Informes sobre malware

Resumen de las actividades de los virus informáticos, febrero de 2012

Febrero en cifras

Este mes, en los equipos de los usuarios de Kaspersky Lab:

  • se bloquearon 143.574.335 intentos de infección mediante la red;
  • se detectaron y neutralizaron 298.807.610 programas maliciosos (intentos de infección local);
  • se detectaron 30.036.004 URLs maliciosas;
  • se neutralizaron 261.830.529 ataques de red,

Lo último sobre Duqu

Los estudios del programa malicioso Duqu dejaron de ser un análisis proactivo para rastrearlo y se convirtieron en un análisis profundo de los datos que se recolectaron. En enero y febrero de 2012, Kaspersky Lab se concentró en los aspectos técnicos de Duqu, como los sistemas de recolección de datos de su servidor y sus módulos troyanos integrados.

A finales de diciembre de 2011, Kaspersky Lab dejó de detectar señales de Duqu en Internet. Descubrimos que el 1-2 de diciembre de 2011, los autores del programa troyano limpiaron una vez más sus servidores en todo el mundo. Trataron de arreglar los errores que cometieron el 20 de octubre durante su primera limpieza de servidores (de la que hablamos en la Parte 6 de los artículos del blog sobre Duqu).

Por consiguiente, podemos analizar los efectos provisionales del ataque más reciente.

Kaspersky Lab ha registrado más de una docena de incidentes de Duqu, y la gran mayoría de las víctimas están en Irán. Un análisis de las organizaciones atacadas y del tipo de información que interesaba a los autores de Duqu nos hace pensar que los atacantes estaban particularmente interesados en conseguir información sobre sistemas de gestión de producción de diferentes sectores industriales en Irán, además de datos sobre las relaciones comerciales de organizaciones iraníes.

Al analizar el código de Duqu, Kaspersky Lab llegó a la conclusión de que, además de que usaron un tipo especial de plataforma estandarizada (llamada Tilded), es muy probable que los autores de Duqu hayan utilizado su propio marco desarrollado en un lenguaje de programación que nosotros desconocemos. Hemos hablado sobre esto en otra entrada del blog.

Según los datos que conseguimos, se puede asumir que es muy posible que los desarrolladores de Tilded continúen con su trabajo y nosotros tengamos que lidiar con su programa en el futuro (quizás muy pronto).

Ataques contra individuos

Vulnerabilidades en el sistema de pagos Google Wallet

En otoño de 2011, Google lanzó Google Wallet, un sistema de pagos online que permite a los usuarios pagar por bienes y servicios usando teléfonos Android con Near Field Communication (NFC – transacciones sin contacto). La aplicación Google Wallet se instala en un smartphone y el usuario escoge qué tarjeta de crédito usar. Para procesar los pagos, el dueño del teléfono debe ingresar un PIN en la aplicación Google Wallet y poner el teléfono cerca del escáner. El teléfono transfiere los datos codificados para completar la transacción.

Cuando Google anunció este nuevo servicio, los profesionales de seguridad de datos expresaron sus dudas sobre la seguridad de este servicio si el teléfono se pierde, lo roban, o de alguna manera cae en manos de otra persona. Después, a principios de febrero, se detectaron dos métodos que se estaban utilizando para vulnerar Google Wallet.

Al principio, Joshua Rubin, ingeniero de zVelo descubrió cómo una persona que obtiene acceso al teléfono puede conseguir los PIN sin autorización. Los datos de las cuentas bancarias se guardan en una sección especial y segura (el Secure Element) del chip NFC, pero el hash del PIN se guarda en el sistema de archivos del teléfono. Se necesita acceso a la raíz para leer el hash, y éste se puede obtener usando tácticas de hacking bien conocidas. Como los códigos PIN son sólo números de cuatro dígitos, los usuarios malintencionados no tienen que gastar mucho tiempo probando diferentes combinaciones para obtener la secuencia correcta. Después de conseguir el PIN, el usuario malicioso puede comenzar a hacer compras utilizando la cuenta Google Wallet del dueño del teléfono.

Sólo un día después de que se detectara esta vulnerabilidad, apareció otro método para obtener acceso a la cuenta Google Wallet de usuario en un teléfono robado o perdido – sin necesidad de alterar el sistema o conseguir acceso a la raíz. Esta vez, se explotó una vulnerabilidad en la aplicación Google Wallet. Si uno utiliza el menú de propiedades de la aplicación y elimina todos los datos de la aplicación Google Wallet, se solicitará al usuario que ingrese un nuevo código PIN la próxima vez que la ejecute, sin necesidad de escribir el viejo PIN.

Se informó sobre estas vulnerabilidades de inmediato a Google, que suspendió las operaciones de Google Wallet por varios días para arreglar los problemas. Más tarde, Google anunció que las vulnerabilidades de la aplicación estaban solucionadas y el servicio estaba actualizado. Pero, hasta el primero de marzo, todavía no se había informado sobre ninguna solución para la vulnerabilidad que utilizaba el escáner para determinar el código PIN correcto. El PIN necesita guardarse en el Secure Element para prevenir el acceso a su hash, como los datos de cualquier otra cuenta bancaria o tarjeta de crédito. Pero aquí es donde entran en juego las cuestiones legales: en este caso, los bancos serían los responsables de la seguridad del código PIN dentro de Secure Element, no Google.

Código falso de Google Analytics dirige a los usuarios a BlackHole Exploit Kit

Los usuarios maliciosos a menudo alteran los sitios web para difundir programas maliciosos – implantando código malicioso en el código del recurso hackeado. Se utiliza todo tipo de técnicas para evitar que los dueños de los sitios web comprometidos sospechen que algo anda mal. A principios de febrero, Kaspersky Lab estuvo haciendo un seguimiento de una ola de infecciones que incluía la difusión de códigos maliciosos que se hacían pasar por códigos de Google Analytics.

El código falso tiene algunas características distintivas:

  1. El código malicioso utiliza un guión doble, a diferencia de la dirección real (p.ej., google–analytics.com vs. google-analytics.com).
  2. En el código real de Google, la identificación de la cuenta es una cadena de caracteres única con numerales (p.ej., UA-5902056-8) y funciona como el código de identificación único del sitio web. El código malicioso utiliza la cadena de caracteres “UA-XXXXX-X” en su lugar.
  3. El código que propagan los usuarios maliciosos se inserta al inicio del código de la página, aún antes de la etiqueta , mientras que el código Google Analytics verdadero casi siempre está ubicado al final de la página.

Si un usuario ingresa a una página que distribuye este código, la dirección maliciosa google–analytics.com descarga el javascript ofuscado “ga.js”, y los usuarios que visitan la página alterada serán redirigidos varias veces hasta acabar en un servidor que aloja el paquete de exploits BlackHole Exploit Kit. Si el exploit se ejecuta con éxito, el ordenador del usuario se infectará.

Por ahora, el sitio falso google–analytics.com no está funcionando. Algunos sitios alterados todavía incluyen el código de Google Analytics falso, pero es inofensivo (al menos por ahora).

Amenazas móviles

Acontecimientos recientes que involucran amenazas móviles en todo el mundo han demostrado que, en 2012, las redes zombi móviles se convertirán en uno de los principales problemas para los usuarios de smartphones y las compañías antivirus.

La red zombi de teléfonos móviles RootSmart

En un lapso relativamente corto, los escritores de virus pudieron crear una red zombi que infectó entre 10.000 y 30.000 dispositivos activos. El número total de dispositivos infectados desde que apareció esta red zombi ya está en los cientos de miles. El sistema de clasificación de Kaspersky Lab ubicó esta amenaza en la familia Backdoor.AndroidOS.RootSmart. Todos los aparatos infectados con RootSmart pueden recibir y ejecutar órdenes de un servidor C&C a distancia.

Este alto número de dispositivos infectados guarda cierta semejanza con el de ordenadores que operan con Windows OS. Parece que las diferencias entre redes zombi móviles y “convencionales” están desapareciendo, aunque las formas en las que generan dinero son diferentes. Las redes zombi de ordenadores por lo general lanzan ataques DDoS y envían correos spam de forma masiva, pero estas tácticas no son tan eficientes en las redes zombi móviles.

Los usuarios maliciosos que controlan la red zombi RootSmart han escogido utilizar un sistema de mensajes de texto cobran al usuario – la elección más convencional y popular de los cibercriminales para ganar dinero fácil con los teléfonos móviles infectados. Quienes controlan la red zombi pueden escoger la frecuencia con la que se enviarán los mensajes de texto (uno, dos o tres por día, etc.), el periodo que pasará entre cada mensaje y los números cortos a los que se enviarán. Como los usuarios maliciosos tienen control absoluto sobre los dispositivos infectados, pueden hacer las modificaciones que quieran para evitar que el dueño del teléfono comience a sospechar de la infección (por ejemplo, usar los mensajes de texto menos costosos) y controlar las ganancias que genera la red zombi. A diferencia de los troyanos de SMS, esto permite a los cibercriminales generar un flujo de dinero estable y substancial por mucho tiempo.

Arresto de los autores de Foncy

En enero de 2012 detectamos Backdoor.Linux.Foncy.a, que ahora es el mejor ejemplo de programa malicioso que utilizan los cibercriminales para enviar órdenes a los dispositivos infectados para controlarlos a distancia.

La puerta trasera se instala en el sistema usando un dropper APK con un exploit de raíz (Exploit.Linux.Lotoor.ac) y un troyano SMS (Trojan-SMS.AndroidOS.Foncy.a). Es posible que nuestros lectores recuerden que la familia de troyanos SMS Foncy se detectó por primera vez en noviembre de 2011.

Recibimos buenas noticias a fines de febrero: se arrestó en París a dos sospechosos de haber infectado más de 2.000 teléfonos Android con el malware Foncy. Esta es la primera vez que se arresta a los autores de malware para teléfonos móviles. Es más, sólo habían pasado tres meses desde que se publicó la información sobre Foncy. Esperemos que este caso llegue a su conclusión lógica y que pronto escuchemos la sentencia para estos desarrolladores de malware para teléfonos móviles. Las autoridades creen que estos usuarios maliciosos causaron daños financieros de alrededor de 100.000 euros.

Ataques a redes corporativas

Los ataques hacktivistas continuaron a lo largo de febrero, cuando los miembros de Anonymous atacaron los recursos web de sitios financieros y políticos.

Los ataques hacktivistas atacaron los sitios web de las empresas Combined Systems Inc (CSI) y Sur-Tec Inc, con sede en Estados Unidos. Se descubrió que estas compañías habían proveído a algunos países de dispositivos de vigilancia para espiar a ciudadanos, además de gases lacrimógenos y otras herramientas para reprimir protestas. Se acusó a CSI de enviar estas tecnologías a Egipto durante las revueltas contra el presidente Mubarak. También envió provisiones a Israel, Guatemala y muchos otros países. Los hackers robaron los mensajes internos de la compañía, una lista de clientes y documentos internos; después publicaron todo en pastebin.com.

También se atacaron muchos sitios web de la Comisión Federal de Comercio de los Estados Unidos. Este acontecimiento ocurrió como parte de la lucha de Anonymous contra el Acuerdo comercial anti-falsificación (ACTA). Se agregó un video de protesta contra la adopción de ACTA en los sitios afectados. Los hacktivistas también robaron los nombres de usuario y contraseñas de usuarios de recursos y los publicaron en pastebin.com.

El grupo que organizó los ataques DDoS de enero en protesta contra el cierre de Megaupload.com también se declaró responsable de dos de los ataques mencionados arriba. En aquel entonces, también causaron grandes dolores de cabeza al Departamento de Justicia de los Estados Unidos, los sitios web de Universal Music Group, la Recording Industry Association of America y el MPAA.

Otro subgrupo de Anonymous (LONGwave99) lanzó ataques contra institutos financieros en los Estados Unidos. El 14-15 de febrero, este grupo lanzó ataques DDoS y dejó inactivos los sitios web de NASDAQ, BATS, el Chicago Board Options Exchange (CBOE) y el Miami Stock Exchange. Los ataques, denominados “Operación Tornado Digital”, no afectaron a los sistemas de comercio, según representantes de las organizaciones afectadas.

La policía sigue investigando este acto de hacktivismo. A fines de febrero, la Interpol y las autoridades de Argentina, Chile, Colombia y España arrestaron a 25 personas sospechosas de haber participado en una serie de ataques informáticos. Como respuesta, Anonymous lanzó ataques DDoS contra el sitio web de la Interpol, dejándolo inactivo por varias horas.

En Rusia, antes de las elecciones presidenciales, se utilizaron ataques DDoS y hacking como herramientas para hacer campañas políticas. Los sitios web de medios de comunicación, grupos opositores y agencias gubernamentales fueron el objetivo de ataques con motivaciones políticas. Durante esta serie de ataques, Kaspersky Lab notó que se estaban usando varias redes zombi Ruskill, que se reemplazaban mutuamente una y otra vez. Detectamos un total de ocho centros de comando de las redes zombi en diferentes países, que utilizaban diferentes servicios de alojamiento y servicio de proveedores. Pero es posible que las mismas personas hayan estado a cargo de todos estos servidores C&C.

En muchos casos, las redes zombi involucradas en los supuestos ataques políticos ya se habían usado para lanzar ataques DDoS con obvios fines comerciales a tiendas en línea, bancos, foros especializados y blogs personales. Está claro que estas redes zombi están involucradas en ataques DDoS con motivaciones políticas por cuestiones comerciales y que sus dueños son sólo “ayudantes contratados”, dispuestos a lanzar ataques DDoS contra quien sea por el precio que consideren justo.

Porcentajes de febrero

Estas estadísticas representan los veredictos del módulo antivirus detectados gracias a los usuarios de los productos Kaspersky Lab que dieron su consentimiento para compartir sus datos locales.

TOP10 de programas maliciosos en Internet

Nombre % del total de ataques Cambios en la posición
1 Malicious URL 91,26% 0
2 Trojan.Script.Iframer 5,81% 0
3 Trojan.Script.Generic 2,15% 0
4 Trojan-Downloader.Script.Generic 0,95% 2
5 Trojan.Win32.Generic 0,47% -2
6 Trojan-Downloader.JS.Agent.gmr 0,43% nuevo
7 Trojan-Spy.JS.Agent.c 0,37% -2
8 Trojan-Downloader.Win32.Agent.gyai 0,35% 1
9 Trojan.JS.Redirector.ue 0,31% nuevo
10 Trojan.JS.Popupper.aw 0,30% -1

Top10 de países cuyos recursos web propagaban malware

País* % del total de ataques
1 Holanda 22,49%
2 Estados Unidos 20,97%
3 Rusia 16,82%
4 Alemania 10,09%
5 Ucrania 4,57%
6 Gran Bretaña 4,43%
7 Islas Vírgenes Británicas 1,89%
8 Francia 1,79%
9 China 1,45%
10 Canadá 1,10%

* Para determinar el origen geográfico de un ataque, el nombre de dominio se compara con la dirección IP en la que está localizado el dominio en cuestión y se determina la ubicación geográfica de la dirección IP (GEOIP).

Top10 de áreas de dominios maliciosos

Dominio Número de ataques*
1 ru 48 523 586
2 com 46 111 931
3 info 15 454 153
4 net 10 140 453
5 org 5 326 917
6 in 4 724 839
7 pl 1 465 601
8 me 1 100 728
9 eu 704 525
10 biz 637 536

*Número de ataques de recursos web según los dominios detectados por el módulo web antivirus.

Top 10 de países en los que los usuarios corren más riesgos de sufrir una infección vía Internet

País %* Cambios en la posición
1 Rusia 53,75% 0
2 Costa de Marfil 49,25% nuevo
3 Armenia 45,47% -1
4 Kazajistán 44,99% 1
5 Bielorrusia 43,89% 1
6 Azerbaiján 43,08% -2
7 Ucrania 41,93% 0
8 Moldavia 38,16% 2
9 Bangladesh 35,70% nuevo
10 Uzbekistán 35,37% -2

Cuando hacemos los cálculos, excluimos aquellos países en los que la cantidad de usuarios de productos Kaspersky Lab es relativamente pequeña (menor a 10.000).

*Porcentaje de individuos en el país con ordenadores que tienen instalados productos Kaspersky Lab que bloquearon amenazas virtuales.

Top 10 de países en los que los usuarios corren menos riesgos de sufrir una infección vía Internet

País %* Cambios en la posición
1 Taiwán (ROC) 8,22% 6
2 Japón 8,23% 2
3 Benín 9,21% -2
4 Luxemburgo 10,13% 2
5 Mozambique 10,15% 3
6 Hong Kong (Región Administrativa Especial, RAE) 10,35% nuevo
7 Macao (Región Administrativa Especial, RAE) 10,68% 2
8 Dinamarca 11,01% -4
9 Nueva Zelanda 11,23% nuevo
10 Sudáfrica 12,04% nuevo

Cuando hacemos los cálculos, excluimos aquellos países en los que la cantidad de usuarios de productos Kaspersky Lab es relativamente pequeña (menor a 10.000).
*Porcentaje de individuos en el país con ordenadores que tienen instalados productos Kaspersky Lab que bloquearon amenazas virtuales.

Resumen de las actividades de los virus informáticos, febrero de 2012

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada