Boletín de seguridad de Kaspersky

Kaspersky: Boletín de seguridad. Desarrollo de las amenazas en 2008

  1. Desarrollo de las amenazas en 2008
  2. Las principales estadísticas de 2008
  3. El spam en 2008

Resumen de 2008

El año 2008 nos mostró que la era de las epidemias pertenece al pasado. Comenzó en 2000 marcada por un gran número de gusanos que primero se distribuían por correo electrónico y después por ataques a redes, y causó epidemias globales que alcanzaron su punto más alto entre 2003 y 2005.

2007-2008 fue el punto de partida de un nuevo periodo de rápido crecimiento de los programas troyanos dedicados a robar información, sobre todo de cuentas de bancos y de juegos en línea. Es obvio que en la industria de malware hay una división del trabajo: cada grupo de personas trabaja en un nivel diferente del desarrollo del producto, en su creación, distribución o utilización. De hecho, el negocio del cibercrimen se ha convertido en un servicio que se ofrecen unos a otros.

2007 será recordado como el año que vio la desaparición del llamado “malware no comercial”. En 2008 desaparecieron los programas maliciosos exclusivos, desarrollados y usados por unas pocas personas; en su mayoría, los troyanos y virus detectados en aquel año se crearon para ser vendidos. Al mismo tiempo, para promover las ventas, los creadores de malware usaron activamente el soporte técnico, incluyendo consejos sobre cómo evitar la protección antivirus cuando algunos de sus archivos comenzaron a detectarse.

China se ha convertido en el líder mundial en el desarrollo de malware. Pero los hackers chinos no sólo crean sus propios troyanos, sino que han empezado a traducir virus extranjeros, sobre todo rusos: desarrollaron versiones chinas de exploits tan populares como IcePack, FirePack, MPack y una serie de variantes de los troyanos Pinch y Zeus.

Además, los cibercriminales chinos continuaron su activa búsqueda de vulnerabilidades en programas de software famosos, sobre todo de Microsoft Office y Microsoft Windows. Y tuvieron suerte, sobre todo al encontrar una vulnerabilidad en NetAPI Windows. Como consecuencia, el final de 2008 estuvo marcado por un gran número de ataques que explotaban la vulnerabilidad MS08-067.

Entre abril y octubre se usó con frecuencia la expresión “el gran pirata chino” en los medios de comunicación. Hubo dos ataques pirata masivos a sitios web que no tienen parangón en la historia de Internet; el primero de ellos (abril-junio de 2008) comprometió más de dos millones y medio de recursos de Internet en todo el mundo. La principal herramienta que usaron los atacantes fueron las inyecciones SQL: incrustaron comandos en el código del sitio atacado que desviaban a los usuarios a websites fraudulentos, que a su vez infectaban los ordenadores de los usuarios con programas maliciosos.

Sin embargo, los escritores de virus en ruso continuaron, en gran medida, marcando las pautas en el campo de los virus. Siguieron usando activamente el modelo de operación “malware 2.0”, basado en ciertos principios fundamentales: cada módulo desempeña una sola función, la interacción entre módulos se realiza con métodos universales y los canales de comunicación de la información y centros de control de las redes zombies deben estar protegidos.

La más clara ilustración de ello fueron dos peligrosísimos rootkits detectados en 2008: Rustock.C (Virus.Win32.Rustock.A, según la clasificación de Kaspersky Lab) y Sinowal (Bootkit). Ambos incorporaban tecnologías punta desconocidas por la industria antivirus. Sus poderosas infraestructuras superaban en tamaño y complejidad a las de Zhelatin y Warezov.

Como era de esperar, los virus regresaron en 2008. Han añadido varias nuevas funciones a su fin principal: infectar archivos. Ahora pueden robar información y, lo que es más importante, pueden distribuirse a través de medios extraíbles, lo que les permite infectar ordenadores en todo el mundo en muy poco tiempo. Casi todos los virus actuales tienen una estructura polimórfica que causa problemas adicionales a los fabricantes de antivirus, pues no siempre son lo suficientemente rápidos en desarrollar herramientas de detección y tratamientos efectivos para este tipo de amenazas.

Los gusanos de las unidades flash USB lograron evitar la protección tradicional de las redes corporativas, consistente en antivirus para servidores de correo y archivos y cortafuegos. Estos gusanos penetran en las estaciones locales de redes evadiendo todas las medidas de protección y se propagan rápidamente por toda la red, haciendo copias de sí mismos en todos los recursos disponibles.

Las redes sociales no perdieron su popularidad y se usan ampliamente en países con un gran número de nuevos usuarios de Internet, como el sureste de Asia, India, China, América del Sur, Turquía, Norteamérica o los antiguos estados de la URSS. Como resultado, los ataques individuales a las redes sociales y a través de ellas se han convertido en algo usual y extremadamente peligroso. Las redes sociales no sólo se utilizan para distribuir nuevos programas maliciosos, sino también para recoger información y aplicar diferentes esquemas de fraude, como el phishing. El ataque más impresionante a redes sociales fue la epidemia Koobface, detectada por primera vez por Kaspersky Lab en junio de 2008. El gusano se centraba en los usuarios de Facebook y MySpace y en diciembre se convirtió en un serio problema, pero causó aún más daños poco después, cuando se descubrieron sus nuevas variantes destinadas a los usuarios de Bebo.

En 2008 desaparecieron muchas versiones de Zhelatin (Storm Worm). La historia de casi dos años del gusano, detectado por primera vez en enero de 2007, causó más preguntas que respuestas. La legendaria red zombi Storm no llegó a desplegar toda su fuerza, aunque según algunas estimaciones alcanzó los dos millones de máquinas (algunos expertos dan la cifra de cincuenta millones). Las expectativas de masivos correos spam y ataques DDoS tampoco se cumplieron.

Puede que esto se debiera al cierre del tristemente célebre sitio de hospedaje cibercriminal RBN (Russian Business Network). Su hipotética participación en prácticamente todos los incidentes criminales en Internet, tratados ampliamente en los medios de comunicación, provocó que los dueños (desconocidos) de RBN decidieran dividir el negocio en varios sitios de hospedaje independientes por todo el mundo, desde Singapur hasta Ucrania, quedando así menos expuestos.

Resultó más fácil arreglárselas con los pequeños clones de RBN que con el gran monstruo. En otoño, el negocio cibercriminal sufrió varios golpes. Fruto de las acciones coordinadas de las compañías de seguridad IT y los gobiernos se logró cerrar AtrivoIntercage, EstDomains y McColo, lo que produjo una reducción de más del 50% del spam en Internet. También se clausuraron muchas redes zombi. Aunque varias semanas después el volumen de spam volvió a crecer, esta debería considerarse como una de las mayores victorias en los últimos años.

Tendencias del año 2008

Las líneas de actuación más destacadas de 2008, que influyeron en toda la industria antivirus y en la situación general en el mundo de la seguridad IT, se pueden dividir en cuatro temas principales:

  • Rootkits.
  • Redes sociales.
  • Juegos online.
  • Redes zombi.

Era de esperar que estos campos y tecnologías estuvieran en primer plano. Sin embargo, hay que recalcar que los acontecimientos revelaron un gran potencial de problemas y su futuro desarrollo y sofisticación.

El tema de los rootkits es uno de los más candentes en la industria antivirus y en Kaspersky Lab siempre le hemos prestado gran atención. En 2008 publicamos tres artículos analíticos sobre el asunto: “Todo sobre Rustock”, “La evolución de los Rootkit” y “Bootkit: el desafío de 2008”. Según nuestra investigación, todavía puede haber muchos y complicados ataques rootkits, y la situación se complica todavía más porque los fabricantes de antivirus no prestan la debida atención a la detección y tratamiento de los rootkits activos.

El desarrollo del sistema operativo Windows no ha cambiado todavía la situación y en un futuro próximo continuará habiendo rootkits, que serán cada vez más sofisticados.

Tal y como habíamos pronosticado para 2008, muchos de los ataques se centraron en las redes sociales que son, hoy día, uno de los pilares fundamentales de Internet, ya que influyen en su desarrollo y abarcan cada vez a más usuarios. Las compañías de Internet aprovechan todas las posibilidades que les brindan estas redes para promover sus nuevos servicios y hacer publicidad. Casi todos los usuarios de Internet de los países desarrollados pertenecen a alguna red social, y en el sudeste de Asia se puede ver ya un rápido crecimiento del número de usuarios de Internet.

Otro segmento que está creciendo a gran ritmo es el de los juegos en línea. Aunque no son parte de Internet, sino un instrumento de comunicación, los juegos online son una parte esencial en la vida de la sociedad moderna. En Corea del Sur, China y todo el sudeste asiático se han extendido ampliamente, convirtiéndose en un blanco atractivo para los creadores de virus.

Ha habido un cambio de líder: los troyanos para juegos se han colocado en el primer puesto, desbancando a los troyanos que atacan a los usuarios de los sistemas de pago y de banca por Internet. Estos troyanos incorporan nuevas tecnologías, como las que infectan archivos y se distribuyen por medios extraíbles. También se han usado para crear redes zombi.

Uno de los objetivos principales de los ataques del gran pirata chino era la distribución de troyanos para juegos.

Hace unos años, sólo los especialistas en antivirus usaban en su trabajo el término “red zombi” (botnet), que hoy conoce todo el mundo. Las redes zombi se han convertido en la principal fuente de spam, ataques DDoS y distribución de nuevos virus. De hecho, todos los temas que tratamos en este informe (rootkits, redes sociales, juegos en línea, etc.) tienen que ver con estas redes.

Además del análisis de varias botnets, en 2008 publicamos un artículo introductorio titulado “El lucrativo negocio de las redes zombi” que describía los principios fundamentales de trabajo y la utilización de las redes zombi. Como ya hemos señalado, todavía no se ha reconocido el verdadero alcance del problema y su influencia en la industria de los virus. La seguridad de Internet depende directamente de la solución de este problema, que sólo puede resolverse uniendo los esfuerzos de las compañías antivirus, las instituciones gubernamentales y las fuerzas de orden público.

Por suerte, ya se están dando muchos pasos en esta dirección: en 2008 se dedicaron a este problema varias conferencias que expusieron las medidas necesarias para mejorar la situación y se logró el cierre de Atrivo y McColo. Pero todavía falta mucho para conseguir la victoria final y en 2009 las redes zombi seguirán siendo el problema principal de Internet.

Rootkits

Durante 2008 vimos dos claros casos relacionados con rootkits: el análisis de Rustock.C, que se hizo famoso no tanto por sus tecnologías especiales como por los rumores sobre su capacidad de pasar desapercibido, y la aparición en el mundo real de un gran número de bootkits de la familia Sinowal.

Rustock.C fue catalogado por el sistema de clasificación de Kaspersky Lab como Virus.Win32.Rustock.a. Este programa malicioso pertenece al grupo de los virus, ya que incluye la función de infectar archivos.

Principales tendencias de Rustock.C

Infección de archivos mediante autoarranque

Rustock.C infecta los archivos de igual forma que los virus normales; la única diferencia es que infecta el driver del sistema, lo que le asegura varias ventajas para ocultar su actividad. El rootkit no tiene un driver especial, por lo que no hay necesidad de ocultarlo en el disco duro ni en la memoria del sistema. Tampoco hay necesidad de ocultar la llave de registro para que haga juego con el driver del rootkit. Además, la infección del driver dificulta seriamente el tratamiento: mientras que para curar un ordenador infectado con un rootkit normal basta con eliminar del disco duro sus componentes, en este caso hace falta una copia de seguridad para recuperar el driver infectado o un programa antivirus con herramientas de tratamiento integradas.

Personalización del rootkit y su relación con los componentes de hardware del ordenador

Algo muy importante es que Rustock.C incluye una función de concepto: el descargador del rootkit recoge la información del sistema del ordenador infectado y la envía a un servidor de Internet, donde se forma el cuerpo del rootkit (según los parámetros necesarios) que después se devuelve, codificado, al descargador. Esta relación con los componentes de hardware y la encriptación del cuerpo del rootkit, junto a las técnicas de evasión que lleva integradas, dificulta su detección automática e impide su análisis.

Las técnicas que incorpora Rustock.C han alcanzado un gran desarrollo. En diciembre de 2008 se detectó en el mundo real una muestra del rootkit (clasificada como Trojan.Win32.Pakes.may, según el sistema de Kaspersky Lab) que usaba el mismo esquema. Este rootkit infecta el driver del sistema ndis.sys, mientras que el cuerpo codificado se descarga de panda-server.ru. El código del ndis.sys infectado está encriptado. Mientras se está descargando, se lanza el código protector que descodifica el driver y pasa el control. En las muestras en el mundo real se implementan todas las nuevas tecnologías de Rustock.C: descarga del cuerpo codificado del rootkit y uso de métodos de protección contra el análisis (criptografía, métodos contra desensamblaje). El principio de funcionamiento de este rootkit es similar al de Rustock: envía spam después de incrustar en los procesos del sistema responsable un código que descarga plantillas y realiza los envíos masivos.

Bootkits

Entre 2005 y 2006, después de la publicación de los materiales conocidos como eEye Bootroot, aparecieron los primeros ejemplos de bootkits activos que ponían en práctica la idea principal (como prueba demo) de este tipo de programas maliciosos. En 2007 se detectaron muestras de bootkits en el mundo real y en 2008 alcanzaron su punto más alto.

El bootkit más famoso es Trojan-Spy.Win32.Sinowal. Utiliza un concepto similar al de los virus de arranque de los tiempos de DOS: infecta el sector de arranque o el sector MBR del sistema del disco, lo que le permite tomar el control del sistema en los primeros momentos de inicio, por ejemplo, antes de cargar el sistema kernel y de que se lance el programa antivirus. Una vez que tiene el control, el bootkit se implanta en el directorio del kernel y oculta sus sectores en el disco mediante métodos tradicionales como filtrar los paquetes IRP. El descargador del bootkit abre el disco para lectura/grabado inteligente de sectores, y esto le permite detectar ese tipo de operaciones a nivel de emulación (el nivel de evaluación de riesgo del sistema) o al nivel HIPS/PDM y bloquear el descargador.

Otras tendencias relacionadas con los rootkits durante 2008

Otras tecnologías relacionadas con los rootkits que se desarrollaron en 2008 fueron:

  1. Tecnologías diseñadas para combatir programas y utilidades antivirus. A lo largo de 2008, las tecnologías de autoprotección cambiaron continuamente. Las más populares fueron:
    • El bloqueo y daño de los archivos antivirus, que se identifican por la máscara del nombre del archivo o mediante signaturas. Este último método es más peligroso porque es universal.
    • La implementación de rootkits mediante el reemplazo de los drivers del sistema. En este caso no hace falta registrar el driver, por lo que el análisis de protocolos no detecta los drivers no autorizados.
    • Aplicación de nuevos métodos de autodefensa y camuflaje. Además de las consabidas funciones de intercepción de las funciones KiST, el slicing del código de las funciones del núcleo y el filtrado de IRP, se empezó a usar el slicing del código de los procesadores de drivers IRP y del mecanismo reglamentario de CallBack de procedimientos durante las operaciones con el registro. Además, se implementaron activamente métodos para contrarrestar los antirrootkits, en particular:
      • Bloqueo del acceso a los ficheros del núcleo, que impide analizar su código para reestablecer el núcleo en la memoria y buscar la funciones interceptadas.
      • Suplantación del contexto de los ficheros del núcleo y de los ficheros pertenecientes al rootkit, por lo general interceptando la función de apertura del fichero y abriendo en lugar del núcleo otro fichero ejecutable del sistema.
      • Bloqueo de la apertura del disco para su lectura/escritura por sectores, lo que permite neutralizar los antirrootkits y antivirus que usan sus propios algoritmos de parking del sistema de ficheros.
      • Intercepción de la funciones NTSaveKey y NTSaveKeyEx para bloquear el volteo (dump) de las llaves del registro y su posterior parking (en particular, este método se usa en las últimas generaciones de los rootkits TDSS).
      • Seguimiento y restablecimiento de las propias intercepciones (el empleo de este método, conocido desde los tiempos del rootkit A311 Death, está muy extendido actualmente, por ejemplo, en las últimas versiones del rootkit TDSS).
  2. Nuevas tecnologías de camuflaje de objetos en el disco, basadas en la modificación de los objetos MFT durante su lectura o directamente en el disco. Estas tecnologías todavía no han recibido una amplia difusión, pero existe la posibilidad de que se desarrollen. El método de camuflaje puede ser el siguiente: el rootkit calcula la ubicación de las celdas de MFT que le interesan y, durante la lectura del disco, suplanta el contenido de las celdas MFT del fichero que ha de protegerse por el de algún objeto del sistema, lo que le permite camuflar el contenido de los ficheros sin hacer uso de las clásicas intercepciones. Otro ejemplo es la modificación de los índices NTFS (en septiembre de 2008, Vasily Berdnikov registró un comportamiento similar en el componente rootkit de Trojan-GameThief.Win32.OnLineGames.snjl).

Programas maliciosos para juegos en línea

Aunque la mayoría de los juegos en línea prohíben vender los bienes virtuales por dinero real, cada vez son más las personas que quieren comprarlos. A los clientes no suele importarles de dónde procede lo que quieren comprar, les da igual si lo ganó otro jugador o si fue robado mediante un código malicioso. Esto favorece a los escritores de virus y, además, provoca el aumento del precio de la propiedad virtual, lo que contribuye a una mayor criminalización del mercado de los bienes de juegos en línea.

En 2007 aumentó rápidamente el número de programas que roban claves de juegos en línea y en 2008 la situación empeoró todavía más: Kaspersky Lab detectó 100.397 nuevos troyanos para juegos, es decir, tres veces más que en 2007 (32.374).

Total de programas maliciosos que roban claves de juegos en línea

La familia más numerosa de programas maliciosos para usuarios de juegos en línea fue Trojan-GameThief.Win32.OnLineGames, que buscaba claves para varios juegos a la vez, representando el 65,4% del total. En el verano de 2008 hubo un estallido increíble de este tipo de actividad malware: los analistas de Kaspersky Lab detectaron casi 12.000 nuevos programas maliciosos de la familia Trojan-GameThief.Win32.OnLineGames, lo que significaba que cada cuatro minutos aparecía un nuevo programa malicioso.

La actividad de la familia Trojan-GameThief.Win32.WOW, que se enfocaba sólo hacia los juegos online de World of Warcraft, creció gradualmente hasta noviembre de 2008, cuando los estafadores habían logrado controlar unos 10.000 sitios web y colocar allí el código malicioso: el día 13, con la publicación de la segunda versión del juego (Wrath of the Lich King), cesó intencionalmente su actividad. Los sitios más afectados fueron los de Europa y Estados Unidos, donde había más jugadores en línea de World of Warcraft.

 

Total de programas nocivos (por familias) que atacaron a los
usuarios de juegos en línea en 2008

 

La inmensa mayoría de los programas maliciosos que roban claves de juegos en línea son troyanos para juegos. Los gusanos y virus representan sólo un 10% de ese tipo de malware. La situación de los programas maliciosos que roban claves y se propagan automáticamente se tensó en septiembre de 2008: con el comienzo del año escolar, el número de programas maliciosos de la familia Worm.Win32.AutoRun creció considerablemente.

Principales características del malware para juegos

Los programas maliciosos para juegos en línea se caracterizaron en 2008 por:

  • Un programa malicioso podía incluir módulos que robara claves de varios juegos en línea.
  • El malware para juegos podía incluir una función de puerta trasera que permitía incorporar los ordenadores infectados a una red zombi.
  • Generalmente usaba encriptadores y empacadores para dificultar su análisis y detección.
  • Oponía una gran resistencia a la detección antivirus.
  • Empleaba la tecnología de los rootkit.

El mayor desarrollo tecnológico en 2008 lo demostró la familia Trojan-GameThief.Win32.Magania, cuyos representantes causaron los más famosos incidentes en la distribución de malware para juegos. En junio de 2008, los escritores de virus modificaron su creación y los programas maliciosos de esta familia, que solían atacar a los usuarios de Gamania http://en.wikipedia.org/wiki/Gamania, empezaron a robar las claves de prácticamente todos los juegos en línea conocidos, incluyendo World of Warcraft, Lineage, Lineage 2, FunTown, ZhengTu, Perfect World, Dekaron Siwan Mojie, HuangYi Online, RuneScape, Rexue Jianghu, ROHAN Online, Seal Online, Lord of the Rings, Maple Story, Reign of Revolution, Talesweaver y ZodiacOnline.

Trojan-GameThief.Win32.Magania usaba con eficacia herramientas activas y pasivas para evitar su detección y neutralización en los ordenadores infectados.

 

Tecnologías de rootkit en Trojan-GameThief.Win32.Magania

 

Distribución del malware para juegos

En 2008 los estafadores, para distribuir los programas maliciosos que roban claves de juegos en línea, empezaron a aprovechar:

  • Vulnerabilidades desconocidas en motores de recursos web para la infección masiva de los sitios.
  • Vulnerabilidades de software desconocidas.
  • Actualizaciones del código malicioso más frecuentes que las de las bases antivirus en los ordenadores de los usuarios.
  • Correos spam con enlaces a páginas infectadas.

Cien nuevos programas maliciosos que roban claves de juegos en línea pueden infectar a una media de quinientos usuarios. Esta alta eficiencia en la distribución del malware se consigue explotando las vulnerabilidades de los ordenadores. En 2007, quienes luchaban contra los programas maliciosos que roban claves de juegos online eran los fabricantes de antivirus, los desarrolladores de los juegos y la administración de los servidores. En 2008, se unieron a la lucha los administradores de los sitios web comprometidos y los desarrolladores del software usado por los estafadores para introducir su malware en los equipos de los usuarios.

El incidente más tristemente famoso se produjo cuando los estafadores aprovecharon un error en el procesamiento de los archivos XML en Internet Explorer para distribuir los programas maliciosos de la familia Trojan-GameThief.Win32.Magania. La vulnerabilidad MS08-78 se hizo tan popular que, según Microsoft, infectó al 0,2% de los usuarios de Internet.

 

Localización de los servidores que albergan los exploits usados
para la distribución de los troyanos para juegos

La rápida modificación de los programas maliciosos contribuye a la alta eficacia en su distribución: el programa cambia antes de que su signatura se añada a las bases antivirus.

La siguiente lista muestra los acontecimientos más destacados de 2008 en relación con los programas maliciosos que roban claves de juegos en línea:

Abril de 2008. Estafadores desconocidos comprometieron más de un millón y medio de sitios de Internet con el propósito de infectar a sus visitantes con Trojan-GameThief.Win32.OnLineGames.

Julio de 2008. Los estafadores enviaron correo spam con un link al virus polimorfo Virus.Win32.Alman.b, que incluye un módulo que roba claves de juegos en línea. Este virus había sido detectado en abril de 2007.

Agosto de 2008. Se detectó Trojan-GameThief.Win32.Magania en la Estación Espacial Internacional.

Diciembre de 2008. La vulnerabilidad MS08-78 de Internet Explorer se aprovechó para distribuir programas maliciosos de la familia Trojan-GameThief.Win32.Magania.

Transferencia a los estafadores de la información robada

Los programas maliciosos envían a los estafadores las claves robadas; se incluyen en e-mails y se envían a servidores especiales que los remiten a los correos electrónicos de los estafadores. Las direcciones IP cambian con frecuencia, a veces varias veces al día. Esto garantiza el anonimato de los estafadores, mientras que el cambio constante de los nombres de los dominios les permite redirigir los servidores para evitar caer en las listas de rechazados.

 

Localización de un servidor de desvío, donde se envían los
e-mails con las claves robadas

La mayoría de los servidores que proporcionan la transferencia de exploits, programas maliciosos y mails con claves robadas a juegos en línea se encuentran en Asia.

Pronósticos

Es poco probable que la crisis financiera mundial afecte a la industria de los juegos en 2009; por el contrario, veremos un mayor de los mismos.

Las principales tendencias en 2009 serán las siguientes:

  • Desarrollo de una infraestructura para la generación y distribución automática de programas maliciosos que roben claves de juegos en línea.
  • Utilización de nuevos canales para transferir a los usuarios programas maliciosos (IM, P2P networks, etc.).
  • Uso general de vulnerabilidades de día cero en las aplicaciones de los usuarios y en el sistema operativo.
  • Uso masivo de vulnerabilidades de día cero para comprometer el máximo número de sitios web y distribuir malware para juegos.
  • Uso frecuente de virus de archivos y gusanos de redes para robar claves de juegos en línea.

Los ataques de los estafadores se hacen cada vez mayores y más sofisticados. La actividad de los jugadores en línea contribuye al crecimiento del mercado de los objetos de valor de los juegos, que son la fuente de ingresos de hackers y escritores de virus.

Ataques a las redes sociales

En los últimos años, las redes sociales se han convertido en uno de los recursos de Internet más populares. Según los pronósticos de RelevantView y eVOC Insights, el número de usuarios de redes sociales alcanzará en 2009 los mil millones, representando el 80% del total de usuarios de Internet.

Los estafadores no van a ignorar la creciente popularidad de las redes sociales; ya en 2008, se convirtieron en un semillero de malware y spam y en otra fuente ilegal de obtener ganancias en Internet.

¿Por qué las redes sociales?

Los usuarios de las redes sociales suelen establecer relaciones de confianza entre sí. Esto supone que aceptan sin reparo los mensajes que provienen de su lista de “amigos”. La confianza favorece a los cibercriminales, quienes usan los mensajes para distribuir enlaces que conducen a sitios infectados; se intenta convencer a los usuarios, con algún pretexto, para que sigan los enlaces del mensaje y así descarguen el programa malicioso.

Un esquema de distribución de malware puede ser el siguiente:

  1. Un usuario recibe un enlace de uno de sus contactos de confianza, a un videoclip, por ejemplo.
  2. Para ver el clip, el usuario necesita instalar un programa especial.
  3. Tras la instalación, el programa roba la cuenta de la red social del usuario y continúa enviando programas maliciosos a todos los contactos de confianza de su nueva víctima.

Este esquema es semejante al de la distribución de gusanos de correo electrónico, pero la eficacia de la distribución del código malicioso en las redes sociales es de un 10%, superando con creces la de los métodos clásicos de distribución de malware por email (menos del 1%).

Los nombres y claves robados pueden usarse para enviar enlaces a sitios infectados, spam o mensajes de contenido fraudulento (por ejemplo, pidiendo dinero para alguna necesidad urgente). De una forma u otra, cada uno de estos métodos proporciona ganancias a los cibercriminales.

En Internet pueden encontrarse ofertas de cibercriminales para robar las cuentas de los usuarios de redes sociales, enviar correos según una lista de contactos u obtener la información de un usuario concreto.

 

Oferta para capturar una cuenta

Programas maliciosos

A finales de 2008, la colección de Kaspersky Lab contenía más de 43.000 archivos maliciosos relacionados de alguna forma con diferentes redes sociales.

Número total de programas maliciosos para usuarios de redes sociales

El número de programas maliciosos para usuarios de redes sociales recibido en el laboratorio de virus de Kaspersky Lab demuestra que son una golosina para los creadores de virus.

Programas maliciosos para usuarios de redes sociales populares

Podemos hacer una clasificación de las redes sociales más “peligrosas” comparando el número de programas maliciosos que atacaron a los usuarios de las distintas redes sociales en 2008 con el número de usuarios registrados en ellas http://en.wikipedia.org/wiki/List_of_social_networking_websites.

Red social Programas
maliciosos
detectados
en 2008
Usuarios registrados Probabilidad de infección de un usuario individual Localización
geográfica de la
mayoría de los
usuarios registrados
(fuente: lemonde.fr)
Odnoklassniki 3.302 22.000.000 0,02% Rusia
Orkut 5.984 67.000.000 0,01% Latinoamérica
Bebo 2.375 40.000.000 0,01% Europa
Livejournal 846 18.000.000 0,00% Rusia
Friendster 2.835 90.000.000 0,00% Región Asia-Pacífico
Myspace 7.487 253.000.000 0,00% Norteamérica
Facebook 3.620 140.000.000 0,00% Norteamérica
Cyworld 301 20.000.000 0,00% Corea del Sur
Skyblog 28 2.200.000 0,00% Francia

Ranking de las redes sociales más peligrosas

El ranking, según el número de programas maliciosos por usuario, está liderado por la red social rusa Odnoklassniki. Por su parte, МуSpace, la red social más popular del mundo, está en la sexta posición, aunque es la primera en número total de malware distribuido en 2008 entre sus usuarios.

Los programas que infectan las redes sociales pueden ser Trojan-Spy, Trojan-PSW, Worm, troyanos, etc.

Ataques a redes sociales en 2008

Enero de 2008. Se colocó en Facebook la aplicación Flash Secret Crush, que contenía un enlace a un programa adware. Antes de que fuera detectado por los administradores de la red ya había sido descargado por un millón y medio de usuarios, aproximadamente.

Mayo de 2008. Kaspersky Lab detectó el programa malicioso Trojan-Mailfinder.Win32.Myspamce.a, que distribuía spam en los comentarios de “amigos” de MySpace. Esa misma semana apareció en la red social rusa VKontakte el gusano de red Net-Worm.Win32.Rovud.a, que enviaba un enlace maligno a los contactos de los usuarios infectados. Y unos días más tarde, los usuarios de Odnoklassniki recibieron un correo spam con un enlace a miss-runet.net que les pedía que votaran por una de las participantes en el certamen de Miss Rusia; si lo hacían, el ordenador del usuario era atacado por el programa malicioso de la familia Trojan-Dropper.Win32.Agent.

Junio de 2008. Se envió un correo spam, supuestamente de parte de los administradores de Odnoklassniki, que contenía un enlace que animaba a los usuarios a visitar un sitio web; este imitaba la página inicial de un recurso de Internet y desde allí se bajaba un programa troyano. Tras su instalación, el programa descargaba otros archivos maliciosos y después redirigía automáticamente a la víctima al sitio original de Odnoklassniki.

Julio de 2008. Kaspersky Lab detectó varios casos de distribución de malware mediante las redes sociales Facebook, MySpace y VKontakte. Net-Worm.Win32.Koobface.a se extendió por MySpace de forma parecida a Trojan-Mailfinder.Win32.Myspamce.a, detectado en mayo. La siguiente versión del gusano Net-Worm.Win32.Koobface.b se distribuyó en Facebook. El gusano enviaba mensajes a los amigos de los usuarios infectados. En ambos casos, los comentarios y mensajes que enviaban los gusanos contenían un enlace a un sitio falso de YouTube que requería a los visitantes descargar una supuesta nueva versión de Flash Player; en su lugar, lo que se descargaba en el ordenador de la víctima era el mismo gusano.

Los mensajes spam enviados a los usuarios de la red social VKontakte estaban dirigidos personalmente a un destinatario y parecían mucho más “vivos”. Contenían un enlace a un servidor que desviaba a los usuarios a sitios porno. Para ver el clip, se pedía al usuario que descargara un códec, que en realidad era el troyano Trojan.Win32.Crypt.ey, un BHO (Browser Helper Object) malicioso. Como consecuencia, las cinco primeras entradas de la búsqueda web eran sustituidas por enlaces maliciosos. Según Kaspersky Lab, con este método se robaron unas 4.000 cuentas de usuarios de VKontakte en pocas horas.

Agosto de 2008. La red social Twitter, cuya popularidad crece rápidamente, fue atacada por cibercriminales. Se colocó una foto anunciando un video erótico en la página que se genera especialmente para cada usuario; al hacer clic en la foto, se solicitaba al usuario que descargara la supuesta nueva versión de Adobe Flash, que en realidad era Trojan-Downloader.Win32.Banload.sco.

Diciembre de 2008. Se detectó en VKontakte la distribución de enlaces a programas maliciosos para teléfonos móviles. Desde las cuentas robadas a los usuarios de la red, se enviaba un mensaje a su lista de contactos que ofrecía la cancelación del balance del teléfono móvil. El usuario tenía que instalar en su teléfono una aplicación Java (en un enlace del mensaje), que no era otra cosa sino el programa malicioso Trojan-SMS.J2ME.Konov.b. Tras su instalación, el troyano enviaba un SMS a cinco números cortos sin informar de ello al usuario; cada mensaje costaba 6 euros.

No hace falta decir que no se trata de una lista completa de los incidentes detectados en 2008, tan sólo hemos mencionado los ataques más destacados a usuarios de redes sociales.

Conclusión

Las redes sociales se colocaron en 2008 entre las diez tecnologías de la información más avanzadas, junto con la virtualización y el cloud computing. Por desgracia, su desarrollo conlleva la aparición de amenazas y riesgos para los usuarios de Internet.

En 2008 se dio un salto cualitativo en la evolución de las amenazas a los usuarios de redes sociales. Ahora no se trata de actos aislados de aficionados, sino de un creciente negocio que implica prácticamente a todos los estratos de la informática clandestina.

Todo lo relacionado con las cuentas de los usuarios de redes sociales tiene un precio en el mercado negro: hay una gran demanda de información personal, y los cibercriminales suelen ofrecer las cuentas confiscadas a los usuarios de redes sociales, que luego se usarán en los correos spam. Esta comercialización contribuye al crecimiento del número de programas maliciosos que se centran en usuarios de redes sociales. Lo más probable es que estas tendencias se mantengan en 2009.

Actividades de red de los programas maliciosos

Tiene un gran interés saber hasta dónde llegarán los programas maliciosos en una escala global. El método más popular de recoger información sobre la actividad en la red del malware es el de las trampas denominadas “honeypot”, pero éstas sólo vigilan sus propios canales Internet y sólo registran los ataques externos a los servidores que observan, mientras que la mayor parte de la actividad de los programas maliciosos en la Red queda oculta.

Kaspersky Lab ha recogido estadísticas de la actividad en la Red vigilando programas maliciosos y registrando sus conexiones de red en ordenadores infectados. Este método permite evaluar objetivamente la actividad cibercriminal en las redes locales y en Internet.

Los programas maliciosos raras veces usan el protocolo UDP, por lo que las estadísticas sobre las conexiones que utilizan este protocolo no son de gran interés. Por esta razón, sólo se consideran las estadísticas sobre conexiones de protocolo TCP. La información que sigue corresponde a las condiciones predominantes a finales de 2008 y no incluye la actividad de red de los programas legítimos. Esta información refleja la actividad típica de una red zombi; la mayor parte del tráfico de Internet se debe a los robots.

Puertos que usan los programas maliciosos. Conexiones de red

¿Qué puertos son los más frecuentes en las conexiones de red de los programas maliciosos?

 

Conexiones de red usadas por los programas maliciosos

Los puertos 139, 445 y 135 son los más usados por los programas maliciosos para sus conexiones de red (TCP). Se trata de servicios de red de Microsoft Windows que se usan principalmente para compartir archivos en una red de Windows mediante el protocolo NetBIOS. Hay que recalcar que, aunque Windows usa este protocolo para distribuir mensajes automáticos, no se incluyen en el diagrama las estadísticas de las conexiones de los sistemas operativos normales.

Más del 96% de las conexiones de red utilizadas por el malware analizado se dio en los puertos 139, 445 y 135. Este alto porcentaje está relacionado con la vulnerabilidad MS08-067, detectada en octubre de 2008 en los servicios de red Windows que usan NetBIOS. Por suerte, casi todos los proveedores de Internet han bloqueado el tráfico de red a estos puertos para mejorar la seguridad. Desde Windows 95 y Windows 98, NetBIOS ha sido una fuente potencial de vulnerabilidades en los sistemas operativos Windows. Ahora sólo podemos imaginar lo que habría pasado en pocos minutos si el pasado mes de octubre los proveedores no hubieran empezado a filtrar NetBIOS; no obstante, la vulnerabilidad MS08-067 es todavía algo muy real para algunas redes de ordenadores, como las caseras y de empresas u organizaciones gubernamentales, donde el protocolo NetBIOS no suele estar bloqueado.

Solicitudes de red

La imagen sobre la popularidad de algunos puertos quedaría incompleta sin una comparación entre la cantidad de conexiones de red y el número de solicitudes de red a los puertos que hacen los programas maliciosos para establecer esas conexiones. El término “solicitud” se define aquí como la transferencia de uno o más paquetes de red. Si, por ejemplo, un programa establece 1.000 conexiones con el mismo puerto, se considera como una sola solicitud a ese puerto.

 

Solicitudes de red de programas maliciosos

El diagrama muestra que el 34% de las solicitudes de red de los programas maliciosos llegaron al puerto 80, que es el estándar para servidores web. Este puerto es también el más popular entre los programas legítimos.

Los programas maliciosos usan normalmente el puerto 80 para establecer conexiones con los sitios de los cibercriminales. La actividad de red maliciosa se hace pasar por la navegación de los usuarios. Muchas familias de robots y troyanos, incluyendo Trojan-PSW.Win32.Zbot, Backdoor.Win32.Sinowal y varias modificaciones de Trojan-GameThief.Win32.OnLineGames lo utilizan, además del malware para establecer las conexiones con los centros de comando de las redes zombi.

En segundo lugar está el puerto 8000, que no es estándar, utilizado por los programas legítimos HP Web Jetadmin, ShoutCast Server, Dell OpenManage y otras muchas aplicaciones basadas en la tecnología Java RMI, cada una de las cuales con su propio protocolo.

La investigación de Kaspersky Lab comprobó que la familia de programas maliciosos Backdoor.Win32.Hupigon usa el puerto 8000. Esta familia, desarrollada por piratas chinos, es probablemente la de crecimiento más rápido entre los programas maliciosos no detectada por Kaspersky Lab. A finales de 2008, Kaspersky tenía en su colección más de 110.000 diferentes modificaciones de Hupigon.

¿Qué tiene de especial el puerto 8000? Se trata del puerto que usa QQ, el servicio de mensajería instantánea más popular en China, y los cibercriminales chinos usan este servicio para controlar los ordenadores infectados. También hay una versión de Hupigon que usa el puerto 8181. La familia Hupigon es líder entre los programas maliciosos en cuanto al total de solicitudes de red, pues casi un tercio del total de las solicitudes de programas maliciosos a un solo puerto pertenecen a Hupigon.

Otro puerto no estándar, el 3460, se usó en el 7% de las solicitudes de red de los programas maliciosos analizados; casi todas fueron hechas por Backdoor.Win32.Poison, también conocido como Poison Ivy. Los programas maliciosos de esta familia son robots utilizados para construir pequeñas redes zombi (de hasta 200 ordenadores). Este software es popular porque puede descargarse gratis desde el sitio de los desarrolladores. Poison no permite mandar muchos comandos simultáneamente a varios ordenadores y suele ser utilizado sólo los cibercriminales novatos. Algunos administradores de pequeñas redes lo usan como una herramienta de administración.

Dominios de segundo nivel blanco del malware

Volvamos ahora al puerto más popular, el 8000, y analicemos las estadísticas de los dominios de segundo nivel objeto del malware.

 

Solicitudes de los programas maliciosos a dominios de segundo nivel

La mayoría de los dominios de segundo nivel solicitados por programas maliciosos pertenecen a los servicios DNS chinos.

Casi el 40% de los programas maliciosos están conectados con los subdominios 3322.org. ¿Qué sabemos de este proveedor y por qué atrae a los cibercriminales?

El dominio 3322.org pertenece al gran proyecto chino cn99.com, con más de 35 millones de usuarios. Su popularidad se debe a que proporciona cuentas de correo gratis y dominios de tercer nivel. Según el contrato de servicio, sus clientes no pueden usar los servicios en violación de la legislación china y las leyes internacionales. El contrato también obliga al dueño de un buzón de correo o dominio a proporcionar una información personal verdadera y a actualizarla periódicamente si hay cambios. Por desgracia, esto no impide que los cibercriminales que usan cn99.com den una información personal falsa.

Revisando la lista de los dominios de segundo nivel más populares, descubrimos enseguida el secreto de su presencia en el top 10: todos los proveedores a los que pertenecen estos dominios ofrecen el servicio conocido como DDNS (Dynamic Domain Name System).

Popularidad de los servicios DDNS entre los estafadores

La función de los servicios DDNS es facilitar la búsqueda de servidores con direcciones IP dinámicas. ¿Quién lo necesita? Por ejemplo, los usuarios legítimos que conectan sus ordenadores a Internet mediante líneas ADSL con direcciones externas a la base de direcciones IP de Internet. Los proveedores asignan normalmente a un módem ADSL que se conecta por primera vez una dirección IP de la base de direcciones disponibles; cada vez que el móodem ADSL se conecta, su dirección IP cambia. Si el usuario no tiene acceso físico a su ordenador y quiere conectarse remotamente debe conocer la dirección IP que permite el acceso a su ordenador en ese momento. Los proveedores DDNS permiten registrar un dominio (por ejemplo, myhomepc.dyndns.org) para conectarse al ordenador. Algunos fabricantes de módems ADSL incluyen en su programa de control el soporte DDNS. Si el módem se instala correctamente, contacta con el proveedor de servicio DDNS en cada conexión a Internet, que le proporciona su dirección IP actual; entonces, el programa del usuario, que dirige un ordenador remoto en nombre del anfitrión, envía una solicitud DNS de una dirección IP con el nombre myhomepc.dyndns.org. La solicitud pasa por una cadena de servidores DNS y finalmente alcanza el proveedor DDNS, que conoce la dirección IP actual del ordenador porque guarda el último mensaje del módem ADSL.

Este servicio permite a los estafadores registrar un nuevo dominio rápida y fácilmente, permaneciendo en el anonimato y con la posibilidad de cambiar la información DNS del servidor siempre que sea necesario.

Más aún, los estafadores pueden usar ordenadores infectados con direcciones IP externas como centros de control temporales de sus redes zombi. Si un ordenador se inutiliza el estafador puede pasar, manual o automáticamente, a otro ordenador, pero el centro de control siempre estará accesible a través de un dominio de un proveedor DDNS.

Esta es la razón por la que los servicios DDNS son tan populares entre los estafadores. Se calcula que alrededor del 50% de los dominios utilizados por los programas maliciosos pertenecen a proveedores DDNS.

Conclusiones

La actividad de red tiene una gran variedad de comportamientos: los troyanos envían a los estafadores la información recogida, los gusanos intentan encontrar e infectar otros ordenadores en su red local, los robots spam distribuyen correos basura, los robots DDoS atacan a los servidores de Internet, los robots contactan con los centros de control de las redes zombi, etc. Los más activos son los robots y los gusanos de red, que actualmente operan con éxito en una aplicación. Por ello, un gusano detectado o un troyano pueden contener una función robot y el ordenador infectado pasará a formar parte de una red zombi. Como consecuencia, el tráfico de red creado por la mayoría de programas maliciosos pertenece a redes zombi.

Las estadísticas que analizan las solicitudes de red de los programas maliciosos y los Top 10 de dominios de segundo nivel objetivo de los programas maliciosos confirman que en 2008 los piratas y cibercriminales chinos fueron líderes en el desarrollo de malware. El 29% de las solicitudes de red de los programas maliciosos procedieron de los representantes de la familia china Hupigon, que usa los puertos no estándar 8000 y 8181, y la gran mayoría de los dominios de segundo nivel blanco de los programas maliciosos pertenecían a servicios DNS chinos.

Aunque China ha lanzado un programa nacional de filtración de tráfico de red conocido como “La Gran Muralla Cibernética China”, en Kaspersky Lab creemos que la actividad de los piratas chinos crecerá en 2009. Su desarrollo se centra principalmente en las claves para juegos en línea, constituyendo un peligro ante todo para los jugadores chinos y los usuarios online de otros países. No prevemos cambios globales en la especialización de los piratas chinos en 2009; sus programas pueden ser una amenaza para todos los usuarios porque hay una tendencia a incluir una función de puerta trasera en los códigos que roban claves a los juegos en línea.

Más de un tercio de las solicitudes de red ocurren en el puerto estándar 80. Cuando un programa malicioso se conecta al puerto 80, normalmente descarga una página web y se establece así una conexión con el centro de control de la red zombi. Los estafadores saben que antes o después sus competidores o las fuerzas de orden público descubrirán la dirección del centro de control y cerrarán un servidor o un nombre de dominio; por ello`, buscan posibilidades para cambiar rápidamente la información del DNS sobre los centros de control y prefieren usar servidores de Internet que permiten permanecer en el anonimato. Esta es la razón por la que los servicios DDNS son tan populares entre los estafadores: los proveedores DDNS tienen más del 50% de los dominios de segundo nivel blanco de los programas maliciosos y todos los dominios Top 10. Seguramente, en 2009 los proveedores de DDNS lucharán con más fuerza contra los clientes que no cumplan la ley. En ese caso, pronto veremos la aparición de pruebas de abuso de servicios DDNS similares a la separación de los proveedores de hospedaje del tipo RBN.

Teniendo en cuenta la gran popularidad de los servicios DDNS entre los estafadores y el crecimiento de la capacidad de los canales de Internet, podemos esperar la aparición de nuevas formas criminales de negocio especializadas en el desarrollo de nuevos enfoques para mantener en el anonimato las direcciones y nombres de servidores web.

Cada vez que los estafadores descubren nuevas vulnerabilidades en Windows aparecen numerosos programas maliciosos en busca de ordenadores vulnerables. Lo mismo se refiere a otros programas que funcionan en la Red. Los programas maliciosos que escanean la Red crean muchas conexiones de red secundarias. Esto, además de malgastar los canales de la Red, puede llevar al desbordamiento de las tablas de traducción de las direcciones en los enrutadores baratos, lo que podría provocar la total desconexión de Internet de la red local. Un ordenador infectado puede impedir que otros equipos accedan a Internet. Esto ya se ha convertido en un problema muy extendido en las redes caseras que usan un router para acceder a Internet.

El interés en las vulnerabilidades de red sigue creciendo y en 2009 seguramente encontraremos más. Los usuarios de pequeñas redes podrán perder el acceso a Internet. Para evitar esta amenaza, hay que proteger todos los ordenadores de la red local.

Pronósticos para 2009

Hace un año dimos nuestro pronóstico para 2008 en el “Boletín de seguridad 2007”; en aquel momento, consideramos que los problemas más graves serían los siguientes:

  • Malware 2.0: desarrollo del concepto de los componentes distribuidos por malware.
  • Rootkits y bootkits: comienzo de epidemias de programas que usan estas tecnologías.
  • Virus de archivos: un nuevo paso en la evolución de los virus clásicos, sofisticación y utilización de métodos basados en la infección de archivos con otras clases de programas maliciosos.
  • Redes sociales: evolución de amenazas conceptuales e intento de ataques a ataques masivos.
  • Amenazas a móviles: crecimiento en número de los ataques a dispositivos móviles y comienzo de la comercialización de estos ataques.

Por desgracia, todos estos pronósticos se cumplieron, lo que ha sido confirmado por presentados en el apartado de “Tendencias” y las estadísticas de este Boletín.

Usaremos el mismo esquema en nuestro pronóstico para 2009. No hace falta decir que todos los problemas de 2008 seguirán siendo urgentes en 2009. Las amenazas actuales no desaparecerán, sino que crearán problemas todavía más serios. No vamos a discutir el crecimiento en el número de ataques a juegos en línea y redes sociales, el desarrollo de las tecnologías de los virus, el crecimiento en el número de redes zombi o el desarrollo de los servicios y negocios cibercriminales. Esto ya es una realidad.

Nuestro pronóstico describirá las tendencias que todavía no son evidentes, pero que pueden influir seriamente en el desarrollo de las ciberamenazas en 2009.

Epidemias globales

Hemos declarado el final de las epidemias globales y de los tiempos de los gusanos que infectaban millones de ordenadores en todo el mundo. Sin embargo, creemos que la situación cambiará de nuevo en 2009 y esperamos nuevos graves incidentes que superarán el alcance de los detectados en el periodo 2006-2008.

En nuestra opinión, el cibercrimen ha entrado en un periodo de saturación del mercado: el número de personas y grupos ha alcanzado un punto que conduce sin remedio a las guerras competitivas. Siempre ha habido competencia, pero en general se limitaba a un conflicto de intereses entre un par de grupos en una esfera limitada; ahora, sobrepasa las barreras locales y entra en la arena internacional. La competencia entre los estafadores rusos, chinos, brasileños, ucranianos y turcos no depende de las tecnologías que usan. Los cibercriminales compiten en busca de clientes y víctimas, mejores canales para recoger, vender y procesar la información, recursos que piratear, etc.

En 2009 esperamos también un aumento en el número de cibercriminales debido a la crisis económica mundial: el cierre de proyectos IT hará que muchos programadores altamente cualificados pierdan su trabajo o vean reducido su salario, y estos profesionales podrían envolverse en negocios cibercriminales y convertirse en una seria competencia, puesto que su nivel técnico es muy superior al de los cibercriminales actuales.

El resultado será un aumento en el número de víctimas. Veremos auténticas batallas entre competidores, porque la única manera que tienen los cibercriminales de sobrevivir es infectar el mayor número de máquinas posible y cuanto antes, mejor. Para conseguir una red zombi de 100.000 máquinas hay que atacar varios millones de ordenadores: esto es una epidemia global. Para mantener una red zombi hay que lanzar ataques regulares, y esto ya supera la epidemia global.

Disminución en la actividad de los troyanos para juegos

Nuestro pronóstico sobre la disminución de la actividad de los troyanos para juegos contradice la opinión de otros expertos antivirus, pero creemos que esto se deberá a la crisis económica y al agravamiento de la competitividad entre cibercriminales.

Los troyanos para juegos se han convertido en el fenómeno más extendido respecto a los programas maliciosos en los últimos dos años. Actualmente hay cientos de miles de ellos y se encuentran muy por delante de los troyanos que roban información de tarjetas de crédito y sistemas de banca en línea.

Su predominio se debe no sólo a que están en el foco de los cibercriminales chinos, sino también a que obtener dinero de las tarjetas y ataques a bancos se ha convertido en un negocio mucho más difícil; la competencia es muy alta y los ingresos de los cibercriminales se han reducido considerablemente.

Los estafadores rusos y de Europa del este que solían crear virus han dejado sus negocios o cambiado de trabajo y se dedican ahora a la distribución de adware y falsos virus.

Los troyanos para juegos son sabiduría china y prerrogativa de los cibercriminales asiáticos. Sin embargo, puesto que este malware es fácil de crear, la extensión del campo de víctimas potenciales y debido a los factores que los economistas llaman “+++”, el mercado de juegos está congestionado. Los ingresos de quienes roban bienes virtuales de juegos son muy bajos (lo mismo ocurrió con los troyanos dirigidos a bancos hace unos años, por lo que disminuyó el número de nuevos programas con este comportamiento). Hace tres años, esos ingresos habrían sido suficientes para los cibercriminales, pero el crecimiento económico de China y el aumento de su riqueza provocó el aumento del apetito de los estafadores.

Los ingresos son bajos y la competencia alta, los vendedores antivirus han aprendido a tratar con grandes volúmenes de malware para juegos, los usuarios han mejorado su nivel de educación, las compañías de juegos han tomado una serie de medidas para eliminar las operaciones ilegales con cuentas robadas y los bienes virtuales de juegos… Aunque es pronto para decir que el problema está desapareciendo, creemos que habrá una disminución en la cantidad de programas maliciosos para juegos y en el número de grupos criminales que se especializan en su creación.

Malware 2.5

El malware 2.0 está siendo reemplazado por la nueva concepción desarrollada por los piratas de habla rusa e integrada en Rustock.C, Sinowal (bootkit) y otros programas maliciosos. Se basa en el funcionamiento de gigantes redes zombi distribuidas y ha demostrado ya su eficacia y fiabilidad.

El modelo de malware 2.0 se caracteriza por:

  • Ausencia de un centro estacionario de administración de la red zombi. Estamos ante el fenómeno de las “botnets migrantes”, descritas con detalle en el artículo sobre los bootkits. El centro de administración de la red zombi cambia constantemente de dirección IP o servidor, y puede desaparecer por momentos. Se ha implementado un sistema de creación de direcciones fortuitas para el centro de administración. Así, los delincuentes resuelven el problema de la detección y clausura del centro de administración, adquiriendo la posibilidad de elegir dónde instalarlo.
  • Uso de algoritmos virtualmente imposibles de descifrar para la conexión entre el centro de administración y los equipos que conforman la red zombi. Incluso si se obtiene acceso al centro de administración o se intercepta los datos transmitidos, los investigadores no están en condiciones de tomar el control de la red zombi, cuyo funcionamiento presupone el uso de claves criptográficas que sólo están en el poder de los dueños de la botnet.
  • Uso de centros universales de administración para diferentes redes zombi. Desarrollo de la idea del “código universal” implementado en el programa nocivo Zbot: los programas nocivos de diferentes autores pueden conectarse a un solo tipo de centro de administración. Actualmente se observa la tendencia a controlar al mismo tiempo varias redes zombi desde un centro de administración único.

Estas tecnologías están estrechamente conectadas con la computación distribuida y el desarrollo de sistemas operativos bajo cargas de enormes volúmenes de información (arquitectura de alta carga). En nuestra vida diaria podemos encontrar ejemplos de soluciones semejantes en sistemas de recuperación. También son las bases de la tecnología cloud computing, utilizada por varios fabricantes de antivirus.

Este campo concreto de sistemas distribuidos muy estables se convertirá en el escenario principal de rivalidad entre los grupos cibercriminales. Los estafadores que puedan crear sus propios sistemas marcarán el nivel de amenazas en el futuro. Especialistas cualificados, capaces de desarrollar y mantener el malware 2.5, remplazarán a los piratas inexpertos.

Phishing/Fraude

Phishing/fraude es otro tipo de cibercrimen que sufre la influencia de la crisis económica mundial. El phishing y fraude en Internet continuarán creciendo.

En primer lugar, debido a la crisis, los usuarios de Internet tienen una reacción muy nerviosa ante cualquier asunto relacionado con sistemas de pagos, banca en línea y dinero electrónico. El momento en que los bancos quiebran, cambian de dueño o tienen problemas con los pagos ofrece a los cibercriminales grandes oportunidades de atacar a sus usuarios.

En segundo lugar, dado que el malware actual necesita cada vez más recursos para su desarrollo, distribución y utilización, muchos estafadores empiezan a usar en sus ataques métodos primitivos más simples y baratos. El phishing puede convertirse en la técnica más atractiva para los cibercriminales.

La competencia entre phishers está creciendo. La simple utilización de un sitio falso de un banco no será suficiente para engañar a los usuarios, los ataques se harán más sofisticados e intensos.

En general, la crisis reducirá la cantidad de dinero en Internet, sobre todo si se dan graves problemas en los sistemas de dinero electrónico que impidan convertir el dinero virtual en billetes reales.

Plataformas y sistemas operativos

Todas las plataformas y sistemas operativos que no sean Microsoft Windows tendrán una diferenciación según programas. Esto será también la consecuencia de la competencia entre los cibercriminales a nivel tecnológico y el intento de infectar el mayor número de ordenadores posible.

El cambio de las amenazas a nuevas áreas será uno de los resultados más obvios de este proceso. Mac OS y las plataformas móviles, que antes se usaban sobre todo para realizar experimentos, son ahora las primeras víctimas potenciales. Hoy en día, la porción de estas plataformas en el mercado es bastante alta y, por tanto, atraen el interés de los cibercriminales. Además, tienen muchos problemas de seguridad sin resolver y sus usuarios no están preparados para los ataques malware.

Kaspersky: Boletín de seguridad. Desarrollo de las amenazas en 2008

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada