Informes sobre malware

Resumen de las actividades de los virus informáticos, noviembre de 2011

Noviembre en cifras

Este mes, en los equipos de los usuarios de Kaspersky Lab:

  • se neutralizaron 242.663.383 ataques de red,
  • se bloquearon 89.001.505 intentos de infección mediante la web;
  • se detectaron y neutralizaron 238.045.358 programas maliciosos (intentos de infección local),
  • los veredictos heurísticos se activaron 98.047.245 veces.

Noviembre ha sido un mes de relativa calma en lo que a amenazas tradicionales se refiere. Los autores de los programas maliciosos han seguido desarrollando las tecnologías ya existentes y no se han descubierto inventos importantes de los escritores de virus.

El tema del mes. DUQU, estado actual de las investigaciones

El programa troyano Duqu, descubierto en septiembre y revelado al público en octubre, en noviembre ha seguido en la mira de los expertos y los medios de comunicación masiva. La principal razón ha sido el descubrimiento de la forma en que el programa malicioso penetra en los sistemas atacados. El ataque se realizaba mediante correo electrónico con la ayuda de un documento MS Word que contenía un exploit para una vulnerabilidad conocida del sistema operativo Windows. Un error en el componente win32k.sys permitía ejecutar un código malicioso desde un fichero con privilegios de sistema.

Este descubrimiento permite destacar la semejanza entre Duqu y Stuxnet, porque en éste también se usaban vulnerabilidades ya conocidas. Ya en octubre habíamos escrito que la detección del dropper Duqu es la clave más importante para averiguar el secreto de la procedencia del troyano y que este dropper puede contener exploits para vulnerabilidades semejantes.

Los expertos de Kaspersky Lab lograron encontrar un mensaje original con el dropper y el exploit que había sido enviado a una víctima en Sudán. Publicamos un análisis detallado en el weblog. Kaspersky Lab de inmediato agregó el identikit de este exploit a sus productos.

Es necesario mencionar que para principios de diciembre la compañía Microsoft todavía no había publicado un parche para cerrar esta vulnerabilidad, por lo que el riesgo de ataques que lo usan todavía es bastante alto.

Además de la investigación de la vulnerabilidad, hemos realizado varias operaciones vinculadas con la captura de varios servidores de administración de Duqu ubicados en varios países. Por desgracia los autores de Duqu han reaccionado con rapidez a la noticia de la revelación de sus actividades y el 20 de octubre llevaron a cabo un “borrado de huellas” total en todos los servidores. De todos modos, logramos extraer algunos datos y seguimos nuestras investigaciones.

Toda la información con la que contamos acredita que Duqu fue creado para recopilar y robar datos relacionados con las actividades de una serie de compañías e instituciones del Irán. Una serie de indicios señala que Duqu podría haber existido en 2007-2008 en forma de versiones tempranas, y también que el gusano Stuxnet se creó usando cierta plataforma que también se usó al crear Duqu. Con todo, la creación de Duqu y Stuxnet se podrían haber realizado de forma paralela y al mismo tiempo.

Actividades “out of the box”

Nuevos programas y tecnologías de los delincuentes

Últimamente está creciendo la cantidad programas maliciosos que usan métodos de esteganografía.

En septiembre se registró el uso de ficheros gráficos que contienen instrucciones ocultas usadas para administrar la botnet SST. Recordamos que el bot de SST es una modificación del famosísimo bot TDSS/TDL

En noviembre encontramos una técnica similar en la familia de programas troyanos destinada a los usuarios de bancos brasileños. Este es el primer caso en que los troyanos latinoamericanos usan esteganografía en imágenes.

Los ficheros que contienen códigos maliciosos cifrados e información adicional tenían la extensión jpeg, pero su estructura era la de un fichero bmp. Al crearlos, los delincuentes aplicaron el método de cifrado por bloques.

Al usar esta técnica, los escritores de virus resuelven varias tareas al mismo tiempo. En primer lugar, puede hacer que falle el sistema de análisis antivirus automático: el fichero puede ser descargado, analizado por el antivirus y declarado “limpio” y con el tiempo el enlace puede dejar de ser analizado. En segundo, los administradores de los sitios que hospedan estos ficheros maliciosos cifrados no pueden reconocerlos como maliciosos y, por lo tanto, no se encargan de ellos. En tercer lugar, algunos expertos en virus pueden carecer de tiempo o de experiencia para vérselas con estos ficheros. Todo esto, sin lugar a dudas, favorece a los delincuentes informáticos.

Amenazas móviles: los troyanos SMS se expanden por todo el mundo

A mediados de julio escribimos sobre los remitentes de SMS pornográficos que usaban mensajes SMS caros para dar de alta a los usuarios en diferentes servicios. Estas aplicaciones estaban dirigidas a los usuarios en EE.UU., Malasia, Países Bajos, Inglaterra, Kenia y Sudáfrica.

En noviembre descubrimos troyanos SMS dirigidos a los usuarios de varios países europeos y Canadá. Los programas maliciosos envían cuatro mensajes SMS a un número corto premium desde el dispositivo infectado. Nuestra compañía detecta esta familia como Trojan-SMS.AndroidOS.Foncy.

Según los mensajes que hemos encontrado en los foros, las primeras infecciones tuvieron lugar a principios de septiembre. Alguien subió una aplicación supuestamente destinada a monitorizar los propios mensajes SMS/MMS, llamadas y tráfico. Después de lanzar el programa, mostraba un mensaje que decía que no era compatible con la versión del SO Android del usuario. Después, se vaciaba el balance de la cuenta del usuario.

Recordamos que antes de la aparición de la familia Trojan-SMS.AndroidOS.Foncy los troyanos SMS atacaban sobre todo a los usuarios de Rusia y China. Hoy en día los troyanos SMS son uno de los medios de lucro más simples para los delincuentes informáticos. Por desgracia, el uso malicioso de números cortos y SMS caros ha empezado a propagarse por el mundo y estamos seguros de que es poco probable que este proceso se detenga en el futuro cercano.

Amenazas para Mac OS

En la actualidad los usuarios del SO Windows ya no se sorprenden cuando ven troyanos y gusanos en los sitios que difunden versiones piratas de programas populares. De todos modos, para los usuarios de Mac OS este azote todavía es una novedad. Así, a finales de octubre, en los trackers torrent que difunden versiones piratas de programas para Mac, se descubrió un nuevo programa malicioso que recibió el nombre de Backdoor.OSX.Miner. Este programa malicioso tiene varias funciones maliciosas:

  1. Abre el acceso remoto al ordenador infectado
  2. Recopila información sobre la historia de visita de sitios del navegador Safari
  3. Hace capturas de pantalla
  4. Roba el fichero wallet.dat del cliente BitCoin
  5. Lanza de forma no sancionada el miner de BitCoin

Este programa malicioso se propaga al mismo tiempo mediante varios trackers torrent, como publicbt.com, openbittorrent.com y thepiratebay.org.

Ejemplo de tracker torrent que propaga Backdoor.OSX.Miner

Según nuestras apreciaciones, a finales de noviembre el programa malicioso Backdoor.OSX.Miner infectó decenas de sistemas Mac.

Ataques contra las redes de corporaciones y grandes organizaciones

Steam se ve involucrado

La historia de los ataques y la incursión en los servicios de Sony Playstation Network a principios de año recobró actualidad después que en noviembre se descubriese un incidente que afectó a otra compañía de juegos, el servicio Steam de la compañía Valve. Unos desconocidos lograron hackear el foro del servicio y enviar varios mensajes con enlaces a videos con instrucciones para hackear videojuegos. La compañía Valve apagó los servidores para solucionar el problema y durante la investigación se estableció que se había afectado la principal base de datos de Steam.

La base de datos afectada contenía información como: nombres de los usuarios, contraseñas (hashed y salted), datos sobre la compra de juegos, direcciones de correo electrónico de los usuarios, direcciones para enviar cuentas y datos cifrados de tarjetas de crédito.

El incidente obligó a los directores de Valve a escribir una carta a todos los usuarios del servicio para informarles del problema detectado. En el mensaje se comunicaba que la compañía no había encontrado indicios de que los hackers hayan robado los números cifrados de tarjetas de crédito o datos de los usuarios, pero que la “investigación continuaba”. Tampoco hay datos de que los delincuentes estén usado las tarjetas de crédito de los usuarios del servicio Steam, pero la dirección de Valve hizo un llamamiento para que revisen las transacciones de sus cuentas y lean con atención los extractos de las tarjetas.

Continúan los problemas con los certificados

Este año ha sido rico en incidentes con los centros de certificación. Primero la historia de Comodo, después la del centro de certificación holandés DigiNotar. Además, se descubrieron varios certificados robados, que se usaron en programas maliciosos, entre ellos el troyano Duqu. El problema de la pérdida de la “confianza digital” ha cobrado vigencia últimamente y todavía no se han encontrado medios seguros de resolverlo.

En noviembre otro centro holandés de certificación, la compañía KPN anunció que había sufrido ataques de hackers y suspendió la expedición de certificados.

La causa fue una brecha detectada en el servidor web de KPN encargado de la infraestructura de llaves abiertas (PKI). El ataque tuvo lugar por lo menos hace 4 años.

La compañía KPN, más conocida por sus negocios de telecomunicaciones, compró la compañía Getronics hace cuatro años . La ex Getronics, de la misma manera que DigiNotar, tiene derecho a expedir certificados. Y como DigiNotar, KPN tiene derecho a expedir certificados “especiales” para los servicios gubernamentales y servicios públicos de Holanda. KPN es un centro de certificación de mayor envergadura que DigiNotar. Después del desprestigio de los servidores de DigiNotar, muchas organizaciones holandesas empezaron a usar los servicios de KPN.

Por el momento no está claro si se puede excluir el hackeo de los servidores de certificación. Además, urge recibir respuesta a la pregunta: ¿por qué el utilitario que realizó ataques DDoS tardó cuatro años en descubrirse?

Tiene particular interés el hecho de que la declaración de KPN se puede entender como confirmación de que los certificados ya expedidos siguen siendo válidos (a pesar de todo).

Un incidente aún más serio ocurrió con el centro de certificación de Malasia Digicert (CA Digicert Malaysia), que fue eliminado de la lista de centros de certificación de confianza por todos los fabricantes de navegadores y por la compañía Microsoft. Se tuvo que tomar estos medios porque se estableció que el centro había expedido 22 certificados con llaves de 512 bits “débiles” y certificados sin extensiones indispensables, que determinan las limitaciones de su uso y sin información sobre el periodo de validez.

El representante de Microsoft Jerry Bryant declaró que no hay ningún indicio de que alguno de estos certificados se haya obtenido de forma fraudulenta, pero la debilidad de las llaves débiles ha permitido que se apoderen de algunos de ellos.

Es notable que en noviembre también se descubrieron varios programas maliciosos firmados con un certificado expedido por el Instituto de Investigación y Desarrollo de la Agricultura en Malasia, que es una institución gubernamental. Según las declaraciones de los representantes del instituto, les habían robado el certificado. Queda abierta la pregunta: ¿si se sabía del robo, por qué no se revocó a tiempo el certificado?

Porcentajes de noviembre

TOP10 de programas maliciosos en Internet

1 Malicious URL 81,41% 0
2 Trojan.Script.Iframer 4,57% 0
3 Trojan.Script.Generic 1,67% 1
4 Trojan.Win32.Generic 0,74% -1
5 Trojan-Downloader.Script.Generic 0,61% 2
6 Trojan.JS.Popupper.aw 0,37% 3
7 Exploit.Script.Generic 0,36% -2
8 Trojan.JS.Agent.bwi 0,24% Nuevo
9 Exploit.Java.CVE-2010-4452.a 0,21% Nuevo
10 AdWare.Win32.Screensaver.i 0,16% Nuevo

TOP10 de países en los cuales se almacenan programas maliciosos

1 EE.UU. 26,72% 0
2 Alemania 14,52% 1
3 Rusia 12,58% -1
4 Holanda 11,67% 0
5 Ucrania 6,69% 0
6 Islas Vírgenes, Inglaterra 3,99% 1
7 China 3,64% 1
8 Rumania 2,11% 2
9 Inglaterra 1,45% -3
10 Canadá 1,11% Nuevo

TOP10 de hostings maliciosos

1 adv-downloader.in 11.83%
2 72.51.44.90 10.69%
3 rm-download.in 7.22%
4 69.170.135.91 6.71%
5 livestaticforus.info 6.37%
6 rx-downloader.in 6.04%
7 youtubedownload.altervista.org 3.91%
8 origin-ics.clickpotato.tv 3.87%
9 tizerplatform.com 3.60%
10 advancedadv.net 3.46%

TOP10 de dominios maliciosos

1 com 35509894
2 ru 14482880
3 info 5891872
4 co.in 5221964
5 in 4197274
6 net 3493864
7 org 1971202
8 me 1953502
9 tv 536867
10 pl 384305

10 países donde los usuarios están bajo mayor riesgo de infectarse mediante Internet

1 Rusia 44,88% 0
2 Armenia 39,21% 0
3 Corea 38,03% 6
4 Kazajtán 36,86% 4
5 Belorusia 35,39% -2
6 Ucrania 33,43% 0
7 Azerbayán 33,14% 3
8 Sudán 28,76% -1
9 Uzbekistán 28,63% Nuevo
10 Moldavia 28,13% Nuevo

Resumen de las actividades de los virus informáticos, noviembre de 2011

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada