Informes sobre malware

Resumen de las actividades de los virus informáticos, octubre de 2011

Octubre en cifras

Este mes, en los equipos de los usuarios de Kaspersky Lab:

  • se neutralizaron 161.003.697 ataques de red,
  • se bloquearon 72.207.273 intentos de infección mediante la web;
  • se detectaron y neutralizaron 205.822.404 programas maliciosos (intentos de infección local),
  • los veredictos heurísticos se activaron 80.900.079 veces.

Nuevos programas y tecnologías de los delincuentes

Duqu, una nueva reencarnación de Stuxnet

Sin lugar a duda, en octubre el suceso más importante para la industria antivirus ha sido la noticia del descubrimiento del programa troyano Duqu. El análisis llevado a cabo por los expertos del laboratorio Crysys puso al descubierto varias similitudes del código del troyano con el del gusano Stuxnet, que es el primer ejemplar conocido de “armamento cibernético”. La similitud entre ambos programas maliciosos es tan clara que puede ser un indicio de que, o bien detrás de ambos está el mismo grupo de personas, o de que los creadores de Duqu usaron el código fuente de Stuxnet (el cual, a pesar de los rumores, nunca estuvo disponible al público).

A diferencia de Stuxnet, que contenía un código que modificaba los parámetros de funcionamiento de motores de alta velocidad y que, según se supone, fue creado para dejar fuera de servicio las centrífugas en la factoría iraní de enriquecimiento de uranio, Duqu no tiene funcionalidades que afecten a los sistemas industriales. Los ficheros de Duqu, descubiertos en Hungría durante la investigación del primer incidente, contenían (aparte del módulo principal, responsable del funcionamiento del troyano y de su comunicación en el servidor de administración) un módulo adicional: un troyano-espía. Este módulo tiene la capacidad de interceptar los datos ingresados mediante el teclado, hacer capturas de pantalla, recopilar información sobre el sistema, etc. Más adelante, los datos robados podrían enviarse al servidor de administración del troyano, que en ese entonces estaba en India. La clara intención de hacer espionaje industrial, y no sabotaje (como en el caso de Stuxnet) hizo que surgiera una gran cantidad de preguntas sobre el verdadero objetivo de Duqu.

Durante la investigación, los expertos de Kaspersky Lab no sólo lograron descubrir nuevas víctimas de Duqu, sobre todo en Irán (algo que una vez más nos hace recordar la historia de Stuxnet y encontrar similitudes), sino también encontrar nuevos ficheros de Duqu que no se conocían antes. Esto confirma nuestra suposición de que los dueños de Duqu continúan su operación y los objetivos de sus ataques precisos (a diferencia de las infecciones masivas de Stuxnet) son blancos escogidos con gran esmero. Al mismo tiempo, para cada uno de los objetivos atacados se usa un conjunto específico de ficheros del troyano. Es probable que también se usen módulos adicionales, y no sólo del troyano-espía que hemos mencionado, sino también de módulos con cualquier otro tipo de funciones.

La investigación de Duqu continúa y en nuestro siguiente informe trataremos de hacer una cobertura más detallada de la situación.

Ataques contra usuarios individuales:

El Troyano Federal: los límites de lo permitido

En octubre se desató un gran escándalo en Alemania, provocado por el descubrimiento de un backdoor que la policía alemana utilizaba durante sus investigaciones para interceptar las conversaciones y mensajes en los equipos de los sospechosos. La investigación llevada a cabo por la comunidad de hackers alemanes Chaos Computer Club (CCC), en la que más tarde tomaron parte los expertos de Kaspersky Lab residentes en Alemania, mostró que el troyano no sólo intercepta los mensajes en Skype, sino en todos los navegadores populares, diferentes mensajeros instantáneos y programas de telefonía por Internet (VoIP): ICQ, MSN Messenger, Low-Rate Voip, paltalk, SimpPro, sipgate X-Lite, VoipBuster y Yahoo Messenger. Además, se estableció que el backdoor puede funcionar en las versiones Windows de 64 bits.

El escándalo ocurrió no sólo porque ya cinco territorios federales de Alemania reconocieron usar este troyano, sino también porque las leyes federales del país permiten a los órganos de seguridad interceptar sólo el tráfico Skype de los sospechosos. También logramos establecer que el Backdoor.Win32.R2D2 (también conocido como “0zapftis”) puede espiar un espectro mucho mayor de programas.

Resultó que el ejemplar del troyano que fue objeto de la investigación lo había instalado la policía en el ordenador portátil del sospechoso durante la revisión de seguridad en el aeropuerto de Múnich. Posteriormente, en los documentos del sitio WikiLeaks se revelaron materiales que testificaban que se había encargado a la compañía alemana Digitask crear este troyano y que había costado más de 2 millones de euros.

La historia de R2D2 ha hecho patente una vez más la existencia de los así denominados “troyanos estatales” e inspirado un debate sobre la legalidad de su uso. Merece la pena destacar que nuestra compañía, al igual que muchos otros vendedores de antivirus, tiene una posición severa y clara en este asunto: detectamos y detectaremos todos los programas maliciosos, sin importar quién los haya creado ni con qué objetivos.

Amenazas móviles.

El líder es Android

Estadística

En octubre ha tenido lugar un acontecimiento importante en el mundo de las amenazas móviles. Según nuestras estadísticas, el número total de malware para Android ha superado al de para J2ME (Symbian superó a Android a mediados del verano). Recordamos que durante los últimos dos años el malware para Java 2 Micro Edition (J2ME) era el dominante. Hemos escrito muchas veces sobre las causas de este fenómeno, así que ahora no nos detendremos a analizarlo. Sin embargo, el crecimiento tan rápido y significante de la cantidad de malware para Android es un indicio de que en el futuro próximo los escritores de virus se concentrarán en este sistema operativo.

Empecemos con las cifras. A finales de octubre hemos descubierto 1.916 variantes de programas maliciosos para Android, que pertenecen a 92 familias. En lo que concierne a la plataforma J2ME, se descubrieron 1.610 variantes en 60 familias. Si hablamos de la correlación entre las modificaciones descubiertas para todas las plataformas móviles, la situación es la siguiente:

La cantidad total de amenazas móviles descubiertas durante todo el tiempo de su existencia alcanzó, a finales de octubre, 4.053 modificaciones en 289 familias.

Antammi

Por desgracia, en Android Market aparecen programas maliciosos con gran frecuencia. En octubre, desde la tienda online de aplicaciones, y después de que Kaspersky Lab enviara una notificación, se borró un programa malicioso más, que nuestros productos detectan como Trojan-Spy.AndroidOS.Antammi.b.

El programa malicioso ataca al público de habla rusa. En Android Market se puede encontrar gran cantidad de ringtons para descargar. Antammi.b también contiene funciones de descarga de tonos para el teléfono (enviando SMS de pago), pero además roba prácticamente todos los datos personales de los usuarios: contactos, (como los que se copian a la tarjeta de memoria en el fichero /sdcard/bestringtones/contacts.txt, el archivo de SMS, las coordenadas GPS, etc. Después, el programa malicioso envía la información sobre su trabajo a un buzón en Gmail y los datos robados a un servidor.

Este programa malicioso apareció en la tienda oficial a principios de septiembre y durante su tiempo de vida, Antammi.b fue descargado por más de 5.000 usuarios.

Amenazas para MacOS: nuevas funcionalidades

A mediados de octubre se descubrió una nueva versión del troyano para Mac OS X Flashfake, Trojan-Downloader.OSX.Flashfake.d. La principal función del programa malicioso -descargar ficheros- sigue siendo la misma. Y también sigue disfrazándose de fichero de instalación de Adobe Flash Player. Pero se ha agregado una nueva funcionalidad para OSX.

Hace dos años la compañía Apple añadió al sistema Mac OS X un sistema de defensa contra programas maliciosos, denominado Xprotect. En esencia, se trata de un simple escáner de firmas, que desde el 31 de mayo de este año, después de la historia con MacDefender, comprueba cada día la presencia de actualizaciones de las bases de programas maliciosos. Trojan-Downloader.OSX.Flashfake.d puede dejar fuera de servicio Xprotect, al “romper” sus ficheros principales. Después de hacerlo, la defensa no puede recibir actualizaciones de la compañía Apple, con lo que la efectividad de Xprotect es nula. El que sea posible deshabilitar la defensa integrada se debe a que este mecanismo simplemente no lo habían previsto los programadores.

De esta manera, el fichero malicioso Trojan-Downloader.OSX.Flashfake.d, una vez activado en el ordenador, no sólo se protege de ser eliminado, sino que también hace que el sistema sea vulnerable para otros programas maliciosos que la protección integrada debería detectar. Esto hace que el troyano sea más peligroso que el resto de malware para OSX.


Crecimiento de la cantidad de malware para OSX en 2011 (estadística de las modificaciones)

La aparición de nuevos programas maliciosos para Mac OS X está relacionada en primer lugar con la creciente popularidad de los ordenadores Apple. Por desgracia, los usuarios de Mac OS X no le prestan mucha atención a la seguridad y son pocos los ordenadores que cuentan con un antivirus. Por su parte, los mecanismos integrados de protección ya son obsoletos. Por eso, los ordenadores Apple son una presa fácil para los creadores de virus.

Ataques contra las redes de corporaciones y grandes organizaciones

En octubre ha habido muchos casos de ataques contra corporaciones e instituciones gubernamentales.

Japón bajo el fuego de los hackers

En primer lugar, hay nuevos datos sobre el ataque contra la compañía japonesa Mitsubishi Heavy Industries llevado a cabo en agosto, y que hemos analizado en nuestro informe anterior.

Durante las investigaciones llevadas a cabo por la policía de Tokio, se estableció que en los 83 ordenadores atacados había cerca de 50 diferentes programas maliciosos. En uno de estos equipos se detectaron 28. También se estableció que los hackers habían hecho cerca de 300.000 solicitudes a los sistemas infectados. El examen de las fuentes de los ataques reveló un ordenador infectado más, perteneciente a la Sociedad de Compañías Aeroespaciales de Japón (SJAC). Precisamente desde él los hackers enviaban mensajes maliciosos a las compañías Mitsubishi Heavy y Kawasaki Heavy. Los atacantes controlaban el ordenador mediante un servidor proxy en EE.UU., que les ayudaba a borrar todas las huellas que pudieran mostrar su ubicación. No obstante, los expertos japoneses siguen considerando que los hackers son de origen chino.

Al principio se declaró que no se había logrado robar información confidencial. Pero después de casi un mes de iniciada la investigación del incidente, la prensa obtuvo información de que los hackers habían logrado robar datos sobre la creación de aviones caza y planos de centrales atómicas eléctricas.

Japón ingresó una vez más en nuestro informe mensual cuando se descubrió un ataque contra los miembros de la cámara baja del parlamento y varias misiones diplomáticas de este país en diferentes países. En el parlamento había 32 ordenadores infectados y los hackers pudieron obtener (y probablemente obtuvieron) acceso a los documentos internos y toda la correspondencia electrónica de los parlamentarios. También se descubrieron virus en los ordenadores de las embajadas de Japón en Francia, Holanda, Myanmar, EE.UU., Canadá, China y Corea del Sur. Los programas maliciosos se comunicaban con dos servidores ubicados en China, que los delincuentes ya habían usado antes durante los ataques contra Google.

EE.UU.:

nuevos detalles sobre viejos incidentes

En octubre en EE.UU., país que constantemente figura en las noticias sobre ataques cibernéticos, durante sesiones especiales del congreso se revelaron los detalles de una serie de ataques, entre ellos los relacionados con la irrupción en la compañía RSA, ocurrida en marzo. Se informó que otros cientos de compañías en todo el mundo podrían caer víctimas de incidentes parecidos y de ataques del mismo grupo de hackers. Recordamos que los expertos también consideran que se trata de una amenaza de origen chino.

Además, se revelaron datos sobre los ataques contra dos satélites norteamericanos en 2007-2008. Hackers desconocidos interfirieron varias veces el funcionamiento de los satélites científicos Landsat-7 y Terra AM-1. Pero oficialmente no se informa si los hackers lograron robar información o perturbar el funcionamiento de los satélites. Según las declaraciones del gobierno norteamericano, los satélites atacados no juegan un rol esencial en la seguridad nacional de los EE.UU., pero el sólo hecho de que los ataques hayan tenido éxito es alarmante. En principio, una vez obtenido el acceso al satélite, los hackers pueden dejarlo fuera de servicio, o comprometer los datos que transmite.

En total se registraron cuatro ataques, durante los cuales los delincuentes obtuvieron el control de los satélites durante varios minutos. Se supone que los ataques se hicieron posible después del hackeo de los sistemas informáticos de la estación satelital terrena ubicada en Noruega.

Con este escenario de fondo el descubrimiento de un virus en los sistemas de mando de los vehículos aéreos no tripulados en una de las bases americanas es más bien un caso curioso. El sistema troyano que “robaba los datos de alta de los usuarios” fue descubierto en septiembre en los discos duros extraíbles y los ordenadores del centro terrestre de control de operaciones pilotadas a distancia. Según datos de una fuente anónima del ministerio de defensa de EE.UU., el troyano fue creado para robar los datos de registro de los usuarios de una serie de juegos online y probablemente entró en el sistema de forma casual, es decir, no fue parte de un ataque específico. De una forma u otra, este incidente pone al descubierto una vez más la negligencia en estas cuestiones, algo inadmisible en campos donde la seguridad es un asunto de interés vital.

Estadística de octubre

TOP10 de programas maliciosos en Internet

1 Malicious URL 82,47% 0
2 Trojan.Script.Iframer 2,25% +1
3 Trojan.Win32.Generic 1,41% +4
4 Trojan.Script.Generic 1,18% 0
5 Exploit.Script.Generic 1,03% +2
6 AdWare.Win32.Shopper.il 0,46% New
7 Trojan-Downloader.Script.Generic 0,46% +1
8 AdWare.Win32.Eorezo.heur 0,32% -3
9 Trojan.JS.Popupper.aw 0,27% New
10 AdWare.Win32.Shopper.jq 0,23% New

TOP10 de países en los cuales se almacenan programas maliciosos

1 EE.UU. 25,43% 0
2 Rusia 22,68% 0
3 Alemania 10,46% 0
4 Holanda 10,09% 0
5 Ucrania 7,52% +1
6 Inglaterra 4,58% -1
7 Islas Vírgenes, Inglaterra 3,86% +1
8 China 3,35% -1
9 Japón 1,87% Nuevo
10 Rumania 1,76% 0

TOP10 de hostings maliciosos

1 stats1.in 16,59%
2 ru-download.in 8,61%
3 72.51.44.90 8,39%
4 e46l.cc 8,20%
5 adult-se.com 7,88%
6 rx-downloader.in 7,88%
7 lxtraffic.com 5,10%
8 literedirect.com 4,75%
9 au.imgfarm.com 4,48%
10 tizerplatform.com 3,79%

TOP10 de dominios maliciosos

1 com 29549282
2 ru 11275285
3 in 3229968
4 info 2284435
5 net 2096213
6 org 1625163
7 me 1382158
8 tv 962598
9 cc 649231
10 biz 387681

10 países donde los usuarios están bajo mayor riesgo de infectarse mediante Internet

1 Rusia 36,9% 0
2 Armenia 33,7% 0
3 Bielorrusia 31,0% +1
4 Irak 30,8% +5
5 Mongolia 30,2% Nuevo
6 Ucrania 28,8% +1
7 Sudán 27,7% +3
8 Kazajstán 26,9% -5
9 Corea 26,9% -1
10 Azerbaiyán 26,7% -4

Resumen de las actividades de los virus informáticos, octubre de 2011

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada