Publicaciones

Los peligros en Internet

¿Cómo se infecta un ordenador mientras navega en Internet? ¿Cómo engañan a los usuarios los piratas informáticos? En este artículo trataremos de responder estas preguntas.

Objetivo

En los últimos años, la amenaza de infecciones en Internet ha empezado a crecer de manera constante. Esto se debe, en parte, a dos aspectos: el creciente número de usuarios activos y recursos en línea, y la codicia de los piratas cibernéticos. Hoy en día, los ataques que circulan en Internet son los más importantes en cuanto a la cantidad y la gravedad de la amenaza. Basta con darle un vistazo a nuestra clasificación mensual de programas maliciosos para darse cuenta de que existe un enorme número de ataques en línea, y de que los ataques son cada vez más y más dinámicos. Las amenazas recientes más complejas incluyen a ZeuS, Sinowal y TDSS; todos se propagan a través de Internet. Lo mismo sucede con la plaga de falsos programas antivirus y bloqueadores con los que normalmente se encuentra el usuario de Internet. La Operación Aurora, uno de los ataques específicos más escandalosos, también se lanzó en la web ( Operation_Aurora, en inglés). Y esta es solo la punta del iceberg.

El objetivo principal de un pirata informático al lanzar un ataque por Internet, es descargar e instalar un archivo malicioso ejecutable en el equipo de la víctima. Por supuesto que también están los ataques conocidos como ‘cross-site scripting’ (Cross-site_scripting), y falsificación de petición en sitios cruzados ( cross-site request forgery), que no involucran ninguna descarga o instalación de archivos ejecutables en el equipo de la víctima. Pero tener el control desde un sistema infectado le abre las puertas de todo un universo de oportunidades al ciberpirata: cuando un ataque tiene éxito, el pirata cibernético logra acceder a la información del usuario y a los recursos de su sistema. Esto significa que el ciberdelincuente tiene buenas probabilidades de sonsacar dinero de su víctima de una u otra manera.

El ataque

En general, un ataque está compuesto de dos etapas: desviar al usuario hacia un recurso malicioso, y descargar un archivo malicioso ejecutable en su equipo.

El pirata informático usa todos los canales posibles para atraer al usuario hacia sus recursos maliciosos: correo electrónico, mensajería instantánea, redes sociales, motores de búsqueda, publicidad; en realidad, se pueden encontrar enlaces maliciosos en cualquier momento y en cualquier parte. A veces, el ciberpirata ni siquiera necesita tomar medidas especiales para atraer a un usuario de Internet, pues le basta capturar un sitio web legítimo con un gran número de visitantes. Además, las nuevas tendencias demuestran que los piratas informáticos están recurriendo a esta técnica con creciente asiduidad.

Cuando el usuario se encuentra con un recurso ‘malo’, lo único que le falta para infectarse es descargar e instalar el programa malicioso en su equipo. Es aquí que el ciberpirata puede tomar una de dos decisiones: dejar que el usuario lo haga por sí mismo, o ejecutar una descarga drive-by. En el primer caso, los métodos de ingeniería social son muy requeridos para llevar al usuario a realizar las acciones deseadas (ver: Ingeniería_social. En otras palabras, el ciberpirata confía en la credulidad e inexperiencia de su víctima. En el segundo caso, el ciberpirata explotará una vulnerabilidad de algún programa que se ejecuta en el equipo de la víctima.

Los ataques en Internet que involucran la descarga e instalación de archivos maliciosos pueden visualizarse en el siguiente gráfico.


Visualización de un ataque en Internet que involucra la descarga e instalación de un archivo malicioso

Analicemos con más detenimiento el uso diario de Internet y cómo un usuario típico puede encontrarse con una página web ‘mala’ e infectar así su equipo.

Spam

El spam es una de las tácticas preferidas de los ciberdelincuentes para atraer usuarios hasta sitios maliciosos. Para ser más precisos, el spam aprovecha al máximo todas las capacidades de los modernos recursos de Internet.

Hace apenas algunos años, la palabra ‘spam’ estaba asociada sólo con los avisos publicitarios en los mensajes de correo. Hoy por hoy, el spam utiliza varios canales: mensajería instantánea, redes sociales, blogs, foros, e incluso mensaje de texto.

El spam suele incluir un archivo malicioso ejecutable o un enlace a un recurso malicioso. Los ciberdelincuentes usan de manera proactiva los métodos de ingeniería social para incitar al usuario a activar un enlace, y/o descargar un archivo malicioso: llenan mensajes con enlaces que están diseñados para parecer un titular de un hecho candente, o están camuflados como populares recursos o compañías de Internet. En general, apuestan por las debilidades humanas: miedo, curiosidad y emoción. En este artículo no vamos a ponernos a desmenuzar la ingeniería social, ya que en nuestro sitio hemos publicado numerosos ejemplos de cómo los programas maliciosos se propagan a través de ésta táctica.

Enlaces y banners atractivos

Otro moderno método para atraer usuarios hacia recursos maliciosos consiste en atractivos enlaces y avisos en pancartas (banners). En general, estos métodos son muy comunes en sitios web ilegítimos con copias no autorizadas de software o que publican contenidos para adultos.

Vamos a considerar un ataque en particular. Cuando el usuario ingresa una determinada frase en el campo de búsqueda de Google (‘descargar crack for assassin’s creed 2’ muy popular en mayo de 2010), verá la dirección de una página web que, al descargar, muestra un banner flotante con un anuncio de Fores-Bazar.

 
Banner flotante en un sitio web que ofrece software pirata

Si el usuario intenta cerrar el banner, se abrirá una nueva ventana de búsqueda con el sitio web que ofrece videos con contenidos para adultos. Si el usuario activa ‘preview’ para cualquiera de los videos, aparecerá un mensaje informando al usuario que se necesita una actualización de Adobe Flash Player para poder ver el video.

 
Mensaje que aparece en un sitio web después de que el usuario intente ver un video con contenido para adultos

[Esta pantalla informa al usuario que no podrá ver el contenido deseado si no instala la última versión de Flash Player]

Si el usuario activa ‘download update’ y después ‘install update’, se instalará en su equipo una de las últimas variantes de Trojan-Ransom.Win32.XBlocker (no es una actualización de Adobe). El programa procederá a abrir una ventana sobre las otras ventanas, sugiriendo al usuario que envíe un mensaje de texto de pago. Hasta que el usuario no lo haga, no recibirá la clave necesaria para ‘desinstalar inmediatamente el módulo’, y la ventana se mantendrá abierta, bloqueando a las otras.


Ventana que aparece después de instalar Trojan-Ransom.Win32.XBlocker

[Esta ventana informa al usuario de que no se trata de un virus, y que no bloquea el Administrador de tareas u otro software que se esté ejecutando en el equipo, pero si el usuario desea desinstalar de inmediato el módulo, tendrá que enviar el código especificado al número corto que se indica. El enlace al final del mensaje supuestamente ayuda al usuario a determinar cuánto le costará el mensaje de texto.]

Black hat (Sombrero negro) SEO

SEO (siglas en inglés de optimización del motor de búsqueda) consiste en una serie de medidas para mejorar la posición de un sitio web en los resultados de búsqueda de los motores de búsqueda como resultado de la solicitud de búsqueda del usuario. Junto a la moderna superinfopista, los motores de búsqueda son un recurso clave para obtener la información deseada, y cuanto más fácil resulte encontrar un sitio web, habrá más demanda de los servicios ofrecidos en ese sitio.

Existen numerosos métodos SEO, incluyendo los permitidos y legítimos, pero también hay tácticas prohibidas en los motores de búsqueda. A Kaspersky Lab le interesan en particular los métodos SEO prohibidos (Spamdexing y White_hat_y_black_hat). Estas técnicas son muy usadas por los ciberdelincuentes para distribuir sus recursos maliciosos.

Este artículo ofrece una descripción general de cómo el usuario entra en contacto con recursos ‘optimizados’ y cómo los usuarios maliciosos logran gran visibilidad para sus recursos.

Mediante el uso de palabras clave, ingresadas de forma manual o automática (por ejemplo, Google Trends), los ciberdelincuentes crean sitios web con contenidos relevantes. Esto suele hacerse de forma automática: unos robots crean solicitudes para los motores de búsqueda y roban contenidos (fragmentos de texto, por ejemplo) de páginas que aparecen en los primeros lugares de los resultados de búsqueda.

Para asegurarse de que el nuevo sitio web caiga entre los primeros resultados de la búsqueda, los creadores tienen que forzar a las arañas de búsqueda, o web crawlers, a catalogarlo. La manera más simple de iniciar el proceso de catalogación es la manual, usando, por ejemplo, las páginas Add your URL to Google, en las cuales los usuarios pueden ingresar su sitio web en el catálogo del motor de búsqueda. Para empujar más rápidamente el sitio hasta los primeros lugares de los resultados de búsqueda, se puede colocar un enlace al sitio en los recursos que los motores de búsqueda ya conocen, como foros, blogs, o redes sociales. El enlace a la página objetivo en estos sitios web le dará un aspecto sobresaliente durante el proceso de catalogación. Además, se puede ‘optimizar’ un sitio con la ayuda de botnets: los equipos infectados realizan una búsqueda con palabras clave específicas, y después seleccionan el sitio web pirata desde los resultados.

En seguida, se coloca un script en la recientemente creada página web que, con la ayuda del procesamiento de títulos http, puede usarse para identificar a las visitas. Si se trata de una arena, entonces se ‘mostrará’ una página con contenidos relevantes a las palabras clave que se usaron en la búsqueda. Como resultado, se empujará la página hacia arriba en la lista de resultados que se ofrece a los usuarios. Si viene desde un motor de búsqueda, entonces se desvía al usuario al sitio malicioso.

 
Proceso de crear e incluir datos en black hat SEO

Los motores de búsqueda eliminan rápidamente de los resultados de búsqueda los sitios web que se promocionan mediante métodos deshonestos. Por esta razón, los piratas informáticos, en general, los crean y optimizan a través de un proceso automático que ayuda a acelerar y multiplicar el número de nuevos recursos web maliciosos.

Las páginas web creadas automáticamente pueden colocarse donde se desee: en los recursos de los piratas informáticos, en recursos legítimos infectados, en servicios de alojamiento gratuito, o en plataformas para blogs.

Black hat SEO en acción

Los métodos de infección arriba descritos sólo tendrán éxito si el usuario accede a descargar el programa. Sucede con mucha frecuencia que el usuario que descarga el archivo es inexperto o descuidado. Las debilidades humanas son un factor importante en este proceso. Por ejemplo, si aparece una ventana advirtiendo que el equipo está infectado, el usuario pude preocuparse, y un usuario inexperto puede llegar a pulsar “eliminar todas las amenazas” con suma rapidez. Una página que avise que el usuario ha descargado una actualización de Adobe Flash Player o un codec puede no parecer sospechosa, especialmente si parece legítima; además, el usuario ya ha pulsado “descargar” muchas veces antes para actualizaciones estándar.

Recursos legítimos infectados

Hay un método en particular usado para distribuir programas maliciosos que es cada vez más prominente: descargas ocultas drive-by . En un ataque drive-by, el equipo se infecta sin que el usuario se dé cuenta y sin que participe. La mayoría de los ataques drive-by se lanzan mediante recursos legítimos infectados.

Los recursos legítimos infectados son quizás uno de los más graves y significativos problemas en Internet hoy en día. Los medios de prensa han publicado al respecto: ”Mass hack plants malware on thousands of webpages”, ”WordPress Security Issues Lead To Mass Hacking. Is Your BlogšNext?” and ”Lenovo Support Website Infects Visitors with Trojan”. Cada día, Kaspersky Lab registra miles de recursos infectados que descargan códigos maliciosos en los ordenadores de los usuarios sin que estos lo sospechen siquiera. Para saber más sobre los ataques drive-by, consultar este artículo publicado por Kaspersky Lab: Descargas drive-by: Internet sitiado.

En general, los ataques drive by no necesitan atraer al usuario hacia un sitio web malicioso; el usuario llegará al sitio como parte de su rutina regular de navegación en la web. Podría tratarse, por ejemplo, de un sitio web infectado que el usuario visita a diario para leer noticias u ordenar cierto producto.

Un recurso puede infectarse de dos maneras: a través de una vulnerabilidad en el recurso objetivo (por ejemplo, SQL injection), o mediante una previamente robada información confidencial de acceso a un sitio web. El método más común consiste en usar una etiqueta oculta llamada iframe (injection) escrita en el código fuente de la página. La etiqueta iframe puede contener un enlace a un recurso malicioso y automáticamente desviar al usuario cuando visita un sitio web infectado.

El recurso malicioso contiene un exploit o una serie de exploits que lanza si el usuario tiene software vulnerable que se esté ejecutando en su equipo. Esto iniciará la descarga y ejecución de un archivo ejecutable malicioso.

El siguiente gráfico ilustra cómo suele suceder un ataque (fuente: Google).


Cómo sucede el típico ataque drive-by

Colecciones de exploits

Analicemos con detalle uno de los métodos preferidos para lanzar ataques drive-by: colecciones de exploits. Una colección de exploits es un juego de programas que aprovechan las vulnerabilidades en programas legítimos que se estén ejecutando en el equipo del usuario. En pocas palabras, los exploits abren una especie de puerta trasera a través de la cual un programa malicioso infectará el equipo. Puesto que los ataques en la web se realizan a través de un navegador, el ciberpirata necesita usar las vulnerabilidades en el navegador, en los add-ons del navegador, o en el software de una tercera parte descargado usando el navegador para procesar contenidos. El objetivo fundamental de la colección de exploits es descargar y ejecutar archivos maliciosos ejecutables sin que el usuario se entere.

El siguiente gráfico muestra un juego típico de add-ons para el navegador Firefox. Las versiones con vulnerabilidades que han sido explotadas en previos ataques contra los usuarios se muestran remarcadas. Además, se han detectado otras vulnerabilidades en el mismo Firefox.

 
Típico juego de add-ons para Firefox

Hoy en día, las colecciones de exploits son el pico de la evolución de los ataques de descargas drive-by, y se modifican y actualizan con regularidad para incluir exploits de nuevas vulnerabilidades, y para contrarrestar efectivamente las medidas de seguridad.

Las colecciones de exploits han consolidado su nicho en el mercado de servicios del cibercrimen. Actualmente, el mercado negro en Internet vende miles de estas colecciones, que difieren en precio, en la cantidad de exploits, en la conveniencia de la interfaz del administrador, y en la calidad del servicio al cliente. Además de las colecciones de exploits “llave en mano” a la venta, las colecciones también pueden confeccionarse a pedido, un servicio al que recurren algunas pandillas de ciberdelincuentes.

Entre las colecciones que se elaboran a pedido, las más populares son Gumblar y Pegel: colecciones de exploits usadas para lanzar ataques contra importantes descargadores de scripts.

Lo que llama la atención de la última versión de Gumblar es su sitio automatizado (automated website) y el proceso de infección del equipo, en el que las herramientas usadas para lanzar el ataque incluyen los exploits y los archivos ejecutables. Estas herramientas se colocan en recursos legítimos infectados. Cuando el usuario visita un recurso infectado con Gumblar, se lo desvía a otro sitio web infectado, donde finalmente se infecta.

Los ataques de Gumblar explotan conocidas vulnerabilidades en Internet Explorer, Adobe Acrobat/Reader, Adobe Flash Player y Java.

Pegel también se propaga a través de sitios web legítimos infectados, pero la infección del equipo se realiza desde servidores controlados por piratas informáticos. Gracias a este factor, a los ciberdelincuentes les resulta muy fácil cambiar el archivo ejecutable objetivo y la colección de expoits. Por ejemplo, un ciberpirata confeccionó su propia colección de exploits (CVE-2010-0886CVE-2010-0886) que apuntaba a Java Deployment Toolkit, casi inmediatamente después de que el código fuente se hiciera público.

El descargador Twetti es otro troyano que resulta interesante desde un punto de vista tecnológico. Este programa malicioso crea varias peticiones para Twitter API, y usa los datos que recibe para generar un nombre de dominio pseudoaleatorio, hacia el cual se desvía al usuario. Los ciberdelincuentes emplean un algoritmo similar para de antemano obtener información sobre el nombre del dominio, después registrarlo y colocar programas maliciosos en el sitio para que posteriormente se descarguen en el equipo del usuario.

Un ejemplo de una colección de exploits:

Dinero

Entonces, ¿quién y cómo lucra con estos ataques?

Los ataques mediante banners publicitarios son lucrativos para los propietarios del recurso web que se anuncia en el banner: se les paga por este anuncio. Si un visitante descarga e instala XBloquer, entonces los autores del programa malicioso se benefician, pero sólo si el usuario envía un mensaje de texto al número corto de pago. Sucede con frecuencia que un usuario inexperto muerde el anzuelo.

Respecto a Black hat SEO y a los ataques que usan sitios a los que se les ha aplicado la técnica, quienes implementaron el “sistema de distribución”, por así decirlo, los que desarrollaron el software para la creación automática de sitios falsos, y aquellos que conectaron ambos en un solo proceso son los que lucran a expensas de sus víctimas. Si un usuario descarga e instala con éxito un falso programa antivirus, los que lanzaron el ataque también se beneficiarán. Mientras tanto, los usuarios inexpertos aceptan instalar y pagar por el programa así llamado “antivirus”, poniendo su dinero en los bolsillos de los autores del software falso.

Los autores de las colecciones de exploits se benefician de los ataques drive-by, así como los que usan las colecciones. Por ejemplo, la colección de exploits conocida como Zeus Toolkit es una manera eficiente de recolectar datos confidenciales del usuario, los cuales se venden posteriormente en el mercado negro. Como resultado, los ataques regulares de Pegel que lanzan lo ciberpiratas han llevado a la creación de una red zombi (botnet) compuesta de equipos infectados con Backdoor.Win32.Bredolab, que pueden usar para descargar otros programas maliciosos en el equipo de la víctima.

¿Significa esto que algunos ganan dinero cada vez que una víctima descarga un programa malicioso? ¡Claro que sí! Este tipo de sistema de ganar dinero se arregla a través de programas de socios o partners (schemes).

Partnerships o sociedades

Los partnerships aparecieron hace algún tiempo y en principio se usaron para propagar adware empaquetado con aplicaciones gratuitas; el usuario recibía un programa para mostrar avisos como un “bono” junto a la aplicación que descargó. Actualmente, estos acuerdos se usan con frecuencia para distribuir programas maliciosos.

Los modelos Black PPI incluyen a los siguientes actores principales (es decir, partners):

  • Clientes: Los ciberdelincuentes que poseen ciertos recursos financieros y programas malicioso que quieren distribuir.
  • El secuaz: Es el que propaga el programa y se le paga por ello. Suele suceder que a este tipo de partner no le importa saber lo que está distribuyendo, y por ello se convierte en un accesorio involuntario del cibercrimen (lo que no lo libera de ninguna responsabilidad).
  • El Recurso PPI: Se trata de una organización que enlaza al cliente con el secuaz, y se le paga intereses por sus transacciones.

 
Cómo funciona un esquema PPI

Además de los PPIs, en los que cualquiera puede tomar parte, también existen numerosos pertnership “cerrados”, en los que sólo se admiten a los actores principales del escenario del cibercrimen, como por ejemplo los propietarios de redes zombi. El lector ya puede imaginarse la cantidad de dinero que pasan por estas manos.

Queda una pregunta: ¿Quién es la fuente de ingresos de los ciberpiratas? La respuesta es, por supuesto, los usuarios. Son los que ponen en riesgo su dinero, su información confidencial, y la capacidad de sus equipos.

Un ejemplo de un PPI: InstallConverter

Conclusión

Este artículo abarca la mayoría de las amenazas en el moderno ciberespacio, aunque todavía no podamos enfrentar a todos los peligros que nos acechan en Internet.

Hoy en día, Internet es un lugar peligroso (todo lo que uno tiene que hacer es ‘click’ en un enlace que aparece en los resultados de un motor de búsqueda, o visitar nuestra página favorita que acaba de infectarse- y antes de que nos demos cuenta, nuestro equipo ya es parte de una red zombi. El objetivo principal de un ciberpirata es “aliviar” a los usuarios la carga de su dinero y su información confidencial, que es, al final, usada como otra fuente de lucro. Por eso los cibercriminales usan todo lo que tienen en su arsenal para instalar programas maliciosos en los equipos de sus víctimas.

Uno puede navegar protegido entre los peligros de Internet sólo si actualiza con regularidad sus programas más usados, especialmente aquellos que trabajan en conjunto con el navegador. Es importante contar con una moderna solución de seguridad, con bases de datos que se actualicen y sean bien mantenidos. En general, hay que ser muy cuidadoso cuando tratamos con información de fuentes externas que se recibe a través de la red.

Los peligros en Internet

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada