Informes sobre malware

Evolución de las amenazas informáticas en el segundo trimestre de 2019

Ataques selectivos y campañas de malware

Más sobre ShadowHammer

En marzo publicamos los resultados de nuestra investigación de un sofisticado ataque contra la cadena de suministro, realizado mediante Live Update Utility de ASUS, software que sirve para actualizar BIOS, UEFI y software en PCs y portátiles ASUS. Los atacantes agregaron una puerta trasera a esta utilidad y la distribuyeron a los usuarios mediante canales oficiales.

ASUS no es la única compañía que los atacantes usaron. Entre otras víctimas se encuentran varias compañías de juegos, una corporación y una compañía farmacéutica, todas en Corea del Sur. Los atacantes, o bien tuvieron acceso al código fuente de los proyectos de las víctimas, o bien inyectaron malware durante la compilación del proyecto: todo indica que ya habían comprometido las redes de dichas compañías.

Nuestro análisis de la sofisticada puerta trasera instalada por los atacantes revela que se trató de una versión actualizada de la puerta trasera ShadowPad utilizada en los ataques contra la cadena de suministro, sobre los que informamos en 2017. También encontramos que la versión actualizada que ShadowHammer utilizó el mismo principio de las anteriores. La puerta trasera despliega múltiples etapas de código antes de activar un sistema de complementos responsable del bootstrap de la principal función maliciosa. Los atacantes utilizaron al menos dos etapas de servidores C2: la primera suministraba la puerta trasera con un dominio C2 codificado para la siguiente etapa. También encontramos que ShadowHammer reutilizó algoritmos previamente usados en varias muestras de malware, entre ellos PlugX, una puerta trasera muy popular entre los grupos de hackers de habla china.

Este ataque contra la cadena de suministro es un hito en el escenario de los ciberataques: incluso los fabricantes de renombre pueden verse afectados por certificados digitales comprometidos y la incertidumbre cada vez mayor respecto a la infraestructura de desarrollo de software de otras compañías del sector. Los atacantes responsables de ShadowHammer lograron agregar una puerta trasera a las herramientas de desarrollador e inyectar un código malicioso en binarios firmados digitalmente, afectando así la credibilidad de este poderoso mecanismo de defensa. Es crucial que los fabricantes de software añadan una línea más en su cadena de compilación de software para asegurarse de que el software esté libre de potenciales inyecciones de malware, incluso después de que el código haya sido firmado digitalmente.

Lea nuestro informe completo.

Actividades de Roaming Mantis en curso

En febrero, detectamos nuevas actividades del actor de amenazas Roaming Mantis. Este grupo ha tenido una notable evolución en breve tiempo. Las actividades de Roaming Mantis se conocieron por primera vez en 2017, cuando atacó a Android. Su método de distribución fue el SMS y se focalizaba en un solo país: Corea del Sur. Desde entonces, las actividades de este grupo se han ampliado de forma llamativa. Ahora, Roaming Mantis está en 27 idiomas, ataca a iOS y Android, y su arsenal incluye software de criptominería para PCs.

El principal hallazgo de nuestra última investigación es que Roaming Mantis sigue buscando formas de comprometer dispositivos iOS. El grupo incluso ha creado una página de destino para los usuarios de iOS. Cuando la víctima llega a la página encuentra un mensaje emergente que la conduce hacia la instalación de la configuración maliciosa móvil de iOS. Tras la instalación de esta configuración móvil, el sitio de phishing se abre automáticamente en un navegador web y envía al servidor del atacante la información recopilada en el dispositivo de la víctima. Esta información incluye los datos DEVICE_PRODUCT, DEVICE_VERSION, UDID, ICCID, IMEI y MEID.

Nuestra telemetría también reveló una nueva oleada de archivos APK maliciosos que atacan a dispositivos Android. Nuestro análisis ha confirmado que se trata de una variante del malware sagawa.apk Tipo A que anteriormente se propagara vía SMS en Japón. Roaming Mantis también sigue empleando la manipulación de DNS que utilizó en anteriores campañas.

Los países más afectados por esta campaña son Rusia, Japón, India, Bangladesh, Kazajistán, Azerbaiyán, Irán y Vietnam. Hemos detectado este malware en más de 6.800 ocasiones en los equipos de más de 950 usuarios únicos durante este periodo. Sin embargo, creemos que la escala de esta ola de ataques es mucho mayor y que estas cifras solo reflejan una pequeña parte de la campaña.

Las aguas fangosas de los APTs en el Medio Oriente

En abril realizamos un análisis de las herramientas que usó el actor de amenazas MuddyWater tras infectar a sus blancos. MuddyWater, que apareció en 2017, es un grupo APT que se concentra en agencias gubernamentales y compañías de telecomunicaciones en el Medio Oriente: Irak, Arabia Saudita, Baréin, Jordania, Turquía y Líbano, además de un puñado de países vecinos: Azerbaiyán, Paquistán y Afganistán. Este grupo utiliza un conjunto de herramientas de ataque personalizadas, en su mayoría desarrolladas por el mismo grupo usando Python, C# y PowerShell, para infectar a sus víctimas y extraer sus datos.

Una vez instaladas sus herramientas de ataque en el sistema de la víctima, MuddyWater también usa técnicas engañosas para desviar las investigaciones, como cadenas en chino o en ruso, y tratan de hacerse pasar por el grupo de hackers conocido como ‘RXR Saudi Arabia’.

En los últimos años, este actor de amenazas ha ampliado sus blancos y su arsenal de malware: prevemos que el grupo seguirá desarrollando sus herramientas. Sin embargo, si bien sus herramientas son moderadamente sofisticadas, el OPSEC actual del grupo es bajo, dejando a la vista detalles que podrían revelar diferente tipo de información sobre los atacantes.

ScarCruft sigue evolucionando

Seguimos rastreando las actividades de ScarCruft, un actor de amenazas de habla coreana y supuestamente patrocinado por el gobierno, que suele atacar a organizaciones vinculadas con la península coreana. Este grupo, que ha demostrado ser muy capaz e ingenioso, sigue evolucionando.

Nuestra reciente investigación muestra que durante 2018, este grupo usó un proceso de múltiples etapas para actualizar cada uno de los módulos de sus programas maliciosos, a la vez que lograba evadir la detección. El grupo sigue utilizando el spear-phishing y conocidos exploits como vectores iniciales de ataque. Una vez que infectan a su blanco, los atacantes instalan un dropper inicial, que utiliza un conocido exploit (CVE-2018-8120) para evadir Windows UAC y ejecutar su próxima carga maliciosa, un descargador, con altos privilegios. Este se conecta con un servidor C2 para descargar la siguiente carga, la cual ocultan en una imagen mediante esteganografía. Se trata de un RAT (Remote Access Troyan), una puerta trasera multifuncional y un extractor de información conocido como ROKRAT. Este malware puede descargar cargas adicionales, ejecutar comandos de Windows, guardar capturas de pantalla y grabaciones de audio, así como extraer archivos.

También descubrimos un programa malicioso interesante y raro, creado por ScarCruft: un recolector de dispositivos Bluetooth. Los atacantes lo utilizan para extraer información directamente desde los dispositivos infectados: nombre y clase del dispositivo, a qué dispositivos está conectado, dirección, estado de autenticación, y si está marcado como confiable o recordado.

Creemos que el objetivo principal de ScarCruft es la obtención de inteligencia para fines políticos y diplomáticos. Nuestra telemetría ha revelado varias víctimas de esta campaña: compañías de inversiones y comerciales en Vietnam y Rusia que creemos tienen vínculos con Corea del Norte. ScarCruft también ha atacado a una agencia diplomática en Hong Kong y a otra en Corea del Norte.

Hemos descubierto que una víctima en Rusia también había activado una detección de malware mientras se encontraba en Corea del Norte en el pasado. Esta víctima se había infectado con GreezeBackdoor, una herramienta del grupo APT DarkHotel. La víctima también había sido atacada con Konni, un programa malicioso camuflado como una noticia sobre Corea del Norte en un documento malicioso llamado ‘Why North Korea slams South Korea’s recent defense talks with U.S-Japan.zip’. Esta no es la primera vez que vemos un solapamiento entre los actores de amenazas ScarCruft y DarkHotel: es algo que nuestros compañeros han discutido en conferencias de seguridad y que hemos compartido detalladamente con nuestros clientes de inteligencia de amenazas. Ambos actores de amenazas son de habla coreana, aunque parecen tener diferentes TTPs (Tácticas, Técnicas y Procedimientos).

Para conocer más sobre nuestros informes de inteligencia, o para solicitar más información sobre un informe en particular, por favor escríbanos a: intelreports@kaspersky.com.

La maliciosa ensalada multilingüe Zebrocy

Recientemente informamos sobre las actividades del actor de amenazas APT Zebrocy. Se trata de un grupo de habla rusa, cuyos antecedentes datan de 2013, y que se especializa en el perfilamiento y acceso de sus víctimas. Zebrocy comparte artefactos maliciosos entre otras cosas con los actores de amenazas Sofacy y BlackEnergy, lo que sugiere que el grupo se desempeña como un subgrupo de apoyo. Se cree que Sofacy atacó las elecciones de 2016 en EE.UU. BlackEnergy es el grupo responsable de los ataques en 2015 contra la red eléctrica de Ucrania. Además, otro actor de amenazas, Turla, instaló macros de spear-phishing que eran casi idénticos al anterior código, no público, de Zebrocy en 2018. Al parecer, Zebrocy se usa como punta de lanza en los sistemas atacados antes de que otros grupos instalen sus herramientas destructivas y de espionaje.

En su campaña más reciente, Zebrocy utilizó spear-phishing para distribuir un nuevo descargador Nim a sus blancos en todo el mundo, incluyendo a víctimas en Alemania, Reino Unido, Afganistán, Kazajistán, Kirguistán, Tayikistán, Turkmenistán, Siria, Irán, Myanmar y Tanzania.

El regreso de Platinum

En junio, nos encontramos con un inusual conjunto de muestras utilizadas para atacar a organizaciones diplomáticas, gubernamentales y militares en países del sur y sureste de Asia. Esta campaña, que data de 2012, presenta un enfoque de múltiples etapas. La nombramos ‘EasternRopples‘. El actor de amenazas detrás de esta campaña, que creemos es el grupo PLATINUM APT, utiliza una técnica esteganográfica elaborada, nunca antes vista, para ocultar la comunicación.

Para esta campaña, los operadores utilizaron subrutinas WMI (Windows Management Instrumentation) para ejecutar un descargador inicial PowerShell que descarga una pequeña puerta trasera PowerShell. Notamos que muchas rutinas del WMI PowerShell inicial tenían diferentes direcciones IP de C2 codificadas, diferentes llaves de codificación, salt para codificación (también diferente para cada cargador inicial) y diferentes horas activas (es decir que el malware solo funcionaba durante ciertas horas del día). Las direcciones de C2 se encontraban en servicios gratuitos de hosting, y los atacantes hicieron amplio uso de una gran cantidad de cuentas de Dropbox (para almacenar la carga y los datos extraídos). El propósito de la puerta trasera PowerShell era realizar la identificación inicial de un sistema, ya que contaba con una cantidad muy limitada de comandos: descargar o cargar un archivo y ejecutar una rutina PowerShell.

Nos encontrábamos investigando otra amenaza al mismo tiempo, que creíamos era la segunda etapa de la misma campaña. Después de un profundo análisis, nos dimos cuenta de que las dos amenazas estaban relacionadas: entre otras cosas, ambos ataques utilizaron el mismo dominio para almacenar los datos extraídos, y ambos tipos de malware infectaron a algunas de las víctimas al mismo tiempo. En la segunda etapa, todos los archivos ejecutables estaban protegidos con un codificador runtime, y después de descomprimirlos encontramos otra puerta trasera, previamente desconocida, relacionada con PLATINUM.

Hace un par de años, habíamos predicho que más y más desarrolladores de APTs y malware recurrirían a la esteganografía, y esta campaña lo ha evidenciado: los actores utilizaron dos interesantes técnicas de esteganografía en este ATP: También resulta interesante que los atacantes decidieran implementar las utilidades que necesitaban en forma de un enorme conjunto: un ejemplo de que la arquitectura basada en marcos es cada vez más popular.

La campaña de los ciberpiratas de Gaza SneakyPastes

Gaza Cybergang es un actor de amenazas de habla árabe con motivaciones políticas que ataca a blancos en el Medio Oriente y en el Norte de África, especialmente en los Territorios Palestinos. Ha habido cierta confusión respecto a las actividades de este grupo: a pesar del alineamiento de objetivos, las actividades del grupo parecían dispersas e implicaban el uso de diferentes herramientas y programas maliciosos.

Nuestro monitoreo de las actividades del grupo en 2018 nos ha permitido distinguir tres grupos de ataques que operan bajo la sombra de este actor de amenazas: Gaza Cybergang Group1 (alias ‘MoleRATs’), Gaza Cybergang Group2 (alias ‘Deseert Falcons‘) y Gaza Cybergang Group3 (alias ‘Operation Parliament‘). Ya nos hemos referido a las actividades de los dos últimos en anteriores informes. Nuestro último informe se centra en el primero, Gaza Cybergang Group1 o MoleRATs.

Este es el menos sofisticado de los tres y se basa en el uso de sitios de pegado, en una operación llamada ‘SneakyPastes’, para gradualmente inyectar uno o más troyanos de acceso remoto (RAT) en el sistema de la víctima. Se sabe que este grupo usa phishing y una serie de etapas encadenadas para intentar evadir la detección y ampliar la vida de sus servidores C2. Los blancos más comunes de SneakyPastes son embajadas, entidades gubernamentales, educativas y de salud, medios de comunicación, periodistas, activistas, partidos políticos o su personal, y bancos. Nuestra telemetría muestra víctimas en 39 países, pero la mayoría de las 240 víctimas se encuentra en los Territorios Palestinos, Jordania, Israel y Líbano.

TajMahal: un sofisticado nuevo conjunto APT

En otoño de 2018, descubrimos un conjunto ATP, anteriormente desconocido, al que llamamos ‘TajMahal’, que había estado activo los últimos cinco años. Se trata de un sofisticado conjunto de spyware que incluye puertas traseras, cargadores, orquestadores, comunicadores C2, grabadores de audio, keyloggers, capturadores de pantalla y webcam, ladrones de documentos y llaves de cifrado, e incluso su propio indexador de archivos para la computadora de la víctima. Descubrimos hasta 80 módulos maliciosos almacenados en su Sistema de Archivos Virtual codificado: una de las mayores colecciones de complementos que hemos visto en un conjunto de herramientas APT.

Existen dos paquetes diferentes, autonombrados ‘Tokyo’ y ‘Yokohama: los equipos atacados que encontramos contienen ambos. Creemos que los atacantes usaban Tokyo en la primera etapa de la infección, instalaban el completamente funcional paquete Yokohama en los computadores de víctimas interesantes, y utilizaban Tokyo como respaldo.

Este malware incluye amplias funciones para el robo de datos. Entre ellas figuran: robo de cookies, intercepción de documentos en la cola de impresión, extracción de datos desde las copias de respaldo de dispositivos iOS, grabación y captura de pantalla de llamadas VoIP, robo de las imágenes en CD hechas por la víctima, indexación de archivos, incluyendo aquellos en unidades externas, y el robo de datos cuando la unidad es otra vez detectada después.

Hasta ahora, nuestra telemetría ha revelado una sola víctima: un cuerpo diplomático de un país de Asia Central.

Continúan las operaciones cibercriminales de FIN7

En 2018, Europol y el Departamento de Justicia de EE.UU. anunciaron el arresto del líder de los grupos cibercriminales FIN7 y Carbanak/CobaltGoblin. Algunos pensaron que dicho arresto afectaría las operaciones del grupo. No parece ser así. De hecho, CobaltGoblin y FIN7 han ampliado la cantidad de grupos que operan a su sombra: existen varios grupos interconectados que usan conjuntos de herramientas muy similares y la misma infraestructura para lanzar sus ataques.

El primero es el ahora famoso FIN7 especializado en ataques contra varias compañías para acceder a sus datos financieros o a su infraestructura PoS. Utiliza una puerta trasera Griffon JScript y Cobalt/Meterpreter y, en recientes ataques, POwerShell Empire. El segundo es CobaltGoblin/Carbanak/EmpireMonkey, que usa el mismo conjunto de herramientas, técnicas y una infraestructura similar, pero ataca solo a entidades financieras y proveedores de servicio y software asociado.

Creemos con un razonable nivel de certeza que la botnet AveMaria está vinculada con estos dos grupos: AveMaria suele atacar a proveedores de grandes compañías, y la forma en que gestiona su infraestructura es muy similar a la de FIN7. El último grupo es el recientemente descubierto CopyPaste, que ha atacado a entidades financieras y compañías en un país del África, lo que nos lleva a pensar que está asociado con cibermercenarios o a un centro de entrenamiento. Los vínculos entre CopyPaste y FIN7 son aún muy tenues. Es posible que los operadores de este conjunto de actividades se basen en publicaciones de código abierto y que en realidad no tenga relación con FIN7.

Todos estos grupos se aprovechan en gran medida de los sistemas sin parches en ambientes corporativos y siguen usando efectivas campañas de spear-phishing, junto a conocidos exploits de Microsoft Office generados por el conjunto de herramientas. Hasta ahora, los grupos no han usado vulnerabilidades de día cero. Los documentos de phishing de FIN7/Cobalt pueden parecer básicos, pero en combinación con una extensa ingeniería social y ataques selectivos, han tenido bastante éxito.

Lea nuestro informe completo sobre FIN7.

Vulnerabilidades de día cero en win32k.sys

En marzo, nuestra tecnología AEP (Prevención Automática de Exploits) detectó un intento de exploit de una vulnerabilidad en Windows. Un análisis en profundidad nos permitió descubrir una vulnerabilidad de día cero en ‘win32k.sys’ : la quinta vulnerabilidad de Local Privilege Escalation consecutivamente explotada que descubrimos en los últimos meses. La reportamos a Microsoft el 17 de marzo, se le asignó CVE-2019-0859 y el 9 de abril se publicó el parche.

Se trata de una vulnerabilidad Use-After-Free presente en la función ‘CreateWindowEx’. El exploit que encontramos circulando en Internet se usaba para atacar las versiones 64-bit, desde Windows 7 hasta las últimas compilaciones de Windows 10. La explotación de la vulnerabilidad permite que el malware descargue y ejecute una rutina escrita por los atacantes, que en el peor escenario podría otorgarle al atacante el control total del PC infectado. Los atacantes lograron obtener suficientes privilegios para instalar una puerta trasera PowerShell y usarla para lograr el acceso completo al computador infectado.

Plurox: una puerta trasera modular

A principios de este año nos encontramos con una curiosa puerta trasera, a la que llamamos Plurox. Nuestro análisis relevó que este malware poseía algunas funciones peligrosas. Podía propagarse a través de una red local mediante un exploit, proporcionar acceso a la red atacada e instalar programas mineros y otros programas maliciosos en el computador de la víctima. Esta puerta trasera también es modular, de manera que los atacantes pueden ampliar sus funciones mediante complementos, según las vayan necesitando.

Este malware puede instalar uno de varios criptomineros, dependiendo de la configuración del sistema. El bot envía un paquete con la configuración del sistema al servidor C2 y recibe como respuesta información sobre qué complemento descargar. En total, contamos ocho módulos mineros.

También encontramos un complemento UPnP. Este módulo recibe una subred con máscara /24 del servidor C2, recupera todas las direcciones IP de ella, y procede a enviar los puertos 135 (MS-RPC) y 445 (SMB) para las direcciones IP actualmente seleccionadas en el router usando el protocolo UPnP. Si esto funciona, reporta el resultado al servidor C2, espera 300 segundos (cinco minutos) y luego borra los puertos enviados. Suponemos que los atacantes usan este complemento para lanzar ataques contra redes locales. El atacante solo necesita cinco minutos para escoger entre todos los exploits disponibles para los servicios que se ejecutan en estos puertos. Si el administrador detecta el ataque en el host, verá que proviene directamente del router y no de un equipo local. Si el ataque tiene éxito, los atacantes lograrán penetrar la red.

También existe un módulo SMB que es el responsable de propagar malware por la red mediante el exploit EternalBlue.

Otras noticias de seguridad

Doppelgangers digitales

En abril, publicamos los resultados de nuestra investigación de Genesis, una tienda en línea que comercia más de 60.000 identidades digitales, entre robadas y legítimas. Esta tienda, junto a otras herramientas maliciosas que usan los ciberdelincuentes, está diseñada para abusar del enfoque antifraude basado en el aprendizaje automático de las ‘máscaras digitales’.

Cada vez que introducimos nuestra información financiera, de pagos y personal durante una transacción en línea, las soluciones antifraude nos comparan con una máscara digital: un perfil de cliente confiable y único basado en características conocidas de conducta y de dispositivos que permite a los equipos antifraude de las organizaciones financieras determinar si la transacción es legítima.

No obstante, es posible copiar la máscara digital. Nuestra investigación descubrió que los ciberdelincuentes están usando activamente estos ‘doppelgangers digitales’ para burlar avanzadas medidas antifraude. Esta oscura tienda en línea, Genesis, vende máscaras digitales robadas y cuentas de usuario a precios entre 5 y 200 dólares cada una. Sus clientes compran máscaras digitales robadas junto con inicios de sesión y contraseñas robadas a tiendas y servicios de pago en línea, y luego las ejecutan mediante un navegador y una conexión proxy para replicar las actividades del usuario real. Si tienen las credenciales de cuenta de usuarios legítimos, los atacantes pueden acceder a sus cuentas en línea o hacer nuevas y confiables transacciones en su nombre.

Otras herramientas permiten a los atacantes crear de cero sus propias y únicas máscaras digitales y diseñarlas para no activar las soluciones antifraude. Investigamos una de estas herramientas, el navegador especial Tenebris, que tiene integrado un generador de configuración para generar huellas digitales únicas. Una vez creadas, el ladrón de tarjetas, o carder, no tiene más que ejecutar la máscara mediante un navegador y una conexión proxy y realizar operaciones en línea.

Recomendamos a las compañías que utilicen la autenticación de múltiples factores en cada una de las etapas del proceso de validación del usuario, que consideren la introducción de métodos adicionales de verificación, como el biométrico, que utilicen los métodos analíticos más avanzados de comportamiento del usuario, y que integren insumos de inteligencia antiamenazas en el SIEM, así como otros controles de seguridad para acceder a los datos de amenazas más críticos y actualizados.

Riesgos potenciales con complementos de terceros

Recientemente hemos observado los complementos y algunos de los riesgos potenciales que estos conllevan.

Las tiendas en línea, los portales de información y otros recursos normalmente se basan en plataformas que proporcionan a los desarrolladores un conjunto de herramientas listas para usar. Las funciones que necesitan suelen estar disponibles como complementos, lo que permite a los atacantes ser muy selectivos. Los complementos son pequeños módulos de software que aumentan o mejoran la funcionalidad de un sitio web: muestran los widgets de redes sociales, generan estadísticas, crean encuestas y otros tipos de contenido. Los complementos evitan que los desarrolladores tengan que “reinventar la rueda” cada vez que necesitan una función en particular.

Sin embargo, las cosas pueden salir mal. Los complementos se ejecutan automáticamente y pueden pasar inadvertidos hasta que algo sale mal. Si el creador del complemento lo abandona, o lo vende a otro desarrollador, esto puede pasar desapercibido por los usuarios. Si el complemento queda desactualizado por mucho tiempo, es probable que contenga vulnerabilidades sin parchar que podrían ser explotadas para lograr el control de un sitio web o para descargar malware. Incluso cuando las actualizaciones están disponibles, a menudo los propietarios de sitios web suelen restarle importancia: los módulos vulnerables pueden permanecer activos años después de que el desarrollador haya dejado de brindarles soporte.

Algunas plataformas de gestión de contenidos bloquean las descargas de módulos desprovistos de soporte. Sin embargo, el desarrollador no puede eliminar los complementos vulnerables de los sitios web de los usuarios, ya que esto podría causar trastornos. Además, los complementos abandonados pueden almacenarse, no en la misma plataforma, sino en servicios disponibles al público. Cuando el creador deja de brindar soporte o elimina un módulo, el sitio web seguirá accediendo al contenedor en el que se encontraba. Los ciberdelincuentes pueden capturar o clonar fácilmente este contenedor abandonado, forzándolo a descargar malware en lugar del complemento.

Esto es lo que sucedió con el contador de tuits New Share Counts, alojado en la nube Amazon S3. El desarrollador publicó un mensaje en su sitio web anunciando que había suspendido el soporte para el complemento, pero más de 800 clientes no lo leyeron. Cuando el desarrollador del complemento posteriormente cerró el contenedor en Amazon S3, los ciberdelincuentes crearon su propio almacenamiento con exactamente el mismo nombre y colocaron una rutina maliciosa en él. Los sitios web que aún utilizaban el complemento, comenzaron a descargar el nuevo código, que desvía a los usuarios hacia un recurso de phishing, con el engaño de ganar un premio por participar en una encuesta, en vez de abrir el contador de tuits. Algo similar puede suceder si un desarrollador decide vender su complemento y no es cuidadoso sobre a quién se lo vende.

Recomendamos a las compañías que de forma independiente monitoreen la seguridad de los complementos en sus sitios web y tomen las medidas apropiadas para garantizar su seguridad.

Juegos de amenazas

Los sitios de torrents siempre han sido la opción favorita de quienes buscan versiones pirateadas de juegos y de otros programas, así como películas taquilleras. Sin embargo, en los últimos años, las series de televisión más populares han pasado a formar parte de las listas de contenidos en estos sitios. Este es un crisol de oportunidades para que los ciberdelincuentes propaguen sus programas maliciosos. Un estudio realizado en 2015 descubrió que los contenidos de contrabando representan el 35% de los archivos compartidos por BitTorrent, y que más del 99% de los archivos falsificados analizados conducían a sitios web estafadores o maliciosos.

Hace poco analizamos unas amenazas camufladas de nuevos episodios de conocidas series de televisión que se distribuían a través de sitios de torrents, para ver cuáles eran las más populares y qué tipo de amenazas propagaban los ciberdelincuentes de esta manera. En 2018, 126.000 usuarios se encontraron con malware relacionado con una serie de televisión, casi un tercio menos que en 2017; aun así, sigue siendo una cantidad significativa. Las tres principales series de televisión más usadas como carnada son Game of Thrones, The Walking Dead y Arrow. Games of Thrones representó el 17% de los contenidos pirateados, aunque fue la única serie de televisión en nuestra lista que no mostró nuevos episodios en 2018. Las tres categorías principales de amenazas fueron: troyanos, descargadores y publicitarios. Nuestro informe contiene detalles y consejos para evitar las amenazas provenientes de plataformas de distribución de contenidos.

Hoy en día, mucha gente prefiere ver contenidos de televisión por Internet. Esto también es una mina de oportunidades para los ciberdelincuentes que ofrecen descargas gratuitas a cambio de datos personales de cualquier usuario que quiera ver contenidos sin pagar por ellos, o de quienes viven en regiones donde los contenidos no están disponibles de forma legítima. El estreno de Game of Thrones de este año batió todas las récords y se dio un pico en la actividad cibercriminal relacionada con esta serie: la cantidad de ataques casi se cuatriplicó después del estreno.

Fraudes por suplantación de tarjetas SIM en gran escala

Los fraudes por suplantación de tarjetas SIM ocurren cuando un ciberpirata se hace pasar por el usuario de un operador de telefonía móvil y convence a la compañía de que le otorgue una tarjeta SIM de remplazo. Entonces usa los datos personales para suplantar a la víctima. La nueva tarjeta SIM le proporciona al ciberpirata el control del número de teléfono móvil de la víctima y le permite suplantar su identidad. Si la víctima ha optado por recibir contraseñas de uso único por SMS, el ciberpirata puede usarlas, con otros credenciales robados, para acceder a sus cuentas en línea, incluyendo sus cuentas bancarias.

Hace poco investigamos un fraude de suplantación de tarjetas SIM en Brasil y Mozambique. Los pagos desde dispositivos móviles van creciendo a pasos agigantados en los países en desarrollo, especialmente en África y América Latina. Las transferencias monetarias desde teléfonos móviles permiten a los usuarios acceder a servicios financieros y de microfinanzas, y depositar, retirar y pagar por bienes y servicios fácilmente. En algunos casos, casi la mitad del valor del PIB de algunos países del África pasa por los teléfonos móviles. Entonces, los delincuentes recurren al fraude de suplantación de tarjetas SIM para atacar los pagos móviles, ocasionando que los usuarios pierdan dinero a gran escala.

Los estafadores usan ingeniería social, sobornos e incluso sencillos ataques de phishing para controlar los números de los teléfonos de los usuarios e interceptar las transacciones monetarias móviles o las contraseñas de uso único para completar las transferencias de fondos o robar dinero a los usuarios.

En Mozambique, este tipo de delito ha tenido una amplia cobertura en los medios de comunicación que cuestionan la integridad de los bancos y de los operadores móviles, insinuando que pueden estar coludidos en las estafas. Puesto que la reputación de los bancos y de los operadores estaba en riesgo, tuvieron que tomar medidas urgentes para proteger a sus clientes. En el banco más grande de Mozambique tuvieron un promedio mensual de 17,2 casos de fraudes por suplantación de tarjetas SIM, pero el impacto real a nivel nacional resulta difícil de estimar, ya que la mayoría de los bancos no hacen públicas sus estadísticas. Algunas de las víctimas eran empresarios de alto perfil, a quienes les robaron hasta 50.000 dólares de sus cuentas.

En Brasil, el problema llegó a afectar a políticos, ministros, gobernadores y empresarios de alto perfil, así como a ciudadanos corrientes. Una sola pandilla organizada en Brasil logró suplantar las tarjetas SIM de 5.000 víctimas.

Nuestro informe subraya el problema que enfrentaron ambos países y una solución local desarrollada en Mozambique que redujo de forma drástica el nivel de fraudes.

Los problemas alrededor del spyware legal

El spyware puede sonar a una película de Hollywood, pero cualquiera puede comprar las versiones comerciales de estos programas, conocidas como ‘stalkerware’, por un puñado de dólares. Estos programas permiten espiar a alguien con solo instalar una aplicación en su teléfono móvil o tablet. Una vez instaladas, estas aplicaciones permanecen ocultas y permiten acceder a una serie de datos personales, incluyendo la ubicación del dispositivo, el historial de navegación, mensajes SMS, chats y más. Algunos incluso son capaces de grabar voz y video.

Estas aplicaciones por lo general son legales, por lo que las identificamos formalmente como ‘not-a-virus: Monitor’ al alertar al usuario sobre su presencia. Sus desarrolladores las comercializan como programas de control de menores y muchos usuarios las descargan y usan: en 2018 detectamos stalkerware en los dispositivos de más de 58.000 usuarios.

Sin mencionar los aspectos morales de instalar estas aplicaciones en el dispositivo de otra persona, hay varias cosas que las hacen peligrosas.

La mayoría de estas aplicaciones no cumple con las políticas de tiendas oficiales, como Google Play. Entonces, como suelen encontrarse en sitios especiales ajenos a los canales comerciales legítimos, los usuarios tienen que instalarlas por su cuenta, lo que hace a sus dispositivos vulnerables contra ataques.

Las aplicaciones stalkerware a menudo requieren acceso a los derechos del sistema, a veces incluso solicitan acceso a la raíz, lo que les otorga el control del dispositivo, incluyendo el derecho a instalar otras aplicaciones. Algunas insisten en que el usuario les permita desactivar o eliminar las soluciones de seguridad.

Estas aplicaciones descargan datos personales desde el dispositivo de la víctima al servidor de su creador, donde el usuario que instaló la aplicación puede revisarlos. Sin embargo, la falta de seguridad expone los datos ante los ciberpiratas.

Las aplicaciones legítimas, a diferencia del stalkerware, no se ocultan en el dispositivo del usuario, ni desactivan las soluciones de seguridad ni significan un riesgo para la privacidad del usuario. Además están disponibles en tiendas oficiales.

Para protegerse contra el stalkerware, asegure sus dispositivos con una contraseña sólida y no la revele a nadie, bloquee la instalación de aplicaciones de terceros, verifique regularmente las aplicaciones instaladas, elimine las que ya no necesita e instale una solución de seguridad confiable.

La llamada de WhatsApp que expone su teléfono a espías

Una vulnerabilidad de día cero en WhatsApp, reportada en mayo, permitía a un atacante espiar los dispositivos que ejecutaban esta aplicación. El atacante podía leer los chats encriptados, encender el micrófono y la cámara e instalar spyware para incrementar sus opciones de espionaje, como acceder a las fotos y videos de la víctima, a su lista de contactos y más.

Para explotar esta vulnerabilidad, el atacante sólo tenía que llamar a la víctima por WhastApp. Esta llamada estaba específicamente diseñada para desencadenar un desbordamiento de búfer en WhatsApp, permitiendo así que el atacante controle la aplicación y ejecute en ella un código arbitrario. Los atacantes usaron este método no solo para espiar los chats y llamadas de sus víctimas, sino también para explotar vulnerabilidades previamente desconocidas en el sistema operativo, lo que les permitía instalar otras aplicaciones en el dispositivo.

Esta vulnerabilidad afecta a versiones de WhatsApp para Android anteriores a 2.19.134, de WhatsApp Business para Android anteriores a 2.19.44, de WhatsApp para iOS anteriores a 2.19.51, de WhatsApp Business para iOS anteriores a 2.19.51, de WhatsApp para Windows Phone anteriores a 2.18.348 y de WhatsApp para Tizen anteriores a 2.18.15. WhatsApp publicó los parches para esta vulnerabilidad el 13 de mayo. Hubo quienes sugerían que este spyware era Pegasus, desarrollado por la compañía israelí NSO.

Vulnerabilidades de alto peligro en VLC Media Player

En junio, VideoLAN, los desarrolladores del reproductor multimedia de código abierto VLC, publicaron parches para dos vulnerabilidades de extremo peligro: una para escritura sin límites y otra de desbordamiento de búfer de pila. Estas fueron 2 de las 33 fallas reparadas a raíz de un nuevo programa de recompensas por encontrar vulnerabilidades establecido por la Comisión Europea como parte del proyecto Auditoría de Software de Fuente Abierta y Libre (FOSSA). Conozca más aquí.

Parlantes inteligentes a la escucha

Amazon está bajo fuego por sus políticas de privacidad, como reveló un informe de Bloomberg en sentido de que la compañía contrata personal para escuchar las grabaciones de Amazon Echo, en un esfuerzo por mejorar la capacidad de su asistente virtual para entender el habla humana. Este equipo escucha y toma nota de las grabaciones de voz que se activan después de que se pronuncia la palabra ‘Alexa’ para despertar al dispositivo, y registra una pequeña cantidad de interacciones de un conjunto aleatorio de usuarios. Un aspecto particularmente alarmante de este informe es la insinuación de que, aunque Amazon permite a los clientes optar por darse de baja, a veces las grabaciones comienzan sin que el dispositivo ‘oiga’ la palabra de alerta.

Amazon recientemente registró una patente a partir de la idea de que la ‘escucha de voz’ permitiría a su parlante inteligente espiar todas las conversaciones y analizarlas. De implementarse, esta tecnología permitiría a la compañía escuchar todas las conversaciones de los usuarios, violando así su privacidad. También proporcionaría a Amazon una cantidad incalculable de datos que podrían usarse en publicidad dirigida.

Cada vez más personas aprovechan las ventajas que ofrecen los parlantes inteligentes. Sin embargo, hay que recordar que estos dispositivos son también oyentes inteligentes. Le recomendamos siempre revisar los ajustes de privacidad de cualquier dispositivo inteligente que compre y que desactive aquellas funciones que no le transmitan confianza.

La privacidad importa

Su información personal es un bien valioso. El valor de la información personal queda en evidencia en las frecuentes noticias sobre fugas de datos. A veces, nos inducen con engaños a exponer nuestros datos personales, quizás porque nos apresuramos a hacer clic en los adjuntos o enlaces en los mensajes de correo, o porque no tenemos suficiente cuidado cuando buscamos una buena oferta en Internet. Sin embargo, a veces nuestra información personal también queda expuesta cuando un proveedor en línea no ha tomado las medidas de seguridad adecuadas.

Por ahora no hay mucho que podamos hacer para prevenir la pérdida o robo de los datos de una compañía en línea. Sin embargo, es importante que tomemos todas las medidas necesarias para proteger nuestras cuentas y para minimizar el impacto de cualquier violación: en particular, debemos tener contraseñas únicas para cada sitio, usar autenticación de doble factor y restringir la cantidad de datos que elegimos compartir en línea.

La información es valiosa no solo para los ciberdelincuentes, sino también para las compañías legítimas. A menudo, es el ‘precio’ que pagamos por productos y servicios ‘gratis’, incluyendo navegadores, cuentas de correo y cuentas de redes sociales. No siempre queda claro cómo usan nuestros datos los proveedores en línea, por lo que es esencial revisar cuidadosamente la configuración de seguridad de nuestros dispositivos y darse de baja si no nos inspiran confianza. Por supuesto, si no es posible darse de baja, hay que pensar dos veces antes de suscribirse a un servicio, o eliminar una cuenta si ya lo hicimos.

En mayo, ilustramos algunos de estos temas con una mirada retrospectiva a los escándalos que involucraron a Facebook y su manejo de los datos personales en los dos últimos años.

Evolución de las amenazas informáticas en el segundo trimestre de 2019

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada