Evolución de los sitios web maliciosos: enero-junio 2007

1. Métodos de distribución
2. Los TOP 20 programas maliciosos distribuidos por Internet
3. Los TOP 20 países anfitriones de programas maliciosos
4. Casos especiales
5. Conclusiones

Este es el primero de varios informes elaborados por Kaspersky Lab sobre la evolución de los sitios Internet maliciosos y sobre los programas maliciosos distribuidos a través de Internet.

En los últimos años, los mecanismos de distribución de los programas maliciosos han cambiado desde los medios fijos (disquetes) hasta el correo electrónico (por ejemplo, el caso del infame gusano LoveLetter), y ataques directos a las redes (por ejemplo, el caso de CodeRed). Los últimos pasos en el proceso evolutivo muestran una tendencia a distribuir programas maliciosos a través de Internet.

Creemos que hay varios factores detrás del aumento de programas maliciosos enviados por Internet. Uno de ellos es, por supuesto, el relativamente elevado número de vulnerabilidades en Microsoft Internet Explorer que fueron identificadas entre 2003 y 2006. Otro es una tenue incompatibilidad de tipo filosófica o de diseño entre la mayoría de los motores antivirus y la manera en que se accede a los sitios Internet. Debido a que la mayoría de los motores antivirus necesitan una copia completa de un archivo para determinar si está infectado o no, esto causa problemas cuando se trata de escanear flujos, tal como sucede en el caso de las páginas Internet. Por supuesto, este problema puede ser tratado con soluciones en el nivel del proxy que realizan el caché del flujo y luego lo encaminan hacia el motor antivirus, una vez que se completa su descarga. Sin embargo, esto aún no es muy común.

Otro factor que quizás influyó en el aumento de los programas maliciosos a través de Internet es el de los intentos por bloquear los adjuntos ejecutables en los correos electrónicos. En 2003 y en 2004 cuando la mayoría de los programas maliciosos se distribuían a través del correo electrónico (como archivos .EXE/.SCR/.PIF, etc.) muchos administradores de sistemas simplemente decidieron prohibir por completo los contenidos ejecutables adjuntos a los mensajes electrónicos. Una consecuencia directa de esto fue que los elaboradores de programas maliciosos empezaron a recurrir a archivos, por ejemplo archivos ZIP, para distribuir sus productos. En 2006, los documentos de Microsoft Office con vulnerabilidades se constituyeron en blanco popular de ataques.

Los autores de programas maliciosos dieron entonces con una solución simple para tratar este problema: En lugar de distribuir el cuerpo del programa malicioso en mensajes electrónicos, empezaron a enviar URLs vinculantes a sitios web que contenían el programa malicioso. Puesto que una solución antivirus para gateways de correo sólo analiza el cuerpo del mensaje, no podrá detectar el programa malicioso vinculado con el mensaje electrónico.

Los factores arriba mencionados figuran entre las razones para la migración de programas maliciosos que se distribuyen directamente en las bandejas de entrada hacia programas maliciosos contenidos en un servidor de Internet, engañando al usuario para ejecutarlos manualmente (ingeniería social), o vulnerando una falla en su navegador de Internet.

Existen dos formas principales para que los programas maliciosos alojados en un sitio Internet logren infectar un ordenador.

El primer método implica un ataque de ingeniería social. Por ejemplo, el atacante envía un correo electrónico conteniendo una URL que supuestamente vincula a algo interesante. A continuación, un ejemplo de dicho mensaje electrónico:

Fig. 1: Mensaje electrónico incluyendo un vínculo a un programa malicioso

En el citado mensaje electrónico, el vínculo YouTube es una trampa que conduce a la página “no existe video”. Sin embargo, el vínculo HREF para el video conduce a una dirección IP que aloja un sitio Internet. Esto es lo que el usuario verá cuando lo visite:

2. Sitio Internet falso que contiene el programa malicioso ejecutable

El vínculo “accione aquí” conduce a un archivo ejecutable llamado “video.exe”, una variante de Zhelatin (también conocido como el gusano “Storm”).

El segundo método usado por los programas maliciosos para infectar un sistema a través de Internet consiste en vulnerar fallas en los navegadores de Internet. A continuación un ejemplo:

3. Fuente de una página HTML que contiene una vulnerabilidad en Mozilla Firefox

La imagen anterior muestra un fragmento de una página que aloja una vulnerabilidad codificada en un navegador Internet. La mayoría de los sitios web con vulnerabilidades en un navegador Internet recurren a algún tipo de ofuscamiento para evitar detección básica de IDS, lo cual puede lograrse escaneando el flujo TCP/IP en busca de patrones conocidos y de sistemas antivirus simples basados en signaturas. Una vez decodificado, se puede analizar el código de la vulnerabilidad:

4. Parte de la vulnerabilidad codificada (Trojan-Downloader.JS.Agent.ep)

En este caso, el código malicioso simplemente trata de cargar un archivo tipo “.WMV” con un nombre muy largo, el cual es una vulnerabilidad de sobrecarga incrustada en Windows Media Player Plug-In (documentado en Microsoft Security Bulletin MS06-006 – “Vulnerability in Windows Media Player Plug-in with Non-Microsoft Internet Browsers Could Allow Remote Code Execution (911564)). Los modernos navegadores pasan tales solicitudes a Windows Media Player, y en caso de presentarse alguna vulnerabilidad, el sistema queda comprometido. Resulta interesante el hecho de que aunque se cuente con la última versión del navegador de Internet, pero con un Windows Media Player vulnerable, el sistema se infectará.

Como se mencionó previamente, existen dos formas principales para que los programas maliciosos infecten un ordenador a través de Internet: A través del uso de técnicas de ingeniería social o a través de vulnerabilidades en los navegadores de Internet. No debería sorprender el hecho de que en la mayoría de los casos los elaboradores de programas maliciosos recurran a una combinación de ambos métodos para maximizar sus posibilidades de éxito.

Un buen ejemplo de esta combinación de técnicas es Zhelatin, mencionado líneas arriba. La “carnada” que distribuye el gusano parece estar escrita en PHP y antes de activar la página Internet maliciosa para el usuario, realiza un par de acciones. Lo más relevante es que verifica la secuencia de identificación del navegador del “User-Agent”. Si la secuencia de identificación del navegador no resulta ser muy común, como Safari en MacOS o Lynx en Linux, entonces tratará de activar una página que recurra a técnicas de ingeniería social. Si la secuencia de identificación del navegador aparentemente pertenece a Internet Explorer, por ejemplo, “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)”, entonces activa una página especial que contiene vulnerabilidades específicas de IE. Lo mismo ocurre con Firefox.

A principios de 2006, tras haber observado el aumento de programas maliciosos distribuidos a través de Internet en contraste con los hasta entonces clásicos métodos de distribución por correo electrónico y por redes, Kaspersky Lab desarrolló “Akross”, un sistema que monitorea de manera continua los sitios web en busca de contenidos maliciosos. Desde su puesta en línea, Akross logró identificar más de 53.000 sitios con programas maliciosos, de los cuales más de 28.000 se identificaron durante los primeros seis meses de 2007.

Trojan-Downloader.Win32.Small.on, que figura en el primer lugar de la lista, es en realidad un muy genérico troyano descargador que recoge otro ejecutable desde una URL incrustada en el código y luego lo ejecuta. Los troyanos descargadores son, por lo general, muy utilizados en sitios maliciosos multiniveles, en los cuales frecuentemente una vulnerabilidad que ocupa muy poca memoria descarga un pequeño troyano descargador que a su vez baja la carga dañina o bien baja otro descargador.

Zlob es otro caso interesante, con numerosas variantes que ocupan los primeros lugares de la lista. Zlob era muy popular a principios de año, pero empezó a desvanecerse a tal extremo que ahora resulta raro encontrarlo. Zlob se instalaba, por lo general, recurriendo a una detallada técnica de ingeniería social: Se creaban sitios web específicos como plataformas de distribución para video codecs que permiten la reproducción de DVDs y de varios formatos de películas.

6. Sitio falso usado para la distribución de variaciones de Zlob

Como se muestra en la lista de los TOP 20, DNSChanger también está muy expandido. De hecho, existe una conexión entre Zlob y DNSChanger; y creemos que fueron producto de la misma pandilla. Aunque DNBSChanger sufrió muchos cambios durante su existencia, básicamente lo que hace es muy simple: cambia los servidores DNS del ordenador del usuario a un juego de dos direcciones IP específicas. Las direcciones IP se seleccionan de un gran banco de direcciones y la variación distribuye miles de distintos binarios de DNSChanger, cada uno configura los servidores DNS con distintas direcciones IP. Aunque el cambio en los servidores DNS no siempre es considerado como algo seriamente malicioso, un atacante que logre hacerlo podría causar muchos daños, como por ejemplo, redireccionar sitios Internet como Amazon.com o Bank of America a instalaciones phishing de manera casi total, sin evidencia alguna de daño para el usuario. Para complicar su eliminación, el más reciente DNSChanger incluye componentes rootkit e incluso descargan programas maliciosos adicionales.

not-a-virus:Porn-Dialer.Win32.PluginAccess.s no es, como lo sugiere su nombre, un virus. Esta clasificación denota una familia de programas que están en el límite entre lo malicioso y algo que el usuario puede elegir tener en su ordenador.

7. Dos “not-a-virus:Porn-Dialer.Win32.PluginAccess.s” ejecutables
con íconos específicos

Las subvariantes de PluginAccess.s generalmente contienen una gran cantidad de determinados números de ciertos países, los cuales son seleccionados según las reglas de discado de la miniaplicación Teléfono y Opciones de Módem en el Panel de Control de Windows. Una vez que el usuario marca el número, recibirá una muestra de autentificación que posteriormente permite el acceso a varios servicios a través de Internet. El método comúnmente usado para la instalación de PluginAccess es la ingeniería social; el programa es ofrecido como un método para obtener acceso a varios sitios web para adultos. Se menciona el precio del acceso y un usuario precavido notará que estas infecciones accidentales con PluginAccess son más bien raras. Es por esta razón que el programa no puede clasificarse como malicioso, sino como “no es un virus”. La razón para la popularidad de la que gozan estos programas se debe quizás al hecho de que permiten el acceso a varios servicios pagados sin tener que recurrir a una tarjeta de crédito, pues el cobro se debita directamente a la cuenta telefónica del usuario.

Trojan-Spy.Win32.Banker.ciy es otra presencia notable en los primeros puestos de la clasificación TOP 20. Los troyanos del tipo Banker son programas maliciosos que tratan de robar información de la banca en línea; algunos incluso realizan ataques contra el usuario en medio de una sesión en Internet. En los últimos meses, se ha incrementado de manera notable el número de ataques contra bancos mediante troyanos del tipo Banker. Trojan-Spy.Win32.Banker.ciy fue incluso nominado como el “Troyano más codicioso dirigido a las tarjetas plásticas” por Kaspersky Lab en la publicación “Bestiario virtual” de marzo de 2007 (http://www.viruslist.com/sp/analysis?pubid=207270944). Tal nominación se justifica ya que atacó a cinco sistemas de tarjetas plásticas en vez de tres (la marca anterior).

Otra tendencia muy significativa en la evolución de los programas maliciosos es la elaboración y distribución de troyanos que roban artículos virtuales de juegos en línea como World of Warcraft, EVE Online o Legend of Mir. Estos juegos son muy populares en los países asiáticos, especialmente en Corea y en China, pero el número de jugadores en todo el mundo se cuenta por millones. Algunos artículos virtuales en estos juegos pueden llegar a ser increíblemente caros, y por lo general se los cambia en eBay o en otros sitios de subastas por dinero virtual o real. Debido a que la demanda de estos artículos es muy alta, el fraude que los acompaña también está en alza. Como ejemplo de cuánto puede llegar a costar un artículo virtual, la nave espacial más cara del juego EVE Online (http://www.eve-online.com/), equipada con juego completo de armas y defensas, puede costar el equivalente a 10.000US$ en dinero real. Por lo tanto, no resulta sorprendente que haya un enorme interés en el desarrollo de programas maliciosos dirigidos a la propiedad virtual, ya que existe un claro motivo de lucro.

Trojan-PSW.Win32.OnLineGames.es constituye un típico ejemplo de este género. Aunque existen muchas modificaciones de este troyano, la mayoría de ellas están dirigidos al juego en línea World of Warcraft (http://www.worldofwarcraft.com/). Estos programas monitorean el proceso del juego y recogen información sobre todas las teclas pulsadas por el usuario, y esta información es posteriormente enviada a los atacantes, quienes luego pueden ingresar al juego mediante una cuenta robada y vender artículos, dinero virtual o personajes. Para evitar ser detectados, usan complejos esquemas de lavado de dinero virtual, dificultando en gran medida el rastreo de la propiedad virtual.

Finalmente, se debe mencionar a Trojan-Downloader.Win32.CWS.j, otro sitio común entre los sitios maliciosos. Este descargador es básicamente una pequeña maqueta que descarga e instala variantes de CWS, mejor conocido como CoolWebSearch. CoolWebSearch es un programa malicioso que fue descubierto por primera vez en 2003. Desde entonces, se ha encontrado un gran número de variantes circulando por Internet, la mayoría de ellas siguiendo el mismo patrón que consiste en secuestrar la página de inicio del navegador de Internet y mostrar ventanas emergentes con contenido pornográfico. Con el tiempo, las variantes de CWS se han hecho más y más complejas y las últimas versiones incluyen componentes rootkits invisibles y características retro diseñadas para neutralizar los programas antivirus.

En resumen, la mayoría de los contenidos maliciosos distribuidos a través de sitios web durante el primer semestre de 2007 pueden dividirse en cuatro categorías principales: Reproductores falsos de películas/DVD y codecs instalados a través de métodos de ingeniería social (Zlob, etc.), troyanos para la banca en línea, programas maliciosos dirigidos a juegos en línea, y el software conocido como “grey-border”, que facilita el acceso a sitios para adultos.

¿De dónde provienen todos estos programas maliciosos? Para responder a esta interrogante, es necesario dar una mirada a las soluciones empleadas por los ciberdelincuentes para alojar los programas maliciosos.

Los programas maliciosos alojados en Internet pueden presentarse de muchas maneras. Pueden encontrarse en equipos anfitriones comprometidos, que fueron infectados con robots que ejecutan pequeños servidores HTTP que se convierten en puntos de distribución. O pueden aparecer en sitios ISP atacados por hackers. Una opción muy común son las empresas que otorgan pequeños espacios gratuitos de alojamiento de páginas web para que los usuarios construyan sus propias páginas. Dichas muestras incluyen a www.pochta.ru, www.googlepages.com, www.100freemb.com, www.dump.ru o www.home.ro.

También se han dado casos en los que tarjetas de crédito robadas fueron utilizadas para comprar un nombre de dominio y un paquete de alojamiento a un ISP legítimo, los cuales se utilizaron posteriormente para distribuir los programas maliciosos.

A principios de este año, una empresa americana de tamaño mediano de servicios de páginas web fue víctima de un ataque en el que los ciberdelincuentes aprovecharon una versión vulnerable del Panel de Control para acceder a todas las cuentas que se encontraban en los servidores de la compañía. Los atacantes accedieron a las páginas “index” de todos los sitios alojados en los equipos comprometidos y añadieron una pequeña rutina que vulneraba una falla en IE. La vulnerabilidad posteriormente instalaba los programas maliciosos, incluyendo un rootkit. De manera similar, en febrero, el sitio Internet del estadio Super Bowl Dolphins fue atacado y se introdujeron vulnerabilidades en el código fuente de la página. Quizás lo más reciente en esta larga lista de ataques contra sitios web es el caso del ataque contra el sitio Internet del Bank of India que se efectuó a fines de agosto de 2007. En este ataque se modificó el código de la página de inicio y se incluyó una vulnerabilidad IE IFRAME, la cual posteriormente daba lugar a programas maliciosos.

El listado de las direcciones IP origen de programas maliciosos detectadas mediante Akross da como resultado un cuadro que muestra la distribución geográfica de los contenidos maliciosos en Internet:

Con un 31,44%, China encabeza como el país donde se origina la mayoría de los programas maliciosos, seguido por los Estados Unidos con un 25,90%. Estos países han dominado casi todas las estadísticas relacionadas con programas maliciosos en los últimos años, intercambiando lugares según las tendencias en la elaboración de programas maliciosos y en la evolución de los sistemas operativos. Resulta interesante observar que mientras en China el medio más común para la distribución de programas maliciosos son los sitios web atacados por hackers y los así llamados “alojamiento a prueba de balas”, en los Estados Unidos lo son los sitios “.com” atacados por hackers y los paquetes de servicios legítimos de páginas Internet adquiridos mediante tarjetas de crédito robadas.

Rusia y Brasil ocupan el 3œ y 4œ lugares, respectivamente. Estos países presentan aspectos similares ya que la mayoría de los programas maliciosos se alojan en “paquetes gratuitos de servicios de páginas Internet”- ISPs que ofrecen al usuario la oportunidad de cargar su sitio web a un ordenador.

Los otros países de la lista aparentemente ofrecen un equilibrio entre equipos atacados por hackers, paquetes gratuitos de páginas Internet y paquetes legítimos de servicios de páginas Internet adquiridos con dinero robado.

Mientras se monitoreaba los sitios maliciosos durante 2007, se detectaron varios sitios que parecían ser algo más que sólo un sitio Internet distribuyendo un archivo ejecutable a solicitud o activando una página HTML que contenía una vulnerabilidad.

Los casos más interesantes fueron quizás los que conllevaban el llamado “polimorfismo lateral del servidor”. Por lo general, los programas nocivos polimorfos se han caracterizado por la presencia de virus polimorfos que tienen la propiedad de modificar sus propios códigos en cada ciclo iterativo. Debido a que el código encargado de realizar el cambio de forma viene insertado en el mismo virus, las modificaciones pueden ser previstas y es posible crear algoritmos de detección y también pueden crearse códigos para las tareas.

Un ejemplo práctico: A principios de 2006 se detectó una URL que activaba un archivo EXE que aparecía revestido de una forma diferente cada vez que era descargado. En este caso en particular, el archivo EXE no variaba mucho (aunque sí cambiaba de vez en cuando). Sin embargo, los 42 últimos bytes del archivo eran diferentes en cada descarga. Parecía que al final se hubiera añadido una combinación entre un sello de tiempo (timestamp) y la dirección IP en descarga, como una especie de marcador para el programa malicioso descargado. Posteriormente, cuando el programa malicioso, que era un troyano espía, se trasmitía a su autor, traía incluido el marcador del final del archivo. Esto le permitía al autor poder correlacionar cada versión única del programa malicioso con la IP que lo descargó, infectado, por todo el mundo.

El 2006 también trajo consigo casos en los que el atacante creaba entre 1.000 y 5.000 ejemplos de un troyano comprimiéndolo junto a una herramienta interna que usaba una llave codificada al azar cada vez que era activada. Luego, un PHP frontal seleccionaba una muestra al azar y la activaba para el usuario. A una compañía antivirus que ignorara esta técnica, inicialmente le parecería un interminable flujo de nuevas infecciones, al menos hasta que se pudiera recolectar suficientes muestras para posibilitar la detección genérica. Un estricto monitoreo de este sitio y de otros similares nos permitió crear la detección genérica y en algunos casos, la descompresión genérica para los nuevos troyanos que seguían apareciendo.

Otro caso interesante tuvo lugar a principios de este año, cuando empezamos a monitorear de cerca un sitio que activaba las muestras de Zhelatin. Las muestras en el servidor cambiaban aproximadamente cada 90 segundos, pero en una de casi cada 500 muestras sucedía algo interesante. La herramienta de codificación utilizada parecía recurrir a un valor al azar de un tamaño de unos 9 bits. Cuando este valor al azar llegaba a un número específico (0?), la muestra resultante era decodificada. Esto nos permitió obtener un par de muestras de generación cero de la familia Zhelatin, las cuales fueron muy útiles para el análisis debido a la ausencia de ofuscaciones.

Con los métodos de distribución de programas maliciosos que cambian sin cesar, se espera que los autores de estos programas continúen concibiendo nuevas formas de infectar equipos. Las tendencias ya incluyen la distribución de programas maliciosos a través de redes P2P o a través de programas de fuente abierta.

En este momento, Internet es sin duda el medio de distribución preferido por los autores de programas maliciosos y este método pareció alcanzar su pico en mayo de 2007. Desde entonces el número de nuevos sitios maliciosos ha decaído en cierta medida. Aunque estas son buenas noticias, aún hay muchos nuevos sitios maliciosos que aparecen cada día y las técnicas de ingeniería social o las vulnerabilidades que encandilan a los usuarios se hacen cada vez más y más sofisticadas.

China y los Estados Unidos son dos gigantes en términos de sitios maliciosos; a pesar de los mejores esfuerzos de las autoridades en estos países, parecen ser los ganadores indiscutibles de este dudoso honor. Mientras que por lo general es posible cerrar un sitio malicioso en los Estados Unidos en menos de 48 horas, no ocurre lo mismo en China. Sabemos de sitios maliciosos en China que han estado activos por más de un año y que todos los intentos por cerrarlos fracasaron. Tomando esto en cuenta, es posible que más y más sitios maliciosos sean alojados en China, país que se está convirtiendo en un paraíso para este tipo de actividades.

Kaspersky Lab continuará realizando el monitoreo de esta situación; la información en futuros artículos permitirá corroborar si los esfuerzos combinados de las compañías antivirus y los organismos encargados de la aplicación de las leyes cibernéticas logran tener un impacto positivo en el número de sitios que albergan códigos maliciosos.

Mientras tanto, los usuarios deben mantener actualizados sus sistemas operativos y migrar de Internet Explorer 6 a otros navegadores como Firefox, IE7 y Opera, que tienen una mejor historia en materia de seguridad. Y finalmente, es esencial contar con un producto antivirus capaz de monitorear el tráfico Internet, ya que como se ha demostrado en este artículo, este es ahora el principal vector infeccioso para los programas maliciosos.