Tag Archives: backdoor

Cuidado: los troyanos espías resurgen

miniduke-kaspersky-itusersLos troyanos Zeus resurgen y acaparan el 26,2% de los programas maliciosos en el correo electrónico

Lima, Perú, 10 de julio del 2013.— Kaspersky Lab presenta su Informe de spam del mes mayo de 2013, un mes en el que el tráfico de spam en el correo electrónico se redujo a un 2,5% y alcanzó el 69,7%. La proporción de mensajes phishing en el tráfico de correo ha crecido levemente y ha constituido el 0,0024%. El 2,8% de todos los mensajes electrónicos contenía ficheros maliciosos, un 0,4% más que el mes anterior.

Microsoft, en el punto de mira de los spammers

En mayo de 2013, los spammers organizaron el envío masivo de mensajes phishing, supuestamente en nombre del servicio de atención al cliente de Microsoft. En un mensaje remitido desde una dirección a primera vista legítima (dominio Microsoft.com) se notificaba que la cuenta del usuario de ‘Microsoft Windows’ sería bloqueada debido a que no se habían hecho las actualizaciones supuestamente recomendadas en mensajes anteriores. Para evitar el bloqueo, el usuario debía seguir de inmediato el enlace incluido en el mensaje que redirigía a una página fraudulenta creada con el fin de robar información personal. Al leer con atención el mensaje, se puede comprobar que el nombre del sistema operativo está escrito como Microsoft Window (sin la letra ‘s’ al final). Además, en el mensaje se usa como divisor el signo «=», no hay enlaces al sitio oficial de la compañía ni los contactos del servicio de soporte, algo que no es típico en los mensajes legítimos.

Distribución geográfica de las fuentes de spam

Según los resultados del informe, los tres primeros puestos de los países-fuente de spam siguen sin cambios. El primer puesto lo sigue ocupando China, cuya participación en el envío de spam es del 21,4%, un 2,5% menos que el mes anterior. Brasil y México ocupan el puesto número 19 y 20 a nivel mundial, respectivamente.

TOP 10 de programas maliciosos propagados por correo electrónico

En el primer puesto de la estadística de programas maliciosos enviados por correo sigue estando Trojan-Spy.HTML.Fraud.gen. Este programa es una página phishing con un formulario para introducir datos que los ciberdelincuentes envían directamente. En los puestos 2 y 3 (como también en los 8 y 9) se han ubicado los programas de la familia ZeuS/Zbot. Hace tiempo que este famoso troyano no ocupaba puestos tan elevados en la estadística, que en los años 2009-2010 fue muy popular. El objetivo de los programas ZeuS/Zbot es robar diferentes tipos de información confidencial desde los equipos de los usuarios, entre ellos los datos de las tarjetas de crédito. La cantidad de troyanos de esta familia entre los programas maliciosos en el correo de mayo ha alcanzado el 26,2%.

La novedad entre los TOP-10  programas maliciosos es Worm.Win32.Luder.anmw, un backdoor destinado al control remoto del equipo. También han entrado al TOP-10 un backdoor de la familia Android y un troyano-espía de la familia Tepfer, programas ya conocidos en los meses anteriores de este año.

Peculiaridades del spam malicioso

La cantidad de mensajes falsos enviados en nombre de tiendas online ha seguido en crecimiento en mayo. Se ha recibido un envío que finge ser una notificación oficial de la tienda online Amazon. Los ciberdelincuentes agradecían al destinatario un pedido inexistente y le comunicaban que para introducir cambios en el mismo y hacer un seguimiento de su estatus era necesario visitar el sitio web de la compañía o pulsar los enlaces enviados.

En efecto, los enlaces del mensaje conducían al sitio web de la tienda online, y no a páginas phishing o a ficheros maliciosos. Sin embargo, en el mismo mensaje se informaba de que la información adicional sobre el pedido estaba contenida en el adjunto y marcada en color azul, para que el usuario la viese sin esfuerzo. A diferencia de muchos mensajes similares, los spammers no trataban de intimidar al usuario con anular el pedido, para obligarlo a abrir el adjunto. Por el contrario, en el mensaje ponían información sobre cómo rechazar el pedido.

En el archivo adjunto “Your Order Details» with Amazon.zip había un fichero ejecutable Your Order Details with Amazon.PDF.exe, que Kaspersky Lab detecta como Backdoor.Win32.Androm.qp. Según los resultados de mayo, uno de los programas maliciosos de esta familia ocupó el séptimo puesto entre el malware más propagado por correo, y en abril un programa de esta familia estaba entre los tres primeros.

Al llegar al equipo de la víctima, Backdoor.Win32.Androm podía, por ejemplo, descargar otros ficheros maliciosos, enviar información desde la PC del usuario o convertirlo en parte de una red zombi.

En mayo los spammers han seguido enviando mensajes maliciosos falsos en nombre de conocidas compañías logísticas: en nuestras trampas han caído mensajes supuestamente enviados por representantes del servicio de UPS. En ellos se notificaba que el mensajero del servicio no pudo entregar un paquete al destinatario porque la dirección era incorrecta y ahora era necesario reclamarlo en la oficina de la compañía, imprimiendo el documento adjunto al mensaje.

En lugar del documento prometido, en el archivo adjunto UPS_Label_23052013.zip estaba el fichero UPS_Label_23052013.exe, que Kaspersky Lab detecta como Trojan-PSW.Win32.Tepfer.kxdh. En abril, uno de los programas de esta familia ocupó el cuarto puesto entre los programas maliciosos más difundidos en el correo y en mayo, el décimo. Este troyano roba las contraseñas FTP y de los programas de correo de los clientes, como también las contraseñas y nombres de inicio de sesión (logins) introducidos en el navegador de Internet.

Phishing

En mayo la proporción de mensajes phishing en el tráfico de correo ha crecido levemente y constituido el 0,0024%. Según los resultados de mayo, las redes sociales siguen ocupando el primer puesto en la estadística de las organizaciones más atacadas por los phishers. Su índice ha crecido en un 0,5% y alcanzado el 35,93%.

Los sistemas de búsqueda financieros (14,95%) y las organizaciones de pagos (14,93%) han intercambiado puestos y ahora ocupan el segundo y tercer lugar respectivamente. El cuarto puesto lo siguen ocupando las compañías TI (9,93%) y en el quinto puesto están las tiendas online (8,68%). Los proveedores de telefonía y de Internet (8,39%) han bajado un puesto y ahora ocupan el sexto.

eugene-kaspersky-itusers

Eugene Kaspersky, CEO.

Kaspersky Lab es el proveedor privado más grande del mundo de soluciones de protección para endpoints. La compañía se ubicó entre los cuatro principales proveedores de soluciones de seguridad para los usuarios de endpoints*. Durante sus ya más de 15 años de historia, Kaspersky Lab continúa siendo una compañía innovadora en la seguridad informática y ofrece soluciones efectivas en seguridad digital para los consumidores, pequeñas y medianas empresas y grandes compañías. Kaspersky Lab, a través de su compañía de holding registrada en el Reino Unido, opera actualmente en casi 200 países y territorios en todo el mundo, ofreciendo protección para más de 300 millones de usuarios en todo el mundo. Para obtener mayor información, visite http://latam.kaspersky.com.

*La compañía logró el cuarto lugar en la clasificación IDC de los Ingresos por Seguridad de Endpoints en el Mundo por Proveedor, 2011. La clasificación fue publicada en el reporte IDC del «Pronóstico Mundial de Endpoint Security 2012-2016 y Acciones de Proveedores 2011» – (IDC #235930, Julio de 2012). El reporte calificó a los proveedores de software según sus ganancias por las ventas de soluciones de Endpoint Security en 2011.

ESET y Sucuri descubren un sofisticado backdoor

droid-eset-itusersSe trata del troyano Linux/Cdorked.A, el cual tiene impacto en miles de sitios alojados en servidores comprometidos de Apache.

Buenos Aires, 30 de abril del 2013.— ESET, compañía líder en detección proactiva de amenazas, en conjunto con los especialistas en seguridad web de Sucuri, ha detectado una nueva amenaza que afecta a servidores web Apache, los más conocidos y usados en el mundo.

Linux/Cdorked.A es un backdoor altamente avanzado que se usa para dirigir el tráfico hacia sitios maliciosos alojados en dichos servidores, que contienen el paquete de exploit Blackhole. Es, hasta ahora, el más sofisticado con el que se han encontrado los expertos.

El sistema de alerta temprana ESET LiveGrid® reportó cientos de sitios comprometidos. “El backdoor Linux/Cdorked.A sólo deja como rastro en el disco duro un archivo ‘httpd’ modificado, el mismo servicio que utiliza Apache. Toda la información relacionada a este troyano se guarda en la memoria compartida del servidor, haciendo difícil la detección y obstaculizando el análisis”, declaró Pierre-Marc Bureau, Security Intelligence Program Manager de ESET.

Además, este backdoor sigue otros pasos para evitar ser detectado, tanto en el servidor comprometido como en los navegadores de las computadoras que lo visitan. “El atacante envía la configuración del backdoor usando peticiones HTTP que son ofuscadas y no son registradas por Apache, reduciendo la probabilidad de detectarlo con herramientas de monitoreo convencionales. La configuración es almacenada en la memoria, lo que significa que la información de comando y control de la amenaza no es visible”, agregó Righard Zwienenberg, Senior Researcher Fellow de ESET.

El kit de exploit Blackhole es un popular paquete que usa exploits conocidos y se aprovecha de nuevas vulnerabilidades zero day para tomar control del sistema cuando el usuario visita un sitio comprometido por la amenaza. El acceso a un servidor web infectado no implica simplemente el redireccionamiento a un sitio malicioso: una cookie es implantada en el navegador, de modo que el backdoor no vuelve a dirigir al usuario al mismo lugar.

Asimismo, y para no afectar a un administrador de sistema, el backdoor comprueba el referrer del usuario (de dónde proviene) y si este es redireccionado desde una URL que contenga determinadas palabras claves como “admin” o “cpanel”, el troyano no redirige a la persona hacia contenidos maliciosos.

Desde ESET se recomienda a los administradores de sistemas que chequeen sus servidores y verifiquen que no estén afectados por esta amenaza.

A su vez, el Blog de Laboratorio de ESET Latinoamérica pone a disposición de los usuarios una herramienta gratuita de detección de archivos maliciosos almacenados en la región de memoria compartida, así como también información detallada y un análisis técnico de Linux/Cdorked.A, que se encuentra disponible en http://blogs.eset-la.com/laboratorio/2013/04/29/linuxcdorked-a-nuevo-backdoor-apache-utilizado-masivamente-propagar-blackhole/

Alerta: ‘MiniDuke’ malware contra los gobiernos

miniduke-kaspersky-itusersKaspersky Lab descubre ‘MiniDuke’, nuevo programa malicioso diseñado para espiar a entidades gubernamentales e instituciones en todo el mundo. Los cibercriminales combinan sofisticadas amenazas de la vieja escuela con exploits avanzados en Adobe Reader para reunir información de inteligencia geopolítica de grandes objetivos

Sunrise, FL, 04 de marzo de 2013.— El equipo de expertos de Kaspersky Lab ha publicado un nuevo informe de investigación en el que analizan una serie de incidentes de seguridad sobre una vulnerabilidad recientemente descubierta en un exploit de Adobe Reader (CVE-2013-6040) y de un nuevo programa malicioso altam, ente personalizado conocido como MiniDuke. El backdoor MiniDuke ha sido utilizado para atacar varias entidades gubernamentales e instituciones de todo el mundo durante la última semana. Los expertos de Kaspersky Lab, en colaboración con CrySys Lab, han analizado los ataques en detalle y han publicado sus resultados.

Según el análisis de Kaspersky Lab, una serie de objetivos de alto perfil se han visto afectados por los ataques MiniDuke. Entre ellos se encuentran entidades gubernamentales de Ucrania, Bélgica, Portugal, Rumania, República Checa e Irlanda. Además, un instituto de investigación, dos centros de estudios, una importante fundación de investigación en Hungría y un proveedor de atención médica de Estados Unidos también se han visto comprometidos.

«Este es un ataque cibernético muy inusual», comenta Eugene Kaspersky, fundador y CEO de Kaspersky Lab. «Recuerdo que este tipo de programas maliciosos se utilizaban desde finales de los 90 hasta comienzos del año 2000. Me pregunto si este tipo de malware, que ha estado en hibernación durante más de una década, ha despertado de repente y se ha unido al sofisticado grupo de amenazas activas en el mundo cibernético. Esta vieja escuela de creadores de malware fueron extremadamente efectivos en el pasado creando virus muy complejos, y ahora se están combinando estas habilidades con nuevos exploits avanzados capaces de evadir las sandbox y cuyo objetivo son entidades gubernamentales o instituciones de investigación de varios países».

«MiniDuke es un Backdoor altamente personalizado escrito en Assembler y cuyo tamaño es muy reducido, sólo 20kb», añade Kaspersky. «La combinación de creadores de malware de la vieja escuela, muy experimentados, usando exploits descubiertos recientemente y la ingeniería social inteligente para comprometer los objetivos de alto perfil es extremadamente peligrosa».

Primeros resultados de la investigación de Kaspersky Lab:

Los creadores de MiniDuke aún están enviando ataques y han creado programas maliciosos recientemente, por ejemplo el pasado 20 de febrero de 2013. Para poner en peligro a las víctimas, los ciberdelincuentes utilizaron técnicas de ingeniería social muy eficaces, mediante el envío de documentos PDF maliciosos a sus objetivos. Los archivos PDF contienen un contenido bien elaborado y relevante, como información sobre seminarios de la Organización de los Derechos Humanos, datos de política exterior de Ucrania y planes de los miembros de la OTAN. Estos archivos PDF maliciosos se unieron a exploits que atacaban las versiones de Adobe Reader 9, 10 y 11, sin pasar por su sandbox. Las herramientas utilizadas para crear estos exploits parece que son las mismas que se usaron en un reciente ataque reportado por FireEye. Sin embargo, los exploits usados en los ataques MiniDuke tenían fines diferentes y su propio malware personalizado.

Una vez que el exploit ha entrado en el sistema, se descarga un pequeño programa en el disco de la víctima con sólo 20kb de tamaño. Este programa es único por sistema y contiene un backdoor personalizado escrito en Assembler. Cuando se carga, al iniciar el sistema, utiliza una serie de cálculos matemáticos para determinar la única huella digital del equipo, y a su vez utiliza estos datos para cifrar sus comunicaciones. También está programado para evitar el análisis de un conjunto de herramientas cifradas de algunos entornos, como VMware. Si localiza alguno de estos indicadores, se ejecutará en ese entorno en lugar de pasar a otra etapa que exponga más su funcionalidad, lo que indica que los creadores del malware saben exactamente lo que los profesionales de la industria de la seguridad TI están haciendo con el fin de analizar e identificar malware.

Si el sistema al que se dirige cumple con los requisitos predefinidos, el malware usa Twitter (sin el conocimiento del usuario) y empieza a buscar tweets específicos de cuentas previamente creadas. Estas cuentas han sido puestas en marcha por los operadores del Comando&Control MiniDuke (C2). Los tweets usan etiquetas específicas de etiquetado URL cifrado para los backdoors. Estas URL proporcionan acceso a los C2s, que luego aportan posibles comandos y transferencias cifradas de backdoors adicionales en el sistema a través de los archivos GIF.

Según el análisis, parece que los creadores MiniDuke cuentan con un sistema de backup dinámico que también escapa a la detección. Si Twitter no funciona o las cuentas son ajenas al malware, recurre al buscador de Google para encontrar los enlaces cifrados que le deriven al siguiente C2. Este modelo es flexible y permite a los ciberdelincuentes cambiar constantemente sus backdoors, así cómo recuperar más comandos o código malicioso, según sea necesario.

Una vez que el sistema infectado localiza el C2, recibe backdoors cifrados que están integrados dentro de los archivos GIF y camuflados en imágenes que aparecen en el equipo de la víctima. Cuando ya está en el equipo, se puede descargar un backdoor más grande que desempeñe acciones básicas como la copia de archivos, mover archivos, eliminar archivos, hacer directorio, terminar procesos y, por supuesto, descargar y ejecutar nuevos programas maliciosos.

  • El malware backdoor conecta con dos servidores, uno en Panamá y otro en Turquía, para recibir instrucciones de los cibercriminales.
  • Para leer la investigación completa de Kaspersky Lab y los consejos para protegerse frente a MiniDuke, visite: Securelist.
  • Para leer el análisis de CrySys Lab, siga el siguiente enlace: http://blog.crysys.hu/2013/02/miniduke/
  • El sistema de Kaspersky Lab detecta y neutraliza el malware MiniDuke, clasificado como HEUR:Backdoor.Win32.MiniDuke.gen y Backdoor.Win32.Miniduke.
  • Kaspersky Lab también detecta exploits utilizados en los documentos PDFs, clasificados como Exploit.JS.Pdfka.giy.

Acerca de Kaspersky Lab

Kaspersky Lab es el proveedor privado más grande del mundo de soluciones de protección para endpoints. La compañía se ubicó entre los cuatro principales proveedores de soluciones de seguridad para los usuarios de endpoints*. Durante sus ya más de 15 años de historia, Kaspersky Lab continúa siendo una compañía innovadora en la seguridad informática y ofrece soluciones efectivas en seguridad digital para los consumidores, pequeñas y medianas empresas y grandes compañías. Kaspersky Lab, a través de su compañía de holding registrada en el Reino Unido, opera actualmente en casi 200 países y territorios en todo el mundo, ofreciendo protección para más de 300 millones de usuarios en todo el mundo. Para obtener mayor información, visite http://latam.kaspersky.com.

*La compañía logró el cuarto lugar en la clasificación IDC de los Ingresos por Seguridad de Endpoints en el Mundo por Proveedor, 2011. La clasificación fue publicada en el reporte IDC del «Pronóstico Mundial de Endpoint Security 2012-2016 y Acciones de Proveedores 2011» – (IDC #235930, Julio de 2012). El reporte calificó a los proveedores de software según sus ganancias por las ventas de soluciones de Endpoint Security en 2011.