08 G DATA Malware Report H2
Transcripción
08 G DATA Malware Report H2
G Data Informe de malware Informe bianual Julio – diciembre de 2011 G Data SecurityLabs Go safe. Go safer. G Data. G Data Malware Report 2/2011 Contenido Aspectos generales .............................................................................................................................. 2 Malware: cifras y datos ........................................................................................................................ 3 Cifras millonarias de malware................................................................................................................................... 3 Categorías de malware ............................................................................................................................................... 3 Familias de malware .................................................................................................................................................... 4 Plataformas: Windows, principal objetivo; y plataformas móviles en la diana....................................... 7 Monitorización de riesgos ................................................................................................................... 9 Análisis de sitios web ......................................................................................................................... 11 Clasificación por asunto .......................................................................................................................................... 13 Clasificación por emplazamiento del servidor ................................................................................................ 15 Phishing ........................................................................................................................................................................ 16 Banca online ...................................................................................................................................... 17 Malware móvil .................................................................................................................................... 19 Copyright © 2011 G Data Software AG 1 G Data Malware Report 2/2011 Aspectos generales • • • • • • En 2011 se observaron más de 2,57 millones de cepas de malware, un incremento del 23% respecto al año anterior. Se registró una disminución en el número de nuevos rootkits, mientras que los programas espía y adware aumentaron en gran medida. La cantidad de nuevo malware para dispositivos móviles creció por encima del 1.000% en tan solo un año. El malware para Android se está ahora expandiendo por todo el mundo y se ha convertido en una amenaza mundial gracias a las diferentes localizaciones. Los ataques de phishing se dirigieron (y aún se centran) en los beneficios económicos que pueden ofrecer. Cerca de un 60% de los sitios web de phishing fueron diseñados para simular los sitios genuinos de diferentes instituciones financieras. Torpig, SpyEye y ZeuS fueron los troyanos más activos en el sector bancario. Hitos • • Aparición de la herramienta espía DuQu. Su objetivo es recopilar la mayor cantidad posible de datos y preparar ataques como los del malware Stuxnet. Los grupos de hacktivistas como Anonymous han protagonizado ciberataques dirigidos contra compañías, organizaciones y personas específicas. Panorama para la primera mitad de 20121 • • • • El malware para Android aumentará y se hará técnicamente más avanzado. Se realizarán más ataques dirigidos a objetivos específicos. Los ciberelincuentes se centrarán en eventos importantes como, por ejemplo, la Eurocopa de fútbol. Los troyanos es especializan en el sector bancario y se incrementará su actividad como herramienta para estafar a los usuarios de los servicios de banca online. 1 Para más información, consulte el informe sobre "Tendencias para 2012" de G Data Copyright © 2011 G Data Software AG 2 G Data Malware Report 2/2011 Malware: datos y cifras Cifras millonarias de malware En el periodo de julio a diciembre de 2011, G Data Security Labs registró una media de 7.229 nuevas cepas de malware al día, hasta alcanzar un total de 1.330.146 tipos diferentes de amenazas, un 6,8% más que en los seis primeros meses del año. Respecto a 2010, la cantidad de nuevas cepas de malware aumentó en un 23,1% en 2011. Gráfico 1: Número de nuevos programas de malware al año, desde 2006 Categorías de malware Los programas de malware se pueden agrupar en categorías según sus actividades. El gráfico 2 muestra las categorías más importantes y su evolución durante los últimos cuatro semestres. La categoría de spyware experimentó el mayor incremento, ya que la cantidad de este tipo de malware ha aumentado un 52% en los últimos seis meses, registrando un incremento del 20% durante los dos últimos años. En este mismo período, los troyanos también aumentaron un 40%, aunque esta tendencia ha perdido cierta fuerza en el último semestre, retrocediendo al 6%. La tasa de software diseñado para mostrar anuncios no autorizados (adware) ha aumentado sistemáticamente a lo largo de los últimos años. Durante la segunda mitad de 2011, este tipo de malware aumentó un 18,5% y, en el período de 2010 a 2011, creció un asombroso 25,4%2. Sin embargo, se ha observado una disminución en el número de rootkits - unas herramientas utilizadas para ocultar el malware como, por ejemplo, puertas traseras (backdoors) o programas espía, de forma que las herramientas del sistema y el software antivirus no puedan encontrarlos. Estos malware disminuyeron un 10% en la última mitad de año. En el período 2010 - 2011, esta cantidad disminuyó hasta un 43%. Aunque se observaron menos nuevas variantes de rootkits, aún 2 Para más información sobre ataques de adware interceptados, consulte el capítulo sobre Monitorización de Riesgos Copyright © 2011 G Data Software AG 3 G Data Malware Report 2/2011 forman una parte importante de la estrategia de autodefensa de los programas de malware. El número de descargadores (downloaders) también ha disminuido. A lo largo de los últimos seis meses, incluso ha retrocedido un 18% (9% a lo largo de los últimos dos años). Asimismo, se estima que la cantidad decreciente de nuevas instancias de malware de explotación incrementará de forma efectiva la protección del software. Lo ideal es cerrar los vacíos existentes rápidamente, evitarlos durante la programación o eliminarlos en el proceso de garantía de calidad antes de la comercialización del producto. Por esta razón, cada vez se ofrecen menos oportunidades para los ataques. Asimismo, los atacantes sólo necesitan una única vulnerabilidad para dañar un ordenador. En CVE-2010-08403 se describe una vulnerabilidad que aún es muy popular y que todavía se utiliza para los ataques. Gráfico 2: Número de nuevos programas de malware por categoría en los últimos semestres Familias de malware El malware se agrupa en familias basándose en sus propiedades y en sus actividades. En 2011, el malware podía agruparse en un total de 3.569 familias diferentes, un 7,7% más que en años anteriores. Algunas familias son muy productivas y producen nuevas variantes constantemente – a 3 Ver el capítulo sobre Monitorización de Riesgos Copyright © 2011 G Data Software AG 4 G Data Malware Report 2/2011 lo largo de 2011 se observaron casi 2,6 millones4. La tabla que se muestra a continuación describe las 10 familias más productivas de malware para las que se crearon nuevas firmas de virus. Clasificación Familia 1 2 3 4 5 6 7 8 Categoría Cuota Dif. frente a primer semestre de 2011 Troyano 8,5% ±0 Genome Los troyanos de la familia Genome se han mantenido en el primer puesto, muy por delante del resto, e incluyen funciones como descargadores, registradores de teclado y cifrado de archivos. 3,7% +1 Troyano VBKrypt VBKrypt es una herramienta utilizada para ocultar archivos maliciosos. Las rutinas de camuflaje se han escrito en Visual Basic y los contenidos de los archivos ocultos son muy diversos y oscilan desde descargadores y puertas traseras a spyware y gusanos. Esta familia ha perdido 0,9% de su cuota en comparación con el último semestre pero, así y todo, ha subido una posición. 3,5% +14 Troyano Diple Durante la segunda mitad de 2011, las variantes de la familia Diple aumentaron su cuota un 2,4%. Las variantes de Diple permiten controlar el ordenador de forma remota y contactar con los servidores de control. De esta forma, es posible cargar otro malware posteriormente, incluyendo spyware y falsos antivirus 2,7% +5 Troyano Menti El troyano Menti se incorpora a un sistema atacado y realiza contactos habituales con un servidor. De esta forma, el ordenador se convierte en parte de un botnet. Con un incremento del 1,2%, Menti ha subido 5 posiciones. Spyware 2,4% +2 OnLineGames Los miembros de la familia OnLineGames se encargan principalmente de robar datos de acceso a juegos. Para lograr este fin, realizan búsquedas en varios archivos y en entradas de registros y/o se instalan programas para transmitir las teclas pulsadas. En este último caso, no sólo se roban los datos de los juegos, sino también otro tipo de información confidencial. La mayoría de los ataques se centran en juegos populares en Asia. Durante los últimos seis meses, su cuota ha aumentado un 0,7%, haciendo que esta familia suba dos puestos en la clasificación. 2,0% ±0 Troyano Buzus Los troyanos de la familia Buzus exploran los sistemas infectados de sus víctimas buscando datos personales (tarjetas de crédito, banca online, accesos de correo electrónico y FTP), para transferir posteriormente dicha información al atacante. El malware también intenta disminuir la configuración de seguridad del equipo para facilitar aún más los ataques en el equipo de la víctima. 2,0% -5 Troyano FakeAV Ese troyano pretende ser un software antivirus u otro programa relacionado con la seguridad. Simula el descubrimiento de múltiples riesgos a la seguridad o infecciones maliciosas en el sistema del usuario, e intenta engañarle para que pague por un software que limpie el PC. La cuota de las nuevas variantes de esta familia ha descendido un 3,3% y, como resultado de ello, ha pasado desde la 2ª posición al 7º puesto de la clasificación. 1,8% +19 Troyano Llac El troyano Llac permite acceso remoto no autorizado a un ordenador y facilita la ejecución de cualquier software para, por ejemplo, apoderarse de datos o enviar spam. El número de variantes ha aumentado un 1.0%, lo que ha hecho que esta familia suba 20 lugares en la clasificación. 4 Ver Grafico 1 Copyright © 2011 G Data Software AG 5 G Data Malware Report 2/2011 9 Descargador 1,7% +17 Adload Las variantes de la familia Adload carga archivos desde un servidor externo (por ejemplo, dollarrevenue.com) y los ejecuta posteriormente. Como los archivos maliciosos se almacenan en un servidor externo, sus funciones maliciosas pueden variar. La mayoría de ellos son adware o spyware. La cantidad de variantes de Adload ha aumentado un 0,9%, haciendo que pueda alcanzar un puesto en las 10 primeras posiciones. Puerta trasera 1,6% +67 Shiz Las variantes de Shiz han hecho su debut en las 10 primeras posiciones. Se inyectan en el proceso del sistema services.exe para que se ejecute en el contexto de los servicios del sistema, haciéndolo casi imposible de detectar con las herramientas estándar habituales. Además de esto, abren una puerta trasera en el PC que puede ser utilizada para cargar spyware y otro malware. Tabla 1: las 10 familias de malware más productivas en la segunda mitad de 2011 10 Copyright © 2011 G Data Software AG 6 G Data Malware Report 2/2011 Plataformas: Windows, principal objetivo; y plataformas móviles en la diana Salvo algunas excepciones, el malware se elabora para plataformas específicas. Durante años, la mayoría del malware se ha elaborado para Windows, y esta tendencia no ha cambiado en el semestre que ahora analizamos. Dos plataformas de la tabla 2 han sido diseñadas para sistemas operativos Windows: Win incluye código malicioso que funciona con las variantes de 32-bit y de 64bit de Windows. Por su parte, MSIL es el nivel intermedio para el código malicioso .NET que, en principio, no sólo funciona en sistemas Windows, sino también en otras plataformas. Sin embargo, en la práctica este potencial raramente se explota. Si se combinan estos dos grupos, obtenemos una cuota del 99,6% para Windows, lo que significa un aumento del 0,1% desde la primera mitad de 2011. Con un 0,2%, WebScripts constituye la cuota más alta del 0,4% restante, aunque la cantidad de este malware ha disminuido un 23,1%. WebScripts forma la base para el suministro de código malicioso a través de sitios web. La menor productividad no es, sin embargo, indicación de una disminución en el uso de código malicioso en los sitios web. El malware para smartphones (Móvil) ha avanzado una posición. En especial, el número de cepas de malware para dispositivos de Android ha aumentado más de ocho veces, mientras que el malware para otras plataformas como J2ME, SymbianOS y WinCE, se ha convertido en algo menos habitual. En general, el número de cepas de malware para dispositivos móviles ha aumentado 2,5 veces. Si lo comparamos con las cifras de 2010, el nuevo malware para plataformas móviles se ha incrementado hasta diez veces de forma interanual (+949%). Otras plataformas como las versiones de Unix (Linux, BSD etc.), Java y el malware elaborado en lenguajes de scripting se han convertido en fenómenos menos habituales en la última mitad del año. Los valores particulares para cada plataforma aparecen en la tabla 2. Segundo semestre Plataforma de 2011 1 Win 1.305.755 2 MSIL 18.948 3 WebScripts 2.402 4 Mobile 1.998 5 Scripts5 626 6 Java 244 7 *ix6 34 7 8 NSIS 62 Cuota 98,2% 1,4% 0,2% 0,2% <0,1% <0,1% <0,1% <0,1% Diferencia entre segundo semestre y Primer primer semestre semestre de 2011 Cuota de 2011 1.218.138 97,8% +7,2% 21.736 1,7% -12,8% 3.123 0,3% -23,1% 803 0,1% +148,8% 832 0,1% -24,8% 313 <0,1% -22,0% 233 <0,1% -85,4% 131 <0,1% -52,7% Tabla 2: Principales 8 plataformas en los dos últimos semestres 5 "Scripts" son scripts o programas en lotes o en shell elaborados en lenguajes de scripting VBS, Perl, Python o Ruby. *ix es el acrónimo de todos los derivados de Unix - . Linux, FreeBSD, Solaris etc. 7 NSIS es la plataforma de instalación utilizada para instalar el reproductor de medios Winamp, etc. Copyright © 2011 G Data Software AG 6 7 G Data Malware Report 2/2011 Monitorización de riesgos La cantidad de nuevos programas de malware no fue lo único que alcanzó unas cifras récord en 2011, porque también la cantidad de ataques frustrados por las soluciones de seguridad de G Data registró un aumento mes a mes. La clasificación de los ataques contra usuarios de ordenadores con MII8 activado muestra la siguiente distribución en el segundo semestre del año: Clasificación Nombre Porcentaje 1 Exploit.CplLnk.Gen 1,08% 2 Trojan.Wimad.Gen.1 0,91% 3 Java.Exploit.CVE-2010-0840.E 0,90% 4 Worm.Autorun.VHG 0,87% 5 Trojan.AutorunINF.Gen 0,82% 6 Generic.Adware.Adseo.7722145B 0,69% 7 Gen:Variant.Adware.Hotbar.1 0,54% 8 Java.Trojan.Downloader.OpenConnection.AI 0,46% 9 Java.Trojan.Exploit.Bytverify.Q 0,36% 10 Adware.Agent.NGZ 0,35% Tabla 3: Principales 10 malware en el segundo semestre de 2011 Exploit.CplLnk.Gen es una exploit que ya se utilizó en combinación con Stuxnet9 y que aún es muy utilizado por los ciberdelincuentes. Como este ataque funciona en cualquier versión del sistema operativo Windows y no se centra en un software en particular, sino en el mismo sistema operativo, el número potencial de víctimas es naturalmente mayor y, por lo tanto, muy provechosos para los atacantes. Esto explica que no sorprenda ver que se sitúe como el ataque más repetido en las clasificaciones semestrales. El malware que intenta aprovechar la función “Autoplay” en PCs con Windows ha aparecido en los puestos 4º y 5º de las clasificaciones semestrales. En su sitio web, Microsoft afirma que "el principal objetivo de Autoplay es ofrecer una respuesta de software a las acciones del hardware iniciadas por el usuario en la máquina"10. Un uso generalizado de esta función se encuentra, por ejemplo, cuando se inserta una memoria USB en un ordenador para que el pendrive se cargue inmediatamente, ejecutando de forma automática cualquier rutina de programa almacenada en dicho dispositivo. Para evitar que un código malicioso explote esta capacidad de ejecución automática, esta función debería encontrarse deshabilitada por defecto en el sistema operativo. También es destacable que encontremos adware en tres de los diez primeros lugares de la clasificación. Podemos observar importantes fluctuaciones en la cuota de ataques de adware claramente identificables en la segunda mitad de año11. Sin embargo, y a pesar de todo, estas 8 El Malware Information Initiative (MII) se basa en el poder de la comunidad online y en cualquier cliente que adquiera soluciones de seguridad de G Data para participar en esta iniciativa. El requisito previo es que los clientes deben activar esta función en su solución de seguridad de G Data. Si se hace frente a un malware informático, se envía a G Data Security Labs. G Data Security Labs un informe completamente anónimo sobre este evento, para recopilar y valorar estadísticamente los datos sobre el malware. 9 http://blog.gdatasoftware.com/blog/article/the-microsoft-lnk-usb-worm-rootkit-issue-could-kill-win-xp-sp2-and-win2000-earlier.html 10 http://support.microsoft.com/kb/967715/en 11 Ver figura 3 Copyright © 2011 G Data Software AG 8 G Data Malware Report 2/2011 amenazas ocupan tres de los primeros diez lugares, ya que una gran cantidad de ataques se registraron en agosto, septiembre y octubre en particular. En contraste a esto, el número de adware recién creado aumentó continuamente durante la segunda mitad de 201112. Todo esto indica que el modelo de negocio de los ciberdelincuentes es aún rentable y lucrativo. Gráfico 3: cuota de programas potencialmente indeseados (PUP) y su cuota de adware detectados por el Malware Information Initiative Un ataque sobre una vulnerabilidad en particular ha aparecido durante mucho tiempo entre los ataques detectados con mayor frecuencia: el CVE-2010-0840 es aún una vulnerabilidad que se ataca muy a menudo. En este período de seis meses, hay dos malware relacionados con esta amenaza: el Java.Exploit.CVE-2010-0840.E y el Java.Trojan.Downloader.OpenConnection.AI. Los atacantes aún utilizan la vulnerabilidad descrita en CVE-2010-084013 porque muchos usuarios de ordenadores muestran cierto descuido a la hora de actualizar sus equipos, por lo que este ataque sigue causando grandes daños. Muchos usuarios no se preocupan de actualizar los equipos o no conocen los requisitos específicos de ciertas actualizaciones de programas14. Oracle ya ha cerrado en marzo de 2010 esta vulnerabilidad anteriormente mencionada en Java. 12 Ver figura 2 http://blog.gdatasoftware.com/blog/article/various-money-related-spams-serve-as-versatile-attack-vector-to-spread-zeus.html 14 http://blog.gdatasoftware.com/blog/article/the-top-10-threats-in-june-2011.html Copyright © 2011 G Data Software AG 9 13 G Data Malware Report 2/2011 Análisis de sitios web Internet es la principal puerta de acceso para los fraudes mediante malware y phishing. Al mismo tiempo, ese medio está incrementando su importancia para la sociedad en general. No solo se utiliza para acceder a la información, para participar en juegos, para usar servicios de correo electrónico o redes sociales o para visitar portales de video o archivos de web, sino también se utiliza diariamente para hacer negocios o para fines administrativos. Todo ello justifica un análisis detallado de las áreas que se han convertido en objetivo de los ataques en el último semestre. Copyright © 2011 G Data Software AG 10 G Data Malware Report 2/2011 Clasificación por asunto Una clasificación en función del contenido de los sitios web infectados15 en el segundo semestre de 2011 muestra que los dominios con ciertos asuntos parecen ser más atractivos que otros y por tanto, también sufren una mayor cantidad de ataques. En el registro total no se distingue entre dominios establecidos específicamente para estos ataques y los sitios legítimos que fueron manipulados. Los primeros cinco puestos de esta clasificación del segundo semestre de 2011 representan más de la mitad de todos los dominios clasificados. En primera posición aparece la tecnología y la telecomunicación, que incluye sitios web con contenidos relacionados con Internet, tecnologías de la información y telecomunicaciones. En tercer lugar aparece la pornografía, un tema generalmente de dudosa reputación. Sin embargo, análisis anteriores de G Data han mostrado que no existe necesariamente una conexión entre los sitios web con contenido pornográfico y las infecciones de malware, y que algunos usuarios de Internet ya han llegado a reconocer esta correlación16. Tecnología y telecomunicación 16.2% Negocios 11.3% Pornografía 10.5% Compras 8.2% Servicios de intercambio de archivos 7.1% Ocio 5.2% Salud 44.1% Blog 3.7% 3 Viajes 3,5% 3 Juegos 3.3% 3 Gráfico 4: Categorización de sitios web maliciosos por asuntos, segundo semestre de 2011 Basándonos en la experiencia, no resulta sorprendente encontrar sitios web relacionados con distribución de archivos y redes P2P en unas posiciones tan altas en la clasificación. Una gran proporción de código malicioso se propaga con la distribución - a menudo ilegal - de archivos protegidos por derechos de autor. Existe probablemente una razón por la que la categoría de ocio y 15 En este contexto, entre los sitios web malicioso se incluyen los sitios de phising y los de malware Cf. G Data Security, “¿Cómo perciben los usuarios los peligros de Internet?” (2011) Copyright © 2011 G Data Software AG 16 11 G Data Malware Report 2/2011 entretenimiento, que ocupa la 6ª posición, se encuentre relacionada con la categoría que se encuentra en 5º puesto porque, después de todo, los usuarios comparten contenidos de portales de entretenimiento, incluyendo música, películas y conciertos, además de noticias sobre las estrellas del espectáculo. La categoría de blogs, en 8ª posición, contiene listas de cualquier tipo. Como este tipo especial de sitios web tiene una gran parte de contenidos basados en el usuario son más propensos al abuso por parte de los ciberdelincuentes. Y, de igual forma, las bitácoras privadas no contienen a menudo la seguridad apropiada o no están actualizadas técnicamente. De esta forma, se permite a los atacantes incorporar su contenido malicioso de forma visible o invisible para dañar a los visitantes del blog infectado. Conclusión El peligro se camufla en cualquier website y puede afectar a cualquier internauta. Los ciberdelincuentes no se centran principalmente en determinados sitios web, sino en intentar llegar a la mayor cantidad posible de visitantes con el menos esfuerzo posible. Todo depende de la protección del sitio y servidor web. Y no se trata de hacer generalizaciones ya que no podemos afirmar que un tema en especial sea mucho más propenso a sufrir un ataque que otro. Si por ejemplo hay una vulnerabilidad en un sistema de gestión de contenidos, en un plug-in o en un programa, significa que cualquier servidor web con estas características corre un riesgo potencial, independientemente del contenido del sitio web. Por lo tanto, es posible que luego se produzca un ataque masivo y la propagación de toolkits maliciosos para explotación de webs, siendo ésta una consecuencia a menudo desafortunada, tal y como ocurrió con el ataque de Lizamoon 17 o de TimThumb en 201118. Aparte de esto, un asunto popular con un elevado número potencial de visitantes resulta, obviamente, un objetivo más atractivo. 17 http://blog.gdatasoftware.com/blog/article/it-never-stays-quiet-on-the-internet-the-lizamoon-attack-the-update-problem.html http://blog.sucuri.net/2011/08/mass-infection-of-wordpress-sites-counter-wordpress-com.html Copyright © 2011 G Data Software AG 12 18 G Data Malware Report 2/2011 Clasificación por emplazamiento del servidor También resulta interesante examinar la distribución local de los sitios web maliciosos. El mapa de la ¡Error! No se encuentra el origen de la referencia. muestra la cantidad de sitios web maliciosos hospedados en los diferentes países. Esto indica que los países más involucrados son los que ofrecen hospedaje barato, además de una infraestructura digital avanzada. Por lo tanto, no resulta sorprendente que grandes partes de África no hospeden ninguno o muy pocos dominios maliciosos en servidores locales. Amplios países como Rusia compensan sus enormes zonas despobladas con grandes capacidades digitales en áreas metropolitanas y en grandes ciudades. Otro aspecto que debemos tener en consideración es que la legislación sobre Internet también varía entre países. Esto convierte a algunos países en más atractivos a los ciberdelincuentes que otros. Un delito potencial puede ser tratado como ilegal en un país, aunque podría ser tolerado como legal en otro. A menudo se ha afirmado que Internet no debe permitirse como un lugar para realizar actividades ilegales pero, a fecha de hoy, aún no hay legislación mundial y uniforme vigente. Diferentes territorios tienen sus áreas de responsabilidad y la colaboración entre países puede ser un proceso difícil, debido en parte a la dificultad para determinar una "escena del crimen" y la jurisdicción que rige dicho delito. Sin embargo, el principal criterio para la selección de la localización de un sitio web es el coste anteriormente mencionado, ya que los ciberdelincuentes desean naturalmente maximizar sus beneficios, ya sea con sus actividades de phishing o con la distribución de código malicioso. Emplazamientos menos populares de servidores Emplazamientos populares de servidores Gráfico 5: Países que hospedan la mayor cantidad de sitios web maliciosos Copyright © 2011 G Data Software AG 13 G Data Malware Report 2/2011 Phishing Gráfico 6: Websites de phishing en función del contenido En las bases de datos de G Data Security Labs nos centramos específicamente en los sitios web de phising y en la información sobre sitios web para su análisis posterior. Esto ofrece como resultado la siguiente distribución de asuntos en 2011. Un ejemplo de escenario: los delincuentes reproducen la página de acceso original de un banco, una red social o de juegos, y utilizan su propio servidor para poner dicha copia online. Las direcciones URL se eligen a menudo para que casi sea imposible distinguirlas tipográficamente de las originales. A continuación, los delincuentes interceptan los datos de acceso en cuanto la víctima los proporciona en una de estas páginas falsas. Durante la segunda mitad de 2011, las instituciones bancarias y financieras ocuparon la primera posición, muy por delante de las otras categorías. Más del 60% de todos los sitios web analizados se encontraban en esta categoría. Las páginas web falsas de acceso de PayPal y del Banco de Santander fueron utilizadas a menudo como trampas. El objetivo de los delincuentes es apoderarse de los datos de acceso (nombre y contraseña) y utilizar dicha información para robar dinero y para cometer otros fraudes. Con iguales cuotas, las categorías de redes sociales, chats y correo electrónico y juegos ocuparon el segundo y el tercer puesto. Los datos de acceso de estas dos categorías pueden venderse fácilmente en el mercado negro. El valor de las cuentas de juegos online como, por ejemplo, World of Warcraft depende del nivel y del equipo del personaje del juego, pero también se venden piezas del equipo y monedas virtuales. Copyright © 2011 G Data Software AG 14 G Data Malware Report 2/2011 Captura de pantalla 1: la cuenta más cara de WoW en estos momentos se ofrece a la venta en una plataforma más o menos legal. Estas cifras ilustran incluso con más claridad por qué los ciberdelincuentes se centran en los juegos. Los días en los que todo era diversión, píxeles y monedas de oro virtuales hace tiempo que dejaron de existir. Ahora, el valor del dinero real no debe ser infravalorado. Además de vender datos de acceso a redes sociales, los delincuentes también abren las puertas de canales de distribución valiosos a los mensajes spam y a códigos maliciosos. Para los delincuentes, la ventaja clara es que es más probable que los usuarios de redes sociales confíen en mensajes dejados en muros y en mensajes personales de amigos para hacer clic en ellos. Con una cuota del 10%, el 4º lugar de los sitios de subastas y de compras les hizo perder por poco un lugar en el podio. Esta categoría incluye, por ejemplo, sitios de phishing dirigidos a los clientes de eBay. Si los encargados de realizar los ataques de phishing se apoderan de estos datos, pueden cambiar la información bancaria de las cuentas para objetos vendidos a sus propios datos bancarios para, de esta manera, recibir cualquier pago. Esto resulta especialmente desastroso para los suministradores comerciales que, a menudo, venden cientos de artículos al mismo tiempo. Copyright © 2011 G Data Software AG 15 G Data Malware Report 2/2011 Banca online La banca online es un servicio utilizado por un número cada vez más importante de personas. A medida que aumenta su popularidad y la aceptación masiva por parte de los usuarios, los ciberdelincuentes se sienten atraídos por la posibilidad de explotar sus vulnerabilidades y obtener beneficios económicos con sus acciones. De la misma manera que aumenta el número de usuarios, también lo hace la “intensidad de la actividad delictiva y el ciberdelito y, también, el grado de riesgo de los usuarios de Internet”19, tal y como afirmó la policía alemana (Federal Criminal Police Office, BKA) en su Informe Anual de 2010. Aunque la introducción del proceso iTAN en banca online condujo inicialmente a menos casos reportados a la policía (1.779 casos en Alemania en 2008), esta cifra ha aumentado paulatinamente desde entonces (5.331 casos en 2010). Sin embargo, se piensa que el número real es mucho mayor y la BKA estima que “sólo se informa de, aproximadamente, un 40% de los casos”20. Así y todo, sólo los casos informados acumularon una estafa global cifrada en más de 21,2 millones de euros en 2010 en Alemania (a una media de 4.000 € por caso) frente a los 11,7 millones de 2009.21 Gráfico 7: Número de cuentas bancarias online en Alemania (en millones) (Fuente: Asociación Federal de Bancos Alemanes) En el pasado, los ataques de phishing bastaban para obtener los datos de acceso de los usuarios, utilizando para ello correos electrónicos y falsos aunque sofisticados websites que imitaban a los de las instituciones financieras. Después de la introducción de los TAN como capa adicional de seguridad en banca online, los estafadores tuvieron que diseñar sus ataques para obtener también dichos TAN, empleando para ello nuevas fórmulas de phishing o incluso nuevos medios técnicos –era el principio de la técnica conocida como the man in the middle-. Cuando los bancos comenzaron a utilizar una nueva capa de seguridad – cifrado SSL del tráfico de datos – los ladrones de datos tuvieron que ponerse al día una vez más. El malware cada vez más sofisticado es ahora la herramienta preferida e indispensable. Los nuevos ataques usan troyanos diseñados especialmente para banca que permiten la manipulación de comunicaciones cifradas entrantes y salientes de los sitios web. En los casos más sencillos, el troyano muestra una ventana de información de aspecto auténtico que solicita la lista TAN completa del usuario del servicio bancario online. Pero también existen mecanismos más refinados que pueden funcionar sin que el usuario pueda detectarlos. Unos estudios recientes han mostrado que la siguiente línea de ataque para los delincuentes va a centrarse en los teléfonos móviles, ya que los bancos los están utilizando cada vez más para realizar operaciones con TAN móviles (mTAN). El malware Android.Trojan.Spitmo.A es el primero que acata activamente dispositivos móviles Android para interceptar mTAN. También se han observado 19 http://www.bka.de/nn_224082/SharedDocs/Downloads/DE/Publikationen/JahresberichteUndLagebilder/Cybercrime/cybercrime2010,t emplateId=raw,property=publicationFile.pdf/cybercrime2010.pdf 20 dito 21 dito Copyright © 2011 G Data Software AG 16 G Data Malware Report 2/2011 ataques similares en teléfonos móviles con sistema operativo Symbian, afectados por el malware ZitMo (una abreviatura de ZeuS in the Mobile). Los troyanos bancarios continúan basándose en el mismo modelo de negocio. Conviven relativamente pocas familias que además de der utilizadas para estas actividades delictivas se venden a otros delincuentes (malware como un servicio). Muchos troyanos para el sector bancario también utilizan métodos especiales para evitar ser detectados por los programas antivirus. Normalmente, los usuarios adquieren software de cifrado especial y adicional para archivos binarios (crypters) para cambiarlos. Los proveedores de software antivirus se ven, por lo tanto, forzados a publicar frecuentemente actualizaciones de firmas de virus. Se ha indicado recientemente que la vida útil media de los archivos binarios de este tipo es de tan solo 27 horas y raramente superan las 72 horas22. Como los proveedores de software antivirus raramente ofrecen actualizaciones de firmas en este escaso período de tiempo23, los troyanos bancarios representan un grave riesgo para los usuarios de Internet. 100% 50% 1 día 2 días Gráfico 8: ciclo de vida de los troyanos en el sector bancario 3 días Como muchos otros programas de malware, los troyanos bancarios se aprovechan de las vulnerabilidades y brechas de seguridad. Los puntos débiles en los sistemas informáticos de los usuarios se identifican y se utilizan para descargar e instalar malware en el ordenador de la víctima (drive-by-download) sin conocimiento del usuario. En cuanto a los ciberdelincuentes, ya no necesitan estar perfectamente informados de las últimas vulnerabilidades y tampoco necesitan grandes conocimientos técnicos. Ahora sólo tienen que acudir a los mercados negros de Internet y comprar alguno de los kits que allí se oferten y que se venden listos para usarse. Existe una cadena perfectamente engrasada y el que descubre la vulnerabilidad y diseña el malware no tiene por qué ser necesariamente el autor del ciberataque. 22 Ver Gráfico 8 Buescher, Armin / Leder, Felix / Siebert, Thomas: Banksafe. Information Stealer Detection Inside the Web Browser. RAID 2011, Springer Lecture Notes in Computer Science (Vol. 6961) / Septiembre de 2011 Copyright © 2011 G Data Software AG 17 23 G Data Malware Report 2/2011 Gráfico 9: cuota de familias de troyanos detectadas por G Data BankGuard durante el segundo semestre de 2011 Desde finales de 2010 y durante 2011, uno de las evoluciones más llamativas ha sido la del troyano bancario más popular: ZeuS. A finales de 2010, su creador anunció que abandonaba el mercado y dejó de vender el troyano que popularizó la incorporación de código malicioso en la web. Al mismo tiempo, se supo que el código fuente había sido proporcionado al creador de SpyEye. Desde entonces, algunas funciones de ZeuS se han integrado en SpyEye, y SpyEye se está comercializando como un sucesor legítimo de ZeuS. El número de detecciones de ZeuS y de SpyEye por G Data en 2011 confirma esta evolución. A principios de 2011, un desconocido ofreció el código fuente de ZeuS para su venta en un foro del mercado negro a un precio de USD 100.000. En mayo de 2011, el código fuente fue finalmente publicado a través de canales desconocidos. Esta fue la primera vez que se publicó el código fuente de un troyano para el sector bancario. A lo largo del año – tras la publicación del código fuente – aparecieron las primeras variantes de ZeuS (como, por ejemplo, LICAT e IceIX), lo que produjo como resultado un aumento repentino en el número de detecciones de ZeuS, en especial durante el cuarto trimestre de 2011. Asimismo, se esperan nuevas variantes de ZeuS en 2012. El troyano más veces detectados en 2011 fue Sinowal, que se caracteriza por los cambios frecuentes de los mecanismos de infección y de los rootkits que utiliza. En el pasado, utilizó el rootkit para MBR Mebroot, pero actualmente hay veces lo sustituye por el rootkit para MBR TDSS y, a veces, por un componente de rootkit autoelaborado. En el último trimestre de 2011, se observó un increíble aumento en el número de detecciones del troyano para el sector bancario Carberp. El éxito renovado de este troyano parece que se debió a la integración de un rootkit en una versión más actualizada. Gozi, Silentbanker y Bebloh no han tenido un papel destacado, aunque Bebloh destaca frecuentemente por sus estrategias particularmente sofisticadas como, por ejemplo, los llamados ataques de vuelta. En este tipo de ataques, los sitios de banca online manipulados por el troyano comunican al cliente que su cuenta ha recibido una transferencia bancaria equivocada y solicita una devolución de la transferencia. El saldo de la cuenta muestra una cantidad de dinero adicional. Si el cliente transfiere la cantidad a la cuenta especificada por el delincuente, perderá el dinero, porque la cantidad adicional mostrada nunca ha existido. Lo que resulta asombroso de este ataque es que funciona independientemente del mecanismo de autenticación utilizado, ya sea un iTAN, un Copyright © 2011 G Data Software AG 18 G Data Malware Report 2/2011 chipTAN o mobileTAN. Los usuarios confiados realizan ellos mismos la transferencia, por lo que los atacantes evitan la manipulación de los procesos de autenticación. Malware móvil El aumento de malware móvil para el SO Android no deja de crecer a medida que se incrementa su popularidad. En diciembre de 2010 se activaron unos 300.000 dispositivos Android al día y en junio de 2011 la cifra rondaba el medio millón… aunque no se quedó ahí. En diciembre del año pasado el número de activaciones diarias era de aproximadamente de 700.000, una cifra que no dejó de crecer hasta alcanzar el pico de 3,7 millones de activaciones durante los días 24 y 25 de diciembre del año pasado, según un mensaje de Andy Rubin, cofundador y Captura de pantalla 2: mensajes de Andy Rubin en Twitter sobre las jefe de desarrollo en Android activaciones de dispositivos Android, a finales de 2011 (fuente: http://twitter.com/ARUBIN) Inc., en Twitter24. Este desarrollo, además del número de aplicaciones disponibles en el Android Market, sitios web y otros proveedores, hace que los dispositivos móviles sean objetivos más apetecibles para los creadores de malware. En diciembre de 2011, Google anunció que Android Market había superado el hito de 10.000 millones de descargas25. Los creadores de malware para Android aún tienen muy pocas barreras organizativas que derribar. Todo lo que tienen que hacer para desarrollar aplicaciones para los mercados oficiales es abonar 25$ para contar con una cuenta de desarrollador de Google, una cantidad de dinero ridícula para cualquier delincuente. Si Google elimina una cuenta de desarrollador, los autores de malware sólo necesitan abrir otra nueva para mantener sus actividades delictivas y seguir propagando malware. Sin embargo, es más fácil publicar malware móvil en sitios o mercados de terceras partes. Incluso si el código malicioso se descubre y se elimina del Android Market oficial, continuará fácilmente disponible en estos otros canales de distribución para aplicaciones.. Hay 1.998 nuevos programas de malware para las plataformas móviles26. No se está produciendo tanto una excesiva creación de nuevo malware, como el desarrollo de numerosas y sencillas variantes de las amenazas móviles existentes. Por ejemplo, hay programas que ofrecen fondos de pantalla o una forma fácil para utilizar servicios como el acceso a vídeo “a la carta”. El número de puertas traseras para móviles ha crecido en el segundo semestre de 2011 un 285% respecto a los seis primeros meses del año. 24 http://twitter.com/ARUBIN http://googleblog.blogspot.com/2011/12/10-billion-android-market-downloads-and.html 26 Ver tabla 2 Copyright © 2011 G Data Software AG 25 19 G Data Malware Report 2/2011 El troyano Android.Trojan.FakeNetflix.A, o Fake NetFlix en forma abreviada, es un malware sencillo que consulta los datos de acceso de NetFlix27. Este troyano transfiere los datos recopilados a un servidor específico. Cuando el usuario intenta acceder, aparece un mensaje de incompatibilidad para garantizar que el usuario no sospeche de ninguna actividad indeseada. La principal forma de propagación del malware de Android es aún copiando, manipulando y volviendo a publicar aplicaciones ya conocidas y originalmente inocuas. Estas nuevas versiones con troyano son más frecuentes en mercados de terceros, pero muchas de ellas también se han encontrado disponibles en el Android Market oficial. Un ejemplo de esto último lo constituye el malware Android.Backdoor.LeNa.A, o LeNa en su forma abreviada (Legacy Native). LeNa es una puerta trasera que se copia a sí misma en los directorios del sistema para que se inicie cuando se arranque el sistema. Si esto funciona, LeNa se conecta a un servidor externo aproximadamente cada hora y transfiere datos que identifican el dispositivo de forma Captura de pantalla 3: imagen de una aplicación que infecta dispositivos móviles Android.Backdoor.LeNa.A exclusiva. Gracias a su estructura dinámica, una puerta trasera como LeNa puede cargar software adicional sin ninguna acción del usuario, ofreciéndolo para su instalación, proporcionando así un mecanismo de ataque en los smartphones Android. Sin embargo, para que se active la puerta trasera, necesita unas autorizaciones apropiadas28, que precisan que los dispositivos móviles se encuentren desbloqueados para admitir cambios. Si ese no es el caso, LeNa ofrece al usuario unos enlaces a instrucciones y herramientas que explican al usuario cómo autorizar los cambios en el dispositivo. Esto demuestra una vez más que no es recomendable rootear totalmente un dispositivo móvil para autorizar cualquier cambio. Un análisis de las funcionalidades del malware detectado en la segunda mitad del año muestra que dominó aquel que estaba diseñado para apoderarse de datos y para enviar mensajes de texto con tarifas premium. El avance en ese terreno ha sido impresionante, puesto que los datos pueden ahora ser interceptados a los pocos segundos y la aplicación, en el caso de los troyanos Android.Trojan.GoneSixty.A o Fake NetFlix, pueden iniciar un proceso de autoeliminación para borrar cualquier rastro del ataque con el objetivo que, de esta forma, el usuario no observe ningún cambio ni pueda ver alguna aplicación desconocida que le haga sospechar sobre el ataque llevado a cabo. 27 NetFlix es una compañía de EE.UU. que alquila DVD y Blu-ray por correo en determinados países, además de ofrecer vídeo a la carta. Ver captura de pantalla 3, a la derecha de la página Copyright © 2011 G Data Software AG 20 28 G Data Malware Report 2/2011 Entre las funciones maliciosas más invasivas se incluyen el registro de smartphones para el uso de servicios de alta tarificación sin el conocimiento del usuario y el desbloqueo de los terminales Android para ofrecer a los creadores de malware el control total de todas las funciones del smartphone. Hasta la versión 2.2 de Android, se utilizó la muy conocida explotación Rage Against the Cage. Desde la versión 2.3 en adelante, el mecanismo favorito de ataque fue GingerBreak, debido al cierre de la vulnerabilidad conocida que explotaba Rage Against the Cage. Una nueva forma de ataque ridiculiza al usuario, tal y como ha ocurrido con el troyano Android.Trojan.Walkinwat.A, o Walkinwat en su forma abreviada, que fue el primero de un tipo de malware que se mofa de los usuarios que han descargado de forma ilegal una aplicación de una página web no autorizada. El malware envía mensajes de texto a todos los contactos de la lista de direcciones de la víctima, diciendo: "Hey, acabo de descargar la versión pirata de la aplicación Walk and Text de Android. Soy estúpido y rastrero porque sólo costaba 1 dólar. ¡No robes como yo he hecho!” Los usuarios que descargaron un juego llamado Dog Wars también fueron tratados como malvados. En este juego, los jugadores entrenan un perro de lucha virtual para competir en peleas de perros virtuales con otros jugadores. Sin embargo, la aplicación envía un mensaje de texto a todos los contactos en el dispositivo, afirmando: “Me encanta hacer daño a los animales pequeños y pensé que te gustaría saberlo". Aunque una amplia mayoría de las cepas de malware solían estar ceñidas a la región de Asia, noviembre de 2011 marcó la fecha en la que apareció el primer troyano que vinculaba Captura de pantalla 4: la aplicación DogWars, que números de teléfono a servicios de tarificación infecta a dispositivos móviles con elevada en los diferentes países, pudiéndose Android.Trojan.DogoWar.A ejecutar la estafa en Francia, Bélgica, Suiza, Luxemburgo, Alemania, España e Inglaterra. El Android.Trojan.SuiConFo.A (SuiConFo abreviado), simulaba ser para la gestión de costes. Una vez instalada por el usuario aparecía un mensaje de error advirtiendo de una aparente incompatibilidad entre la aplicación y el dispositivo, de forma parecida a lo que ocurrió con el troyano Fake NetFlix. Nada más parecía ocurrir pero, sin embargo, en un segundo plano SuiConFo envía varios mensajes de texto a servicios de alta tarificación. Si se envía una confirmación SMS al smartphone, el troyano se encarga de interceptarla para que el usuario no sea consciente de las consecuencias del ataque hasta que reciba la factura. Los troyanos encargados de automatizar el envío de SMS a servicios de tarificación especial constituyen uno de los mecanismos más cómodos y sencillos para obtener beneficios económicos de forma rápida. Esta variante de malware se ha propagado ahora por todo el mundo. Los proveedores de malware crean listas especiales para los diferentes países objetivo, con del fin de usar los números de alta tarificación correctos en cada territorio para, de esta manera, lograr éxito sus ataques. Copyright © 2011 G Data Software AG 21 G Data Malware Report 2/2011 Y a finales del año pasado, los creadores de malware ampliaron sus intenciones y objetivos. Ya usado con frecuencia en 2011, el término "hacktivismo", que se refiere – entre otras cosas – al activismo político mediante el empleo de ciberataques- se amplió al campo del malware móvil. El troyano Android.Trojan.Arspam.A, que se descubrió por vez primera el 19 de diciembre, propaga contenidos con motivación política. Cuando el usuario instala el troyano - que precisa autorización para acceder a todos los datos y Captura de pantalla 5: imagen de una aplicación estadísticas, además de enviar mensajes de texto- que infecta a dispositivos móviles con Android.Trojan.Walkinwat.A el smartphone se ve infectado con el troyano Arspam, y envía luego mensajes de texto a todos los contactos en la libreta de dirección sin conocimiento del usuario. Asimismo, la versión del troyano descubierto también instala un servicio que envía un enlace seleccionado aleatoriamente de uno de los artículos de 18 foros sobre Oriente Medio a todos los contactos en la libreta de direcciones del smartphone infectado. Si el smartphone se encuentra en Bahréin, también intenta instalar un archivo PDF que contiene una serie adicional de mensajes de contenido político. La capacidad de adaptación del malware ya causó un gran revuelo a finales de 2011 y ofrece un panorama negativo para 2012. Los ataques ya no se limitan a Asia, sino que se propagan por todo el mundo con solo unos pequeños ajustes. Bastan por ejemplo unas sencillas combinaciones de nombres de países y los respectivos números de tarificación especial para asegurar que el malware pueda ser utilizado fuera del país en donde se haya desarrollado, lo que incrementa el daño financiero a las víctimas, además de los beneficios potenciales a los delincuentes. El objetivo de los delincuentes digitales continuará desplazándose hacia los dispositivos móviles en 2012, porque la proporción entre la cantidad de trabajo necesario y los beneficios obtenidos aún resulta muy ventajosa. Siempre que las aplicaciones no se comprueben minuciosamente antes de ponerse a disposición de los usuarios en el Android Market oficial, se tardará algo de tiempo Screenshot 6: App that spreads the antes de advertir y eliminar el malware. Para entonces, sin embargo, los dispositivos móviles ya han podido ser infectados. El Trojan Android.Trojan.Arspam.A incremento de las ventas de dispositivos Android también hace más atractivo el Android Market para los delincuentes. Como el uso de smartphones está aún lejos de agotarse, las nuevas tecnologías siempre ofrecerán nuevos objetivos. Un ejemplo en el futuro inmediato será el pago con NFC (implementado en la versión 2.3 de Android y en versiones superiores). Los ataques automáticos crearán más problemas ya existen los estudios de viabilidad correspondientes- y es sólo cuestión de tiempo que los usuarios Copyright © 2011 G Data Software AG 22 G Data Malware Report 2/2011 sufran ataques en los que no tengan que participar activamente. Y cuando llegue el momento para este tipo de ataques, nos veremos obligados a hacer frente a una amenaza totalmente nueva. Copyright © 2011 G Data Software AG 23