Investigación

Las fieras de Internet

Carece de importancia a qué se dedique el usuario en Internet: se comunique en las redes sociales, busque nueva información o mire vídeos. Tampoco tiene importancia la edad de la víctima potencial, porque en el arsenal de los delincuentes informáticos hay trucos para todos, desde escolares hasta jubilados. El objetivo de los delincuentes cibernéticos es obtener acceso al dinero del usuario, sus datos personales y la potencia de su ordenador personal. En resumen, a todo lo que permita lucrar.

En los inmensos paisajes de la red el usuario puede convertirse en víctima de los más diversos ataques: infectarse con el extorsionador Gimemo o Foreign, convertirse en parte de la botnet Andromeda, perder el dinero de su cuenta bancaria mediante Zeus o comprometer sus contraseñas con el espía Fareit. En la mayoría de los casos, durante los ataques web en el ordenador atacado se descarga e instala un fichero ejecutable, pero hay excepciones, por ejemplo XSS o CSRF, en los cuales se usa un código HTML incrustado.

Mecánica de los ataques

Para que el ataque tenga éxito, es necesario que el usuario visite un sitio malicioso, desde donde su ordenador descargará un fichero ejecutable. Para atraer al usuario a su sitio web, el delincuente puede enviarle un enlace por correo electrónico, mensajes de texto o mediante redes sociales, o bien hacer que su sitio salga primero en los resultados de los sistemas de búsqueda. Pero hay otra vía: hackear un sitio web popular legítimo o una red de banners popular y convertirlos en instrumento de ataque contra los usuarios.

La etapa de descarga e instalación del programa malicioso se lleva a cabo usando uno de dos métodos. El primero, una descarga drive-by inadvertida consiste en usar las vulnerabilidades del software del usuario. El visitante del sitio infectado puede no darse cuenta de que se está instalando un programa malicioso en su ordenador, ya que por lo general no aparece ninguna señal que lo indique.

El segundo requiere la aplicación de ingeniería social, con la que se engaña al usuario para que descargue e instale en su ordenador un programa malicioso bajo la apariencia de una “actualización del reproductor Flash” o de otro sofware popular.

Threat_landscape_1

Esquema del ataque mediante Internet con descarga de un fichero malicioso ejecutable

Enlaces y banners maliciosos

El método más simple para hacer que la víctima llegue a un sitio malicioso es poner a la vista un banner llamativo con un enlace. Por lo general, se usa como carnada sitios con contenido ilegal, pornografía, software sin licencia, películas, etc. Este tipo de sitios pueden funcionar por mucho tiempo “honradamente”, mientras ganan público y sólo después empezar a poner banners y enlaces a recursos ilegales.

Un método bastante popular de infección es el malwertizing, que consiste en remitir al usuario a un sitio web malicioso mediante banners ocultos. Las redes de banners de dudosa reputación, que con promesas de grandes pagos por la visualización de publicidad y paso a los recursos publicitados, atraen a los administradores de los sitios web, que con frecuencia obtienen otros ingresos propagando malware.

Al llegar al sitio web que ha instalado un banner de alguna red maliciosa, en el navegador de la víctima se abre un así llamado “pop-under”, es decir, una ventana emergente que se abre detrás de la ventana del sitio o en una pestaña inactiva vecina. El contenido de tal “pop-under” con frecuencia depende de dónde resida el visitante del sitio, ya que los habitantes de diferentes países pueden remitirse a diferentes recursos. A los visitantes de unos países se les puede simplemente mostrar publicidad, por ejemplo:

Threat_landscape_2

Sitio web que remite al usuario norteamericano al sitio web watchmygf[]net

Threat_landscape_3

Sitio web que remite al usuario de Rusia al sitio web runetki[]tv

…mientras que a los visitantes de otros países se los ataca con paquetes de exploits.

Threat_landscape_4

Habitante de Japón atacado con un exploit y que recibe el troyano espía Zbot

En raros casos los banners maliciosos también penetran a las redes sociales honradas, a pesar del estricto control que hacen sus administraciones. Casos como estos se registraron en la red de banners de Yahoo Advertising e incluso en la de YouTube.

Envíos masivos de spam

El spam es una de las maneras más populares de atraer víctimas a los recursos maliciosos. Se considera spam los mensajes no solicitados enviados por correo electrónico, mediante mensajes de texto, sistemas de mensajería instantánea, redes sociales, mensajes personales en los foros y comentarios en los blogs.

Un mensaje peligroso puede contener un fichero de malware o un enlace a un sitio infectado. Para obligar al usuario a hacer click en un enlace o en un fichero, se usa la ingeniería social, en particular:

  • como nombre del usuario se usa el nombre de una organización o persona reales,
  • el mensaje se camufla como un envío legítimo e incluso como un mensaje personal,
  • se le da un nombre al fichero que haga que la víctima lo tome como un programa útil o un documento necesario.

Threat_landscape_5

Durante los ataques selectivos, cuando los delincuentes lanzan ataques específicos contra determinadas organizaciones, el mensaje malicioso puede ser similar al que enviaría un remitente verdadero perteneciente a la organización: la dirección del remitente, el contenido y la firma serán los mismos que en los mensajes verdaderos, por ejemplo, de un socio de la compañía. Al abrir el documento adjunto llamado, por ejemplo “Cuenta.docx” el destinatario expone su equipo a infecciones.

La optimización “negra” de motores de búsqueda

La optimización de los motores de búsqueda (SEO, Search Engine Optimization) es un conjunto de métodos destinados a hacer subir un sitio web en los resultados de los motores de búsqueda. Los usuarios modernos, para recibir la información o servicios que necesitan, con frecuencia usan los sistemas de búsqueda, y por lo tanto, mientras más fácil sea encontrar un sitio web, más visitantes tendrá.

Aparte de los métodos legales de optimización aceptables desde el punto de vista de los sistemas de búsqueda, existen métodos prohibidos, que engañan a los motores de búsqueda. El sitio web puede “optimizarse” con la ayuda de una botnet: miles de bots realizan determinadas solicitudes de búsqueda y escogen entre los resultados un sitio web malicioso, haciendo que suba en la lista de resultados. En sí, el sitio puede tener diferentes caras, dependiendo de quién es el que los visita: si se trata del robot del motor de búsqueda, se le mostrará una página relevante relacionada con la búsqueda, pero si se trata de un usuario común y corriente, se lo remitirá a un sitio malicioso.

Threat_landscape_6

Además, mediante utilitarios especiales el enlace al sitio se difunde en foros y otros sitios que el sistema de búsqueda conoce, lo que hace subir la posición del sitio web en la lista de resultados de la búsqueda.

Como regla, las administraciones de los sistemas de búsqueda bloquean con celeridad los sitios web promocionados mediante la optimización “negra”. Por eso, se los crea y promociona por decenas y centenas, usando instrumentos automáticos.

Sitios legítimos infectados

A veces, los delincuentes pueden infectar un sitio legítimo visitado por una gran cantidad de personas para propagar sus programas. Se puede tratar de un popular sitio de noticias, una tienda online, algún portal o agregador de noticias.

Se usan dos métodos para infectar los recursos. Si en el sitio en cuestión se ha descubierto un software vulnerable, se le puede cargar un código malicioso (por ejemplo, inyectándoles un código SQL). En otros casos los delincuentes usan datos de autentificación obtenidos en el ordenador del administrador del sitio mediante uno de los numerosos troyanos-espía, o bien por medio del phishing y la ingeniería social. Después de hacerse con el control del sitio, se lo infecta de una u otra forma. En el caso más simple, se introduce en el código HTML de la página web una etiqueta iframe oculta con un enlace a un recurso malicioso.

Cada día Kaspersky Lab detecta miles de sitios web legítimos que infectan a sus visitantes con códigos maliciosos sin que se den cuenta. De entre los casos que han causado más revuelo merece la pena destacar el programa troyano Lurk, detectado en los sitios web de la agencia de noticias RIA y gazeta.ru, y también la infección de PHP.Net.

Se ataca a visitantes del sitio infectado usando una descarga drive-by oculta, es decir, la infección pasa inadvertida para el usuario y no requiere de su participación. Desde la página se descarga un exploit o un conjunto de exploits que, si existe software vulnerable en el equipo del usuario, ejecuta un fichero malicioso.

Paquetes de exploits

El instrumento más efectivo para infectar el equipo de la víctima son los paquetes de exploits, por ejemplo Blackhole.

Es un artículo que se vende muy bien en el mercado negro: los paquetes de exploits se hacen a pedido o para su venta a un gran público, tienen asistencia técnica y actualizaciones. El precio del paquete se determina por la cantidad y “novedad” de los exploits que contiene, la comodidad de administración, la calidad de servicio de asistencia técnica, la regularidad de las actualizaciones y la codicia del vendedor.

Como los ataques descritos lanzados contra los ordenadores se producen mediante el navegador, los exploits deben usar las vulnerabilidades de éste, sus plugins o el software de terceros que el navegador carga para procesar determinados contenidos. Si alguno de los exploits logra tener éxito, el resultado será la ejecución de un código malicioso en el equipo de la víctima.

Threat_landscape_7

Threat_landscape_8

Típico conjunto de plugins para el navegador Internet Explorer que no requieren permisos predeterminados para ejecutarse. Con rojo se han destacado los plugins cuyas vulnerabilidades se usan con frecuencia para lanzar ataques contra el sistema.

Un conjunto efectivo contiene exploits para las vulnerabilidades vigentes en los navegadores y plugins populares, como también para Adobe Flash Player y otros programas populares. No es raro que los conjuntos de exploits contengan instrumentos para hacer ajustes finos de la configuración y para recopilar estadísticas de las infecciones.

Threat_landscape_9

Panel de administración del conjunto de exploits Styx

Descarga directa hecha por el usuario

Pero no siempre los delincuentes necesitan instrumentos sofisticados y caros para introducir un programa malicioso en el equipo de la víctima. Basta con engañar al usuario y hacer que descargue y ejecute un programa malicioso por su propia cuenta.

Por ejemplo, al entrar a un sitio pornográfico malicioso el usuario ve un fragmento de un vídeo “para adultos”. Al hacer clic en éste, ve que un anuncio de que es necesario actualizar su Adobe Flash Player, y el sitio de inmediato le ofrece un fichero con nombre adecuado para que lo descargue. Al instalar la “actualización” el usuario infecta su equipo con un programa troyano.

Threat_landscape_10

Mensaje que aparece si se intenta ver un vídeo “para adultos” en un sitio malicioso

O ante el usuario puede aparecer una página web idéntica a la ventana “Mi PC” donde se le dirá que en el equipo se ha detectado una gran cantidad de virus. Y al lado aparece una ventana que ofrece descargar un “antivirus gratuito” que los eliminará a todos.

Threat_landscape_11

Oferta de instalar un antivirus gratuito, que en realidad es un troyano

Infección mediante redes sociales

Los usuarios inexpertos de las redes sociales sufren ataques de los así llamados gusanos semiautomáticos. A la futura víctima le llega un mensaje supuestamente enviado por su conocido virtual con una propuesta de obtener alguna función atractiva, ausente en la red social (“no me gusta”, datos confidenciales de los demás usuarios, etc.). Para recibir la función atractiva se le propone al usuario abrir la consola JavaScript del navegador e ingresar allí determinado código.

Threat_landscape_12

Instrucción de instalación de un gusano semiautomático para Facebook

Después de ejecutar estas acciones el gusano se activa y empieza a recopilar datos sobre el usuario, enviar enlaces de sí mismo a los contactos de la víctima, poner “me gusta” en diferentes posts. Esto último es un servicio de pago que el dueño del gusano les presta a sus clientes. Y con esto nos acercamos a los motivos que hacen que los delincuentes recurran a diferentes trucos y violen la ley.

Dinero, dinero, dinero

Por supuesto, los delincuentes no atacan nuestros equipos por puro amor al deporte: su objetivo siempre es la obtención de lucro. Una manera muy popular de quitarle ilegalmente su dinero a la víctima son los troyanos extorsionadores, que hacen imposible usar el equipo hasta que se pague determinada suma.

Tras penetrar en el equipo del usuario, el troyano determina el país donde se encuentra y le muestra a la víctima una pantalla de bloqueo con amenazas e instrucciones de cómo pagar el rescate. Del país donde se encuentre el usuario depende el idioma del mensaje y el método de pago que propondrán los delincuentes cibernéticos.

Por lo general los delincuentes acusan al usuario de que ha mirado pornografía infantil o ha cometido otros delitos, y después lo amenazan con tomar acciones penales o con publicar estos datos, con el cálculo de que la víctima tomará las amenazas en serio y no se atreverá a pedir ayuda a la policía. Para asustar más al usuario, los troyanos extorsionadores pueden amenazar con destruir el contenido del disco duro si el usuario no paga el rescate en un corto plazo.

Threat_landscape_13

Pantalla de bloqueo que el troyano extorsionador Trojan-Ransom.Win32.Foreign muestra a los habitantes de EE.UU.

Los delincuentes proponen pagar la “multa” enviando un mensaje de texto a un número de pago o girando el dinero por alguno de los sistemas de pago. Como respuesta el usuario debe recibir el código para desbloquear el sistema, que desactiva el troyano al ingresarlo, pero en la práctica esto no siempre sucede.

El canal de comunicación con la víctima puede servir para que la policía descubra a los delincuentes y estos con frecuencia prefieren no correr riesgos y dejan a la víctima con un equipo que no funciona.

Otro método difundido de ganancia ilícita es la recopilación y venta de la información confidencial de los usuarios. Los datos de contacto y personales son una mercancía que se vende bien, y que se puede ofrecer en el mercado negro, aunque sea por un precio relativamente bajo. Sobre todo porque para recopilar la información no es necesario infectar el equipo del usuario con malware. Con frecuencia es la misma víctima quien proporciona toda la información necesaria. Lo importante es que el sitio donde está el formulario de ingreso de datos tenga una apariencia sólida y que inspire confianza.

Threat_landscape_14

Sitio falsificado que recopila los datos de contacto y personales de los visitantes y que después los da de alta en servicios móviles de pago

Los troyanos bancarios proporcionan grandes ganancias a sus dueños. Estos programas están hechos para robar dinero de las cuentas bancarias del usuario que usa el sistema de banca online. El malware de este tipo roba los datos de autentificación del usuario en los sistemas de banca online. Por lo general esto no es suficiente, ya que casi todos los bancos y sistemas de pago exigen que la autentificación se lleve a cabo de varias formas: mediante un código enviado por mensaje de texto, mediante la instalación de una llave USB, etc. En estos casos, en el momento en que el usuario hace algún pago mediante el sistema de banca en Internet, el troyano suplanta los datos del pago y desvía el dinero a cuentas especiales desde donde los delincuentes sacan el dinero en efectivo. Existen otras tecnologías para evadir la autentificación de dos factores: los troyanos pueden interceptar los mensajes de texto con contraseñas desechables o hacer que el sistema se “congele” cuando se inserta la llave USB, para de forma remota concluir la operación en vez del usuario, mientras este analiza la situación y decide si vale la pena reiniciar su equipo.

Por último, un negocio lucrativo es mantener botnets. Los equipos infectados por bots pueden, de forma inadvertida, realizar varios tipos de actividades que le traen dinero al delincuente: extraer bitcoins, enviar spam, lanzar ataques DDoS, hacer subir de posición sitios web en los resultados de los motores de búsqueda, etc.

Resistencia a las amenazas

Como ya nos hemos podido convencer, las amenazas de Internet son bastante variadas y pueden emboscar al usuario en casi todas partes: cuando lee su correo, se comunica en las redes sociales, lee noticias, o simplemente navega por Internet. También son numerosas las formas de oponerse a estas amenazas, pero todas ellas se pueden reducir a tres consejos clave:

  • Siempre preste atención a lo que hace en Internet: qué sitios web visita, qué ficheros descarga y qué ejecuta en su equipo.
  • Desconfíe de los mensajes enviados por usuarios y organizaciones desconocidos, no haga clic en enlaces enviados y no abra adjuntos.
  • Actualice con regularidad el software que usa, sobre todo aquel que funciona de forma conjunta con el navegador.
  • Instale una solución de defensa moderna y mantenga sus bases antivirus actualizadas.

Suena bastante simple, pero la creciente cantidad de infecciones muestra claramente que son muchos los usuarios que no tienen una actitud seria hacia su propia seguridad y no siguen estos consejos. Esperamos que nuestro análisis de las amenazas de Internet modernas ayude a cambiar esta situación.

Las fieras de Internet

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada