 4
8 Sudáfrica 11,7979 Nuevo
9 Senegal 11,9672 Nuevo
10 Costa de Marfil 11,979 Nuevo

Para los cálculos, hemos excluido los países en los que el número de usuarios de los productos de Kaspersky Lab es relativamente bajo (menos de 10.000). *Porcentaje de usuarios únicos en el país con ordenadores que cuentan con productos de Kaspersky Lab que bloquearon las amenazas por Internet.

Estadísticas mensuales del malware: abril de 2012

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada