Tag Archives: plug-in

Adware utiliza noticia de Malaysian Airlines como gancho de infección

adware-kaspersky-itusersKaspersky Lab ha detectado una campaña de mensajes maliciosos que se aprovecha del interés público sobre la misteriosa desaparición del vuelo MH370 de Malaysian Airlines la semana pasada.

Lima, Perú, 18 de marzo del 2014.— Según Fabio Assolini, analista senior de seguridad para Kaspersky Lab, un mensaje prometiendo video sobre el hallazgo del extraviado avión y sus pasajeros circula en la popular red social Facebook. Al usuario hacer clic en el enlace, este es re direccionado a una página donde supuestamente podrá ver el video pero antes de tener acceso, el sitio le exige compartir el mensaje en su muro de Facebook e instalar un plug-in.

El software descarga un programa no deseado, generalmente clasificado como Adware, que interrumpe la experiencia en línea del usuario ya que automáticamente muestra anuncios mientras el usuario trabaja en su navegador con el objetivo de generar lucro a sus autores.

Por ahora, el mensaje solo se ha detectado en Facebook y solo en inglés. Sin embargo, anticipamos que en los próximos días se transmita por otras redes sociales y en otros idiomas, como el español. Además, no cabe duda de que otros tipos de malware, como troyanos bancarios, se propaguen por medio de este ataque ya que el tema ha acaparado interés a nivel mundial”, comentó Assolini.

Como hemos alertado en otras ocasiones, los cibercriminales se aprovechan de noticias de gran interés mundial para diseñar campañas de programas maliciosos para así infectar al mayor número de víctimas. Lo mismo sucedió con la noticia de la muerte de Osama Bin Laden en el 2011 y el nacimiento del bebé real el año pasado.

Kaspersky Lab les recuerda a los usuarios no hacer clic en enlaces o imágenes de noticias sensacionales, especialmente en las redes sociales, ya que estas son utilizadas por cibercriminales como gancho para propagar malware o software no deseado. Es recomendable visitar los sitios web oficiales de fuentes noticiosas para obtener información.

Acerca de Kaspersky Lab

Kaspersky Lab es el proveedor privado más grande del mundo de soluciones de protección para endpoints. La compañía está clasificada entre los cuatro principales proveedores de soluciones de seguridad para los usuarios de endpoints*. Durante sus ya más de 16 años de historia, Kaspersky Lab continúa siendo una compañía innovadora en la seguridad informática y ofrece soluciones efectivas en seguridad digital para las grandes compañías, pequeñas y medianas empresas y consumidores. Kaspersky Lab, a través de su compañía de holding registrada en el Reino Unido, opera actualmente en casi 200 países y territorios en todo el mundo, ofreciendo protección para más de 300 millones de usuarios a nivel global.

*La compañía logró el cuarto lugar en la clasificación IDC de los Ingresos por Seguridad de Endpoints en el Mundo por Proveedor, 2012. La clasificación fue publicada en el reporte IDC del «Pronóstico Mundial de Endpoint Security 2013-2017 y Acciones de Proveedores 2012» – (IDC #242618, agosto de 2013). El reporte calificó a los proveedores de software según sus ganancias por las ventas de soluciones de seguridad de endpoint en 2012.

Para obtener mayor información, visite http://latam.kaspersky.com.

Kaspersky Lab descubre “miniFlame”

miniflame-kaspersky-itusersLima, 16 de octubre del 2012.— Kaspersky Lab anunció el descubrimiento de miniFlame, un pequeño programa malicioso y altamente flexible diseñado para robar datos y controlar sistemas infectados durante operaciones de ciber espionaje dirigidas a objetivos concretos.

MiniFlame, también conocido como SPE, fue descubierto por los expertos de Kaspersky Lab en julio de 2012, y fue originalmente identificado como un módulo de Flame. Sin embargo, en septiembre de 2012, los investigadores de Kaspersky Lab realizaron un análisis en profundidad de los servidores C&C de Flame y descubrieron que el módulo miniFlame era realmente una herramienta interoperable que puede utilizarse como programa malicioso independiente o simultáneamente como un plug-in para los programas de malware Flame o Gauss.

Los análisis de miniFlame han demostrado que hay varias versiones creadas entre 2010 y 2011, con algunas variantes aún activas. Los análisis también han revelado nuevas evidencias de la cooperación entre los creadores de Flame y Gauss, ya que ambos programas maliciosos pueden usar miniFlame como “plug-in” para sus operaciones.

Principales descubrimientos:

  • miniFlame, también conocido como SPE, está basado en la misma plataforma de arquitectura que Flame. Puede funcionar como un programa de ciberespionaje independiente o como un componente de Flame y Gauss.
  • La herramienta de ciber espionaje opera como un backdoor diseñado para el robo de datos y el acceso directo a sistemas infectados.
  • Es posible que el desarrollo de miniFlame se iniciara en 2007 y continuara hasta finales de 2011. Se supone que se han creado muchas variaciones. A fecha de hoy, Kaspersky Lab ha identificado seis de estas modificaciones, identificando dos generaciones principales: 4.x y 5.x .
  • Al contrario que Flame o Gauss, que tienen un gran número de infecciones, la cantidad de infecciones de miniFlame es mucho menor. De acuerdo con los datos de Kaspersky Lab, el número de máquinas infectadas es de 10 a 20. El número total de infecciones en el mundo es de unas 50-60.
  • El número de infecciones combinadas con las propiedades de robo da datos de mini-Flame y su diseño flexible indica que ha sido utilizado para operaciones de ciberespionaje con un objetivo concreto, y fue desarrollado principalmente para máquinas que ya están infectadas por Flame y Gauss.

Descubrimiento

El descubrimiento de miniFlame se produjo mediante un análisis en profundidad del malware de Flame y Gauss. En julio de 2012 los expertos de Kaspersky Lab identificaron un módulo adicional de Gauss, con el nombre en clave “John” y encontraron referencias del mismo módulo en los archivos de configuración de Flame. El análisis de los servidores de C&C de Flame de septiembre de 2012 ayudó a desvelar que el recientemente descubierto módulo era, de hecho, un programa malicioso separado, aunque puede ser utilizado como “plug-in” para Gauss y Flame, miniFlame comenzó a utilizar el nombre en clave SPE, en el código de los servidores C&C originales de Flame.

Kaspersky Lab ha descubierto seis variaciones diferentes de miniFlame, todas fechadas entre 2010 y 2011. Al mismo tiempo, el análisis de miniFlame indicó que el desarrollo del malware comenzó aún antes, no más tarde de 2007. La posibilidad de utilizar miniFlame como un plug-in para Flame o Gauss conecta de manera clara con la colaboración entre los equipos de desarrollo de Flame y Gauss. Desde que se descubrió la conexión entre Flame y Stuxnet/Duqu, se puede concluir que todas estas amenazas avanzadas vienen de la misma “fábrica de ciber guerra”.

Funcionalidad

El vector de la infección original de miniFlame aún tiene que determinarse. Dada la relación confirmada entre miniFlame, Flame, y Gauss, miniFlame puede instalarse en los equipos ya infectados por Flame o Gauss. Una vez instalado, miniFlame opera como un backdoor y permite operaciones de malware para obtener cualquier archivo de un equipo infectado.

Capacidades adicionales de robo de datos incluyen la posibilidad de hacer capturas de pantalla de la computadora infectada mientras se está utilizando un programa o una aplicación como un navegador web, un programa de Microsoft Office, Adobe Reader, servicios de mensajería instantánea o un cliente FTP. miniFlame sube todos los datos robados conectándose a su servidor C&C (que puede ser único o “compartido” con el de Flame). Además, a petición desde el operador C&C de miniFlame, un módulo adicional de robo de datos puede enviarse a un sistema infectado, infectar unidades USB y utilizarlos para almacenar datos que ha recogido desde otros equipos sin necesidad de que estos se conecten a internet.

Alexander Gostev, el Experto Jefe en Seguridad de Kaspersky Lab ha comentado: “miniFlame es una herramienta de ataque de gran precisión. Lo más probable es que sea una ciberarma dirigida a lo que podría llamarse una ola secundaria de ciberataque. En principio, Flame o Gauss se utilizan para infectar al mayor número posible de equipos y recoger la mayor cantidad de información. Después de que los datos son recogidos y revisados, se define e identifica un objetivo potencial de víctimas de interés, y miniFlame se instala para una investigación y ciberespionaje en profundidad. El descubrimiento de miniFlame nos ofrece pruebas adicionales de la cooperación entre los creadores de los mayores programas maliciosos utilizados para la ciberguerra:  Stuxnet, Duqu, Flame y Gauss”.

Desde Kaspersky Lab, agradecemos a CERT-Bund/BSI por su ayuda con esta investigación.

Se pueden encontrar detalles sobre miniFlame en Securelist.com:

http://www.securelist.com/en/blog/763/miniFlame_aka_SPE_Elvis_and_his_friends