Resumen de las actividades de los virus informáticos, marzo de 2012

DUQU

La investigación sobre el troyano Duqu ha entrado en su sexto mes, y en marzo se vieron significativos avances, ya que se pudo establecer el lenguaje que se usaba en su código Framework. Este descubrimiento se realizó con la ayuda de la comunidad informática internacional, que nos proporcionó cientos de posibles explicaciones e hipótesis.

El Framework de Duqu se escribió en lenguaje C y se compiló con MSVC 2008 con las opciones “/O1” y “/Ob1”. Es muy probable que sus creadores hayan utilizado la extensión orientada a objetos del lenguaje C, conocida como “OO C”. La arquitectura dirigida por eventos se desarrolló como parte del Framework o en la extensión OO C. El código de comunicación C&C pudo haber provenido de otro programa malicioso y adaptarse a las características de Duqu. Creemos que el código fue desarrollado por profesionales que prefieren una programación “a la antigua”. El enfoque de los creadores de Duqu suele darse en proyectos legítimos de programación, pero casi nunca en los de programas maliciosos. Existen más evidencias de que Duqu (y Stuxnet) es un desarrollo único que sobresale entre otros programas maliciosos.

Después de invertir tanto dinero en proyectos como Duqu y Stuxnet, no resulta sencillo tirarlo todo por la borda. En marzo detectamos un nuevo controlador circulando en Internet que era prácticamente idéntico a los que se usaron en los principios de Duqu. Los anteriores controladores se crearon el 3 de noviembre de 2010 y el 17 de octubre de 2011, mientras que el nuevo es del 23 de febrero de 2012. Al parecer, los creadores de Duqu retomaron sus actividades después de cuatro meses de descanso.

El nuevo controlador de Duqu tiene las mismas funcionalidades que las anteriores versiones conocidas. Aunque los cambios en el código son insignificantes, demuestran que los creadores han hecho su trabajo de “corregir errores” para evitar su detección. Aún no hemos detectado el módulo principal de Duqu asociado con este controlador.

Para conocer en más detalle las estadísticas de Kaspersky Lab sobre las víctimas de Duqu, activa el siguiente enlace. Este blog también presenta las modificaciones del troyano que hemos logrado detectar: El Misterio de Duqu: Parte Diez

Lucha contra la ciberdelincuencia

Clausura de la segunda red zombi Hlux/Kelihos

Kaspersky Lab , en colaboración con CrowdStrike Intelligence Team, Dell SecureWorks y Honeynet Project, ha logrado desmantelar la segunda red zombi Hlux/Kelihos. (La nueva historia de la exitosa clausura de una red zombi – Desmantelamiento de la nueva red zombi Hlux/Kelihos).

Los investigadores bautizaron esta red zombi con el nombre de Kelihos.B para indicar que se creó con la segunda variante modificada de la red original.

El 21 de marzo, comenzamos a introducir en la red zombi un router dedicado de drenaje. Nuestro objetivo era que los ordenadores infectados se comunicaran sólo con este router. Durante una semana, más de 116.000 de ellos lo hicieron, lo que nos permitió controlar los bots de los dueños de la red zombi.

Cuando se está implementando una operación para controlar una red zombi, sus dueños suelen fortificar sus posiciones publicando una nueva versión del bot y lanzando una campaña de reclutamiento de nuevos ordenadores para su red. Este era el escenario que se presentaba en septiembre, cuando se desmanteló la primera red zombi Hlux/Kelihos. Se repitió en marzo.

La nueva (tercera) versión del bot, llamada Kelihos.C, llamó nuestra atención varios días después del inicio de la operación de drenaje. Al parecer, los dueños de la red temían su clausura en cualquier momento y siguieron adelante con su plan B. Notamos que en Kelihos.C se modificaron las llaves RSA, tal como sucedió con Kelihos.B. Las llaves RSA se usaron para codificar algunas estructuras en los mensajes (La botnet Kelihos/Hlux vuelve con nuevas técnicas).

Puesto que los dueños de la red zombi publicaron con prontitud otra actualización del bot, algunos investigadores siguen escépticos sobre la efectividad del método de drenaje para neutralizar las redes zombi. Por nuestra parte, creemos que este método resulta efectivo para complicar la vida de los rufianes al forzarlos a desviar su atención de la distribución de un nuevo bot y de la infección de nuevos ordenadores. Mientras las nuevas versiones del bot no implementen cambios significativos en su arquitectura y en su protocolo de comunicación, seguiremos con este juego del gato y el ratón. Sin embargo, sólo podremos cantar victoria absoluta contra la red zombi cuando se logre arrestar a sus dueños.

Ataque contra Zeus y sus hosts

A mediados de marzo, Microsoft unió fuerzas con la asociación de pagos online NACHA y FS-ISAC, una ONG que representa los intereses de los miembros de la industria de servicios financieros de los EE.UU., para lanzar otro ataque contra los dueños de la red zombi. El ataqué se llamó “operación b71”. Con el permiso judicial, se capturaron varios servidores y centros de control de las redes zombi más activas y numerosas basadas en Zeus.

Microsoft también intentó desenmascarar a los implicados en el desarrollo y distribución de ZeuS y otros troyanos similares, como SpyEye y Ice-IX (este último basado en los códigos fuente de ZeuS que se filtraron).

Microsoft inició acciones legales contra 39 personas anónimas implicadas en la creación del código malicioso y las redes que se basan en él. Esperamos que esta iniciativa de Microsoft reciba el respaldo legal de las autoridades de EE.UU. y, con el apoyo de la comunidad internacional, se logre encarcelar a más ciderdelincuentes.

De hecho, estas son sólo algunas medidas que pueden ayudar a neutralizar los troyanos bancarios, ya que según estimaciones de Microsoft, el daño total ocasionado por ZeuS, SpyEye y Ice-IX ya llega a quinientos millones de dólares.

Arrestan a los responsables de Carberp

Las autoridades rusas, junto al grupo analítico Group-IB, concluyeron su investigación sobre las actividades delictivas de un grupo que robaba dinero mediante un notable troyano bancario, llamado Carberp. Según información brindada por Departamento K de Rusia, una unidad especializada en la lucha contra la delincuencia de alta tecnología, el grupo estaba compuesto de ocho personas. Clientes de decenas de bancos rusos cayeron víctimas de estos ciberdelincuentes que lograron robar unos 60 millones de rublos (unos dos millones de dólares). Afortunadamente, la investigación resultó en el arresto de esta banda delictiva.

En Rusia es muy raro el arresto de ciberdelincuentes, por lo que la noticia fue muy bien recibida. Sin embargo, la investigación se centró en un solo grupo que usaba un código “listo para usar” Carberp y recurría a los servicios de redes asociadas para su distribución. El comunicado afirma que entre los arrestados se encontraban los dueños de la red y las mulas de dinero que retiraban los fondos robados de cajeros automáticos. Sin embargo, el creador del troyano y sus redes asociadas siguen en libertad. El troyano Carberp Trojan sigue vendiéndose en foros especializados (Carberp sigue vivo), lo que significa que se sigue usando y que lo usarán otros grupos. En particular, y hasta la fecha, hemos estado siguiendo las actividades de varias redes zombi Carberp. Lo que aún no está claro es si pertenecen a un solo grupo o a varios.

Ataques a usuarios individuales

Un bot “sin archivo”

A principios de marzo, los expertos de Kaspersky Lab detectaron un singular ataque que usaba un programa malicioso capaz de operar sin crear archivos en los sistemas infectados.

Este código malicioso se propagaba por medio de una red ‘teaser’ que incluía algunos recursos noticiosos populares en Rusia. Un script JavaScript para uno de los teasers descargados en el sitio incluía un iframe que desviaba al usuario hacia un sitio malicioso en el dominio .EU y que contenía un exploit Java.

A diferencia de los conocidos ataques drive-by, al paso, este programa malicioso no se descargaba en el disco duro, sino que operaba exclusivamente en la memoria RAM. Al operar como un bot, el programa malicioso enviaba peticiones que incluían datos sobre historial de navegación tomados de los registros del navegador del usuario y los enviaba al servidor de los ciberdelincuentes. Si los datos enviados al servidor malicioso incluían información que indicaba que el usuario había accedido a sistemas de banca remota, entonces el troyano Lurk se instalaba en el ordenador infectado. Este troyano roba los datos confidenciales del usuario para acceder a los servicios de banca online de varios bancos rusos importantes.

Este ataque estaba dirigido contra los usuarios rusos. Sin embargo, no podemos descartar que el mismo exploit y el mismo bot “sin archivo” vuelvan a usarse contra usuarios en otras partes del mundo: pueden propagarse a través de redes similares de banners o teasers en otros países.

Esta es la primera vez en años que nos encontramos con este inusual tipo de programa malicioso “sin archivo”. Estos programas no existen como archivos en el disco duro, sino que operan sólo en la memoria RAM del ordenador infectado, lo que dificulta en gran medida su detección por parte de las soluciones antivirus.

Aunque los programas maliciosos “sin archivo” sólo funcionan hasta que el sistema operativo se reinicie, la posibilidad de que el usuario vuelva a visitar el sitio infectado suele ser grande.

Los expertos de Kaspersky Lab suelen enfatizar que el parche oportuno es el método más confiable para protegerse contra los programas maliciosos que explotan vulnerabilidades. En este caso, recomendamos la instalación de un parche provisto por Oracle que cierra la vulnerabilidad CVE-2011-3544 en Java. Este parche se puede descargar desde: .

Otro robo de certificados

Nos hemos encontrado con más y más programas maliciosos firmados. A mediados de marzo, volvimos a detectar programas maliciosos con firmas digitales válidas (troyanos Mediyes) así como numerosos archivos tipo dropper que estaban firmados en varias fechas entre diciembre de 2011 y el 7 de marzo de 2012. En todos los casos se usó un certificado entregado por la compañía suiza Conpavi AG. Esta compañía es conocida por su trabajo con agencias gubernamentales suizas, como las municipales y cantonales.

Los ciberdelincuentes pueden infectar los ordenadores de la compañía y robar un certificado que luego usarán para firmar programas maliciosos. (Hay algunos notorios programas maliciosos ZeuS que realizan esta función: buscan los certificados en el ordenador infectado y, si los encuentran los envían al ciberdelincuente). El hecho de que las autoridades municipales hayan podido estar involucradas en este accidente es una noticia de por sí muy mala, pues quién sabe a qué datos confidenciales de las oficinas municipales tuvieron acceso los piratas cibernéticos.

Mediyes guarda su propio controlador en el directorio de unidades del sistema, para luego inyectar un DLL malicioso a un navegador de Internet. Si el usuario hace una petición en los motores de búsqueda Google, Yahoo o Bing, el troyano duplica todas las peticiones en el servidor del ciberbandido. El servidor responde con enlaces desde el sistema Search123 que funciona bajo el sistema pago-por-click (PPC). Los enlaces se activan sin que el usuario lo sepa; los ciberdelincuentes lucran con los falsos clicks.

Extensión maliciosa para Chrome

A principios de marzo, los expertos de Kaspersky Lab detectaron una extensión maliciosa para Google Chrome que apuntaba a los usuarios de Facebook en Brasil. Sin embargo, nada evitaría que los ciberdelincuentes lanzaran ataques similares contra usuarios en otros países.

Las extensiones maliciosas se propagaron en Facebook a través de los enlaces que parecían de aplicaciones legítimas. Estos ataques se valieron de varios temas, como “Cambia el color de tu perfil”, “Descubre quién visitó tu perfil”, y “Aprende a eliminar los virus de tu perfil de Facebook”. Si el usuario aceptaba instalar una aplicación, se lo dirigía a la tienda online oficial de Google Chrome, donde la extensión maliciosa para Chrome aparecía como “Adobe Flash Player”.

El usuario corriente no llega a entender todos los detalles que rodean la publicación de aplicaciones en la tienda online de Google Chrome. El usuario sólo ve el sitio online oficial de Google y confía que está libre de riesgos. Sin embargo, cualquier persona puede usar esta tienda online para su extensión de Chrome; sólo se necesita una cuenta de Google y la tienda online de Google Chrome ofrece una sección especial para las extensiones “caseras”.

Después de instalar la extensión maliciosa en el ordenador, los ciberpiratas lograban acceder a la cuenta de Facebook de la víctima. En el incidente descrito, la extensión descargaba un script malicioso desde el centro de comando del ciberdelincuente. Cuando la víctima entraba a su página de Facebook, el script se incrustaba en el código HTML de la página.

El objetivo del script era atraer más “Me gusta” para páginas de Facebook que el ciberbandido elige. También enviaba un mensaje en nombre de la víctima, incitando a sus amigos a descargar la misma extensión maliciosa.

Google eliminó el programa malicioso tan pronto como se les informó al respecto. Sin embargo, los ciberdelincuentes ya han creado extensiones similares y las han colocado en el mismo lugar: la tienda online de Google Chrome.

El exploit MS12-020 RDP

En marzo, Microsoft publicó un parche para reparar una vulnerabilidad crítica en Microsoft Terminal Services (también conocido como Remote Desktop). Esta vulnerabilidad tan problemática es del tipo use-after-free (Referencia no valida a un puntero) y se encontraba en el código que ejecuta en el anillo 0, es decir, el código que se ejecuta con las autorizaciones del sistema local.

Luigi Auriemma descubrió esta vulnerabilidad y fue quien creó un paquete de red que causaba el colapso de Remote Desktop (DoS). Este investigador informó en detalle a Microsoft. No se sabe qué pasó con esta información, pero sabemos que se filtró en Internet y llegó, como un regalo, a los potenciales atacantes sobre cómo explotar esta vulnerabilidad de Remote Desktop, en lugar de la descripción general que suele hacer Microsoft.

Inmediatamente apareció mucha gente interesada en encontrar exploits apropiados: algunos querían un exploit que lanzara ataques, mientras que otros querían verificar la existencia de un exploit y alertar sobre los peligros. Mientras tanto, algunos investigadores de seguridad informática empezaron a prepararse para una epidemia de gusanos de red capaces de explotar esta vulnerabilidad.

Y no pasó mucho tiempo antes de que aparecieran los primeros exploits, con versiones de códigos maliciosos que ofrecían acceso remoto no autorizado a PCs con Windows a través de Remote Desktop.

Sin embargo, una versión tenía todas las características de una broma:

El autor de este particular exploit firmaba como el conocido hacker de LulzSec, Sabu (sus camaradas lo acusan de pasar información sobre otros miembros del grupo al FBI, lo que condujo a su posterior arresto).

El código está escrito en Python y usa un módulo freerdp, como puede verse en el texto que aparece en la imagen de arriba. Sin embargo, no se conoce ningún módulo freerdp para Python. Existe una implementación gratuita de código abierto para Remote Desktop Protocol, conocida como FreeRDP (http://www.freerdp.com/), pero sus propios desarrolladores no saben nada sobre ningún soporte para freerdp en la plataforma Python.

Esto resultó ser un fraude, y no fue el único.

Comenzaron a aparecer una gran cantidad de exploits, pero ninguna versión fue capaz de ejecutar el código de forma remota. Incluso apareció un sitio web dedicado, con el elocuente nombre istherdpexploitoutyet.com.

Aún no hemos encontrado ningún exploit que pueda ejecutar en modo remoto el código a través de Remote Desktop. La mayoría fracasa en su cometido o resulta en el temido BSOD.

Sin embargo, recomendamos a todos los usuarios de Microsoft Windows que verifiquen sus PCs para ver si se están ejecutando Remote Desktop. Si así fuera, deben instalar de inmediato el parche de Microsoft. También vale la pena considerar si de verdad necesitamos ese servicio en nuestro sistema.

Te mantendremos informado si aparece un exploit que pueda ejecutar el código de forma remota, pero mientras tanto, puedes verificar si tu servidor es vulnerable a potenciales ataques RDP en este sitio: http://rdpcheck.com.

Amenazas para Mac

En marzo pudimos evidenciar una actividad sin precedentes en cuanto a programas maliciosos para Mac OS.

El caso más prominente fue probablemente el de distribución de spam a direcciones de organizaciones tibetanas. Este spam contenía enlaces al exploit Exploit.Java.CVE-2011-3544.ms, detectado por Alien Vault Labs. Este exploit está diseñado para instalar programas maliciosos en los ordenadores de los usuarios, según el tipo de sistema operativo con que cuente el ordenador de la víctima. En este caso en particular, se instaló Backdoor.OSX.Lasyr.a en los ordenadores de los usuarios de Mac OS, y Trojan.Win32.Inject.djgs en los de usuarios de Windows (el troyano estaba firmado por un certificado vencido otorgado por la compañía china “WoSign Code Signing Authority”). Curiosamente, los ciberdelincuentes usaron los mismos servidores para manejar ambos programas maliciosos durante los ataques.

Este ataque no fue un ejemplo aislado de que China usa programas maliciosos para atacar organizaciones tibetanas. Apenas una semana después, Kaspersky Lab detectó un archivo DOC como Exploit.MSWord.CVE-2009-0563.a en una distribución similar de spam. Este exploit infectaba los ordenadores de los usuarios de Mac OS con el programa malicioso Backdoor.OSX.MaControl.a. Curiosamente, este programa malicioso recibía comandos para ordenadores infectados desde el servidor freetibet2012.xicp.net localizado en China.

También en marzo se detectó una nueva modificación del programa malicioso Backdoor.OSX.Imuler, que describimos en nuestro informe de septiembre de 2011 (Informe sobre Spam: Septiembre de 2011). Los programas maliciosos que pertenecen a esta familia se propagan bajo la cobertura de archivos con extensiones seguras. Durante el ataque de marzo, los ciberdelincuentes distribuyeron spam con imágenes eróticas con extensión .JPG y archivos maliciosos ejecutables camuflados como imágenes.

Pero había otra “novedad” que aguardaba en marzo: los programas maliciosos de la familia Trojan-Downloader.OSX.Flashfake que ahora usan Twitter como servidores de administración. Para distribuir estos programas maliciosos, los ciberpiratas usaron 200.000 blogs hackeados que funcionaban bajo WordPress.

Amenazas móviles

Troyano bancario para Android

Hace unos 18 meses se descubrió una versión móvil del infame troyano ZeuS. Se la nombró ZitMo (ZeuS-in-the-Mobile). Este troyano estaba diseñado para robar números de autentificación para transacciones desde móviles (mTAN) que los bancos envían a los móviles de sus clientes a través de SMS. Aunque este tipo de amenaza móvil tuvo algún desarrollo, no fue sino hasta marzo de 2012 que se detectó un programa malicioso móvil que podía robar credenciales (nombre de usuario y contraseña) para la autentificación de transacciones bancarias.

A mediados de marzo, se identificó un programa malicioso que apuntaba no sólo a los mensajes SMS con mTANs, sino también a las credenciales de banca online. Kaspersky Lab detectó el programa como Trojan-SMS.AndroidOS.Stealer.a.

Al ejecutarse, esta aplicación maliciosa muestra una ventana que se presenta como un diálogo para la generación de tokens. Para que esta “generación” sea posible, se le pide al usuario que entre la llave requerida para la autorización inicial en el sistema de banca online. A continuación, el programa malicioso genera un falso token (un número aleatorio) y la información que ingresa el usuario se envía al móvil y al servidor remoto del ciberdelincuente con los números IMEI e IMSI. Además, este programa malicioso puede recibir una cantidad de comandos desde el servidor remoto (generalmente relacionados con el robo de mTANs).

La aparición de este tipo de programa malicioso no fue una sorpresa, pero hubo algunos detalles que llamaron nuestra atención. Todas las muestras conocidas del programa malicioso apuntan a los clientes de bancos españoles. Sin embargo, uno de los servidores remotos al que el programa malicioso trata de conectarse estaba en la zona .ru (este dominio está ahora desactivado). Además, resulta que el número móvil al que se le envía la información es ruso y pertenece a un operador de la región. Esto indica la posibilidad de que autores rusos de programas maliciosos estuvieran implicados en la creación de este programa en particular.

Ataques contra corporaciones/gobiernos/organizaciones

Espionaje espacial

En marzo se detectaron varios ataques maliciosos contra agencias de investigación espacial.

Sobre todo hubo un informe sobre incidentes de la NASA (http://science.house.gov/hearing/subcommittee-investigations-and-oversight-hearing-nasa-cybersecurity-examination-agency’s) que resultó muy interesante. Fue el inspector general de esta agencia quien lo presentó ante la Comisión sobre ciencia, espacio y tecnología del Congreso de los EE.UU.

Una auditoría de la NASA reveló un incidente ocurrido en noviembre de 2011, cuando unos atacantes (con direcciones IP chinas) lograron el acceso completo a la red del Laboratorio de propulsión jet (JPL, por sus ingás en inglés). Además, durante 2011, se detectaron 47 ataques dirigidos contra la NASA, 13 de los cuales tuvieron éxito. Entre 2010 y 2011, se supo de más de 5.400 incidentes de diversa gravedad relacionados con acceso no autorizado a las redes de la agencia, o con programas maliciosos.

Además de estos ataques de hackers, la NASA sufre una constante pérdida de ordenadores portátiles con información confidencial. Desde 2009, se han perdido unos 50, incluyendo un incidente en marzo, cuando desapareció una portátil con información sobre algoritmos de gestión de la Estación espacial internacional.

La Agencia japonesa de exploración aeroespacial (JAXA) también publicó los resultados de una investigación sobre un incidente que ocurrió en el verano de 2011, que no fue detectado sino hasta enero de 2012.

En julio de 2011, un empleado de la JAXA recibió un mensaje de correo con un archivo malicioso. La solución antivirus de su ordenador no estaba actualizada, lo que posibilitó que el programa maliciosos infectara el sistema. Los atacantes pudieron acceder a toda la información almacenada en el ordenador y pudieron potencialmente monitorear de forma remota la información que aparecía en la pantalla. Por fortuna, según informa la agencia, el ordenador no contenía ninguna información confidencial. Aunque este ordenador tenía acceso al monitoreo del trabajo en el camión espacial (H-II Transfer Vehicle (HTV)), los atacantes no pudieron acceder al mismo.

Un análisis posterior no reveló ningún uso de la información autorizada robada para acceder a otros sistemas de JAXA y NASA. La fuga de unos 1.000 correos de la agencia puede considerarse como una pérdida sin importancia.

Marzo en cifras

Durante este mes, los ordenadores que tienen instalados productos de Kaspersky Lab detectaron:

• y neutralizaron más de 370 millones de programas maliciosos;
• 200 millones (55% de todas las amenazas) de intentos de infección originados en la web;
• más de 42 millones de URLs maliciosas.

Amenazas en Internet en marzo de 2012

Estas estadísticas representan veredictos detectados de los módulos antivirus y fueron proporcionados por los usuarios de los productos de Kaspersky Lab que aceptaron compartir sus datos locales.

Nuestros cálculos excluyen aquellos países en los que la cantidad de usuarios de productos de Kaspersky Lab es relativamente reducida (menos de 10.000).

Mapa de riesgo de infección al navegar en Internet

Los 10 países en los que los usuarios se enfrentan al mayor riesgo de infección a través de Internet

Los 10 países en los que los usuarios se enfrentan al menor riesgo de infección a través de Internet

Top 10 de zonas de dominios peligrosos

Fuente de ataques web por zona de dominio*
*cantidad de ataques desde recursos web según el dominio detectado por el módulo antivirus web.

Top 10 de países en los que los recursos web se infectaron con programas maliciosos

(Distribución mundial de sitios infectados y hosts maliciosos)

Fuentes de ataques web por país*
*Para poder determinar la fuente geográfica de un ataque, se compara el nombre del dominio con la dirección IP donde se sitúa el dominio en cuestión, y se determina la localización geográfica de la dirección IP (GEOIP).

Top 10 de amenazas en Internet

Exploits detectados por el módulo antivirus web en los ordenadores de los usuarios por aplicación atacada*
*Porcentaje de todos los ataques de exploits bloqueados provenientes de la web