Category Archive Infecciones y Malware

PorjLeonett

Infografía: 28 años de historia del malware

El malware ha recorrido un largo camino desde sus comienzos, y ayudado por el veloz desarrollo de Internet, definitivamente hoy en día se propaga más rápido que en la época que se valían de los diskettes, en los que una propagación podía llevar semanas.

Hemos creado esta infografía para resumir los desarrollos claves en la historia del malware y la lucha contra él, desde Pakistani Brain en 1986 hasta el reciente Windigo

Autor Editor, ESET

Fuente: welivesecurity

PorjLeonett

Ransomware con imágenes de pornografía infantil, ahora en dispositivos móviles

Hace poco más de un año analizábamos una variante de ransomware o “Virus de la Policía” que utilizaba un desagradable método. Con la intención de que los usuarios infectados pagaran por elrescate de su máquina eran amenazados con denuncias por supuesta tenencia de pornografía infantil. La lógica del engaño era determinante: o aceptaban el chantaje o se enfrentaban a duras penas de cárcel.

Tal y como venimos revisando desde hace unos meses, la mayor parte de las técnicas que se han utilizado en la evolución del ransomware en sistemas de escritorio se han ido portando a dispositivos móviles con sistema Android principalmente. En ese contexto, los investigadores de ESET se han encontrado con Simplocker, el primer ransomware para Android activado en Tor. Por desgracia, los delincuentes detrás de estas campañas de propagación de malware no han dudado en volver a utilizar esta técnica para conseguir más víctimas que paguen el rescate de sus dispositivos.

Descargando aplicaciones maliciosas

Gracias a la gran labor realizada por el investigador Kafeine, podemos ver que en esta ocasión los delincuentes han utilizado una aplicación con el sugerente nombre de “Porn Droid” (aunque seguramente haya más aplicaciones de diferente temática para conseguir más víctimas) que al ser instalada pide permisos para convertirse en administrador del sistema y bloquear la pantalla del dispositivo:

porndroid

Resulta especialmente curioso que esta aplicación maliciosa intente justificar esta petición de permisos especiales para “proteger” el dispositivo de atacantes maliciosos o prevenir que el sistema Android sea destruido, tal y como se ve en la imagen a continuación:

porndroid_permisos

Utilización de pornografía infantil para presionar al usuario

Si un usuario se ve infectado por este ransomware, se abrirá una página web en el navegador mostrando imágenes de pornografía infantil. Tal y como destaca el investigador mencionado, todas las imágenes están enlazadas a videos que se encuentran alojados en los servidores utilizados por estos delincuentes:

videos_pornografia_infantil

Bloqueo del dispositivo e instrucciones de pago

Tras mostrar estas imágenes desagradables, el usuario observará impotente cómo se le bloquea su dispositivo y se muestra un mensaje que simula provenir del FBI -tal como hacía Simplocker:

fbi_advertencia
Por supuesto que se trata de un mensaje falso suplantando la identidad de esta conocida agencia de seguridad, pero los delincuentes confían en que, tras haber visto las desagradables imágenes,los usuarios infectados crean que están cometiendo un delito y cedan a las peticiones de pago de una multa. Este pago es más elevado que en ocasiones anteriores y pasa de los típicos 100 dólares o 100€ a 500 dólares, indicándole a la víctima las instrucciones sobre dónde adquirir una tarjeta prepagada con esa cantidad e introducir el código para que ese dinero sea enviado a los delincuentes:

pago_desbloqueo

Otras funcionalidades

Con respecto a otras variantes de ransomware que hemos analizado hasta ahora en dispositivosAndroid, esta vuelve a utilizar la cámara frontal del dispositivo (si se encuentra presente) para grabar a la víctima y así hacerle creer que está siendo vigilado por las fuerzas de seguridad:

camara_android
Además, como función adicional, esta variante incorpora un historial de navegación de la víctima junto a una de las imágenes de pornografía infantil, para hacerle creer que ha estado navegando por sitios webs con contenido ilegal, aunque estos sean perfectamente legales y reconocibles a simple vista.

contenido_ilegal
¿Y qué pasa si el usuario que se infecta no se encuentra en los Estados Unidos? En ese caso, elransomware detecta su ubicación, muestra la web con las imágenes desagradables pero no bloquea el dispositivo. En su lugar, muestra una imagen de un falso antivirus para Androidcomo el que vemos a continuación:

falso_antivirus_android

Conclusión

Como hemos venido diciendo en los últimos posts, donde hemos analizado esta amenaza para Android, el ritmo al que está evolucionando es bastante más rápido que su homónimo para sistemas de escritorio; algo lógico si tenemos en cuenta que los delincuentes ya cuentan con unaexperiencia previa. A pesar de que esta nueva variante está orientada a usuarios de Estados Unidos, es bastante probable que veamos versiones adaptadas a otros países relativamente pronto.

Aparte de condenar la deleznable utilización de imágenes de pornografía infantil, remarcamos que los usuarios deben ser precavidos a la hora de bajar aplicaciones, revisar los permisos que solicitan y sospechar si piden permisos especiales como convertirse en administrador del dispositivo. Estas medidas, junto a una solución de seguridad actualizada, pueden evitar tener que pasar por el mal trago de ver estas imágenes y tener que rescatar un dispositivo de las garras de los delincuentes.

Este post nos llega de la mano de Ontinet, Distribuidor de ESET en España.

Autor Josep Albors, ESET

 

Fuente: Welivesecurity

PorjLeonett

WireLurker o cómo infectar iPhones y iPads desde Mac

WireLurker es un nuevo malware para Mac OS X detectado por la firma de seguridad Palo Alto Networks y queinfecta a través de la conexión USB dispositivos móviles iOS como iPhones e iPads.

WireLurker habría infectado 467 aplicaciones OS X de la Maiyadi App Store, una tienda china de terceros para aplicaciones Mac. Las aplicaciones se habrían descargado 356.104 veces en los últimos seis meses y “podría haber infectado a cientos de miles de usuarios”.

La gravedad de WireLurker viene determinada por la cualidad de infectar dispositivos móviles iOS a través de la conexión USB, instalando nuevas aplicaciones maliciosas sin importar si los terminales tienen realizado jailbreak o no.

Por ello los investigadores comentan que WireLurker “es un nuevo tipo de amenaza para todos los dispositivos iOS, la amenaza a mayor escala que jamás habían visto dirigida contra los productos de Apple”. Una vez ha infectado un iPhone o iPad, el malware roba todos los datos del usuario, mensajes y llamadas, así como información de contactos para seguir la infección.

Apple tendrá que actuar porque esta misma semana hemos visto la llegada de una vulnerabilidad crítica en OS X Yosemite denominada Rootpipe, que puede permitir a un atacante obtener el máximo nivel de acceso a una máquina: acceso root. Descubierta por el hacker de “sombrero blanco” Emil Kvarnhammar y comunicada a Apple, el silencio fue la primera respuesta. Al salir a la luz, Apple ha comunicado que parcheará el sistema a comienzos de año.

Fuente: Muy Seguridad

PorjLeonett

Conoce al gusano más propagado en Latinoamérica

La familia VBS/Agent.NDH es una de las amenazas con mayor índice de propagación en Latinoamérica. Según datos de ESET Live Grid, los países más afectados a nivel mundial corresponden a esta región concentrando casi el 60% de las detecciones en lo que va de 2014.

Nueve de los quince países con mayores detecciones de esta familia de códigos maliciosos son de Latinoamérica, con México y Perú liderando el ranking. A continuación podemos ver la distribución mundial de las detecciones:

detecciones_latam

Se trata de un gusano con capacidades de propagación similares a las de la familia Win32/Dorkbot, que tiene la capacidad de infectar dispositivos USB, entre otras características. Las soluciones de seguridad de ESET detectan esta amenaza como VBS/Agent.NDH. Está desarrollada en Visual Basic Script (VBScript) y afecta a sistemas operativos Windows.

La extensión de los archivos maliciosos es “.VBS” y cuando el usuario desprotegido los ejecuta, se lanza una instancia de “wscript.exe”. Este es un proceso referente al sistema operativo de Microsoft que permite funciones adicionales como el scripting –Windows Scripting Host.

¿Cómo infecta al sistema?

Esta amenaza llega a un sistema como un archivo descargado por otro malware o cuando un usuario visita un sitio web malicioso y sin su conocimiento descarga el código malicioso. También infecta a los dispositivos de almacenamiento extraíbles que se conecten o estén conectados al sistema infectado. Estos métodos de propagación son comunes entre otros gusanos como Dorkbot, que ha generado grandes problemas en la región.

La propagación de amenazas a través de dispositivos USB y el uso de enlaces directos es una técnica redituable para los cibercriminales quienes apuestan al desconocimiento del usuario para infectar sus sistemas.

¿Qué es lo que hace la amenaza?

Este gusano puede usar la computadora víctima para hacer “clics” en anuncios con o sin el permiso de la víctima, y de esta forma, incrementar la popularidad de un sitio web o alguna aplicación que el atacante administra para ganar dinero.

Este tipo de acciones están relacionadas con técnicas de Black Hat SEO con las cuales los atacantes buscan posicionar diferentes sitios entre los primeros resultados de los buscadores. Entre sus capacidades se encuentra la posibilidad de enviar órdenes y comandos para efectuar diferentes acciones en forma remota, lo que convierte al equipo en parte de una botnet.

Detalles técnicos

Estamos ante una familia de códigos maliciosos que es persistente en el sistema. Crea una entrada en el registro de inicio, para asegurarse la ejecución cada vez que se carga el sistema.

Por lo general, estos scripts están cifrados u ofuscados, para que los usuarios no puedan visualizar el código fuente y así se dificulte qué es lo que el script intenta cambiar o hacer en el sistema en el cual se ejecutó.

En la siguiente imagen se puede apreciar uno de estos scripts cifrado y luego descifrado:

script_cifrado

A continuación analizaremos uno de estos scripts para hacer referencia a cuál es la estructura básica de los mismos. Al detectar que estaba cifrado en base64 tuvimos la posibilidad de descifrar el código fuente de una manera sencilla. A diferencia de las amenazas desarrolladas en otros lenguajes de programación como C o Delphi, no es necesario decompilar el malware, sino que con romper el cifrado o técnica de ofuscación podemos leer el código.

Como podemos observar, se compone de tres partes básicas en las cuales destacamos:

  • Una configuración
  • Declaración de variables (públicas y privadas)
  • El comienzo del código

La siguiente captura muestra el código fuente:

trafico

En la sección de “config” se ve claro cuál es el host y puerto que el código utiliza, la dirección en donde se instala y podemos ver que oculta los archivos y carpetas de los dispositivos USB y los reemplaza por accesos directos (.lnk). Esta técnica de propagación es detectada por los productos de ESET como LNK/Agent.AK.

Al descifrar el código, se puede apreciar los comandos que interpreta o podría enviar de acuerdo a determinados comportamientos. Este es un claro ejemplo de cómo funciona o se comporta unbot y de esta manera queda a la espera de instrucciones para ejecutar. Para este caso podríamos destacar “execute”, “update” o “site-send”:

funcion_malware

En la siguiente función se puede observar cómo el malware trabaja con los dispositivos extraíblesque se conectan al sistema y así los infecta:

infeccion

Conclusión

Como pudimos observar, VBS/Agent.NDH es una amenaza que realiza varias acciones en el sistema y realmente significativas. Su capacidad de propagación mediante dispositivos USB hace que infecte con mucha facilidad y rapidez otros sistemas, lo que demuestra que actualmente continúa siendo unatendencia este método de propagación mediante accesos directos (LNK/Agent.AK).

Incluso podemos ver que con el pasar de los años, este continúa siendo un método efectivo de infección, lo cual se debe a que frecuentemente los usuarios pasan por alto que los dispositivos extraíbles son vectores de propagación de amenazas, y por lo tanto no toman los recaudos necesarios para combatir amenazas de este tipo. Por eso, es importante que recuerden contar con una solución de seguridad actualizada en sus equipos.

 

Fuente> welivesecurity