08 G DATA Malware Report H2

Transcripción

G Data
Informe de malware
Informe bianual
Julio – diciembre de 2011
G Data SecurityLabs
Go safe. Go safer. G Data.
G Data Malware Report 2/2011
Contenido
Aspectos generales .............................................................................................................................. 2
Malware: cifras y datos ........................................................................................................................ 3
Cifras millonarias de malware................................................................................................................................... 3
Categorías de malware ............................................................................................................................................... 3
Familias de malware .................................................................................................................................................... 4
Plataformas: Windows, principal objetivo; y plataformas móviles en la diana....................................... 7
Monitorización de riesgos ................................................................................................................... 9
Análisis de sitios web ......................................................................................................................... 11
Clasificación por asunto .......................................................................................................................................... 13
Clasificación por emplazamiento del servidor ................................................................................................ 15
Phishing ........................................................................................................................................................................ 16
Banca online ...................................................................................................................................... 17
Malware móvil .................................................................................................................................... 19
Copyright © 2011 G Data Software AG
1
Aspectos generales
•
•
•
•
•
•
En 2011 se observaron más de 2,57 millones de cepas de malware, un incremento del 23%
respecto al año anterior.
Se registró una disminución en el número de nuevos rootkits, mientras que los programas
espía y adware aumentaron en gran medida.
La cantidad de nuevo malware para dispositivos móviles creció por encima del 1.000% en
tan solo un año.
El malware para Android se está ahora expandiendo por todo el mundo y se ha convertido
en una amenaza mundial gracias a las diferentes localizaciones.
Los ataques de phishing se dirigieron (y aún se centran) en los beneficios económicos que
pueden ofrecer. Cerca de un 60% de los sitios web de phishing fueron diseñados para
simular los sitios genuinos de diferentes instituciones financieras.
Torpig, SpyEye y ZeuS fueron los troyanos más activos en el sector bancario.
Hitos
•
•
Aparición de la herramienta espía DuQu. Su objetivo es recopilar la mayor cantidad posible
de datos y preparar ataques como los del malware Stuxnet.
Los grupos de hacktivistas como Anonymous han protagonizado ciberataques dirigidos
contra compañías, organizaciones y personas específicas.
Panorama para la primera mitad de 20121
•
•
•
•
El malware para Android aumentará y se hará técnicamente más avanzado.
Se realizarán más ataques dirigidos a objetivos específicos.
Los ciberelincuentes se centrarán en eventos importantes como, por ejemplo, la Eurocopa
de fútbol.
Los troyanos es especializan en el sector bancario y se incrementará su actividad como
herramienta para estafar a los usuarios de los servicios de banca online.
1
Para más información, consulte el informe sobre "Tendencias para 2012" de G Data
2
Malware: datos y cifras
Cifras millonarias de malware
En el periodo de julio a diciembre de 2011, G Data Security Labs registró una media de 7.229 nuevas
cepas de malware al día, hasta alcanzar un total de 1.330.146 tipos diferentes de amenazas, un 6,8%
más que en los seis primeros meses del año. Respecto a 2010, la cantidad de nuevas cepas de
malware aumentó en un 23,1% en 2011.
Gráfico 1: Número de nuevos programas de malware al año, desde 2006
Categorías de malware
Los programas de malware se pueden agrupar en categorías según sus actividades. El gráfico 2
muestra las categorías más importantes y su evolución durante los últimos cuatro semestres. La
categoría de spyware experimentó el mayor incremento, ya que la cantidad de este tipo de
malware ha aumentado un 52% en los últimos seis meses, registrando un incremento del 20%
durante los dos últimos años. En este mismo período, los troyanos también aumentaron un 40%,
aunque esta tendencia ha perdido cierta fuerza en el último semestre, retrocediendo al 6%. La tasa
de software diseñado para mostrar anuncios no autorizados (adware) ha aumentado
sistemáticamente a lo largo de los últimos años. Durante la segunda mitad de 2011, este tipo de
malware aumentó un 18,5% y, en el período de 2010 a 2011, creció un asombroso 25,4%2. Sin
embargo, se ha observado una disminución en el número de rootkits - unas herramientas
utilizadas para ocultar el malware como, por ejemplo, puertas traseras (backdoors) o programas
espía, de forma que las herramientas del sistema y el software antivirus no puedan encontrarlos.
Estos malware disminuyeron un 10% en la última mitad de año. En el período 2010 - 2011, esta
cantidad disminuyó hasta un 43%. Aunque se observaron menos nuevas variantes de rootkits, aún
2
Para más información sobre ataques de adware interceptados, consulte el capítulo sobre Monitorización de Riesgos
3
forman una parte importante de la estrategia de autodefensa de los programas de malware. El
número de descargadores (downloaders) también ha disminuido. A lo largo de los últimos seis
meses, incluso ha retrocedido un 18% (9% a lo largo de los últimos dos años). Asimismo, se estima
que la cantidad decreciente de nuevas instancias de malware de explotación incrementará de
forma efectiva la protección del software. Lo ideal es cerrar los vacíos existentes rápidamente,
evitarlos durante la programación o eliminarlos en el proceso de garantía de calidad antes de la
comercialización del producto. Por esta razón, cada vez se ofrecen menos oportunidades para los
ataques. Asimismo, los atacantes sólo necesitan una única vulnerabilidad para dañar un ordenador.
En CVE-2010-08403 se describe una vulnerabilidad que aún es muy popular y que todavía se utiliza
para los ataques.
Gráfico 2: Número de nuevos programas de malware por categoría en los últimos semestres
Familias de malware
El malware se agrupa en familias basándose en sus propiedades y en sus actividades. En 2011, el
malware podía agruparse en un total de 3.569 familias diferentes, un 7,7% más que en años
anteriores. Algunas familias son muy productivas y producen nuevas variantes constantemente – a
3
Ver el capítulo sobre Monitorización de Riesgos
4
lo largo de 2011 se observaron casi 2,6 millones4. La tabla que se muestra a continuación describe
las 10 familias más productivas de malware para las que se crearon nuevas firmas de virus.
Clasificación Familia
1
2
3
4
5
6
7
8
Categoría
Cuota
Dif. frente a
primer semestre
de 2011
Troyano
8,5%
±0
Genome
Los troyanos de la familia Genome se han mantenido en el primer puesto, muy por delante del resto, e
incluyen funciones como descargadores, registradores de teclado y cifrado de archivos.
3,7%
+1
Troyano
VBKrypt
VBKrypt es una herramienta utilizada para ocultar archivos maliciosos. Las rutinas de camuflaje se han
escrito en Visual Basic y los contenidos de los archivos ocultos son muy diversos y oscilan desde
descargadores y puertas traseras a spyware y gusanos. Esta familia ha perdido 0,9% de su cuota en
comparación con el último semestre pero, así y todo, ha subido una posición.
3,5%
+14
Troyano
Diple
Durante la segunda mitad de 2011, las variantes de la familia Diple aumentaron su cuota un 2,4%. Las
variantes de Diple permiten controlar el ordenador de forma remota y contactar con los servidores de
control. De esta forma, es posible cargar otro malware posteriormente, incluyendo spyware y falsos
antivirus
2,7%
+5
Troyano
Menti
El troyano Menti se incorpora a un sistema atacado y realiza contactos habituales con un servidor. De esta
forma, el ordenador se convierte en parte de un botnet. Con un incremento del 1,2%, Menti ha subido 5
posiciones.
Spyware
2,4%
+2
OnLineGames
Los miembros de la familia OnLineGames se encargan principalmente de robar datos de acceso a juegos.
Para lograr este fin, realizan búsquedas en varios archivos y en entradas de registros y/o se instalan
programas para transmitir las teclas pulsadas. En este último caso, no sólo se roban los datos de los juegos,
sino también otro tipo de información confidencial. La mayoría de los ataques se centran en juegos
populares en Asia. Durante los últimos seis meses, su cuota ha aumentado un 0,7%, haciendo que esta
familia suba dos puestos en la clasificación.
2,0%
±0
Troyano
Buzus
Los troyanos de la familia Buzus exploran los sistemas infectados de sus víctimas buscando datos
personales (tarjetas de crédito, banca online, accesos de correo electrónico y FTP), para transferir
posteriormente dicha información al atacante. El malware también intenta disminuir la configuración de
seguridad del equipo para facilitar aún más los ataques en el equipo de la víctima.
2,0%
-5
Troyano
FakeAV
Ese troyano pretende ser un software antivirus u otro programa relacionado con la seguridad. Simula el
descubrimiento de múltiples riesgos a la seguridad o infecciones maliciosas en el sistema del usuario, e
intenta engañarle para que pague por un software que limpie el PC. La cuota de las nuevas variantes de
esta familia ha descendido un 3,3% y, como resultado de ello, ha pasado desde la 2ª posición al 7º puesto
de la clasificación.
1,8%
+19
Troyano
Llac
El troyano Llac permite acceso remoto no autorizado a un ordenador y facilita la ejecución de cualquier
software para, por ejemplo, apoderarse de datos o enviar spam. El número de variantes ha aumentado un
1.0%, lo que ha hecho que esta familia suba 20 lugares en la clasificación.
4
Ver Grafico 1
5
9
Descargador
1,7%
+17
Adload
Las variantes de la familia Adload carga archivos desde un servidor externo (por ejemplo,
dollarrevenue.com) y los ejecuta posteriormente. Como los archivos maliciosos se almacenan en un
servidor externo, sus funciones maliciosas pueden variar. La mayoría de ellos son adware o spyware. La
cantidad de variantes de Adload ha aumentado un 0,9%, haciendo que pueda alcanzar un puesto en las 10
primeras posiciones.
Puerta trasera
1,6%
+67
Shiz
Las variantes de Shiz han hecho su debut en las 10 primeras posiciones. Se inyectan en el proceso del
sistema services.exe para que se ejecute en el contexto de los servicios del sistema, haciéndolo casi
imposible de detectar con las herramientas estándar habituales. Además de esto, abren una puerta trasera
en el PC que puede ser utilizada para cargar spyware y otro malware.
Tabla 1: las 10 familias de malware más productivas en la segunda mitad de 2011
10
6
Plataformas:
Windows, principal objetivo; y plataformas móviles en la diana
Salvo algunas excepciones, el malware se elabora para plataformas específicas. Durante años, la
mayoría del malware se ha elaborado para Windows, y esta tendencia no ha cambiado en el
semestre que ahora analizamos. Dos plataformas de la tabla 2 han sido diseñadas para sistemas
operativos Windows: Win incluye código malicioso que funciona con las variantes de 32-bit y de 64bit de Windows. Por su parte, MSIL es el nivel intermedio para el código malicioso .NET que, en
principio, no sólo funciona en sistemas Windows, sino también en otras plataformas. Sin embargo,
en la práctica este potencial raramente se explota. Si se combinan estos dos grupos, obtenemos una
cuota del 99,6% para Windows, lo que significa un aumento del 0,1% desde la primera mitad de
2011. Con un 0,2%, WebScripts constituye la cuota más alta del 0,4% restante, aunque la cantidad
de este malware ha disminuido un 23,1%. WebScripts forma la base para el suministro de código
malicioso a través de sitios web. La menor productividad no es, sin embargo, indicación de una
disminución en el uso de código malicioso en los sitios web.
El malware para smartphones (Móvil) ha avanzado una posición. En especial, el número de cepas de
malware para dispositivos de Android ha aumentado más de ocho veces, mientras que el malware
para otras plataformas como J2ME, SymbianOS y WinCE, se ha convertido en algo menos habitual.
En general, el número de cepas de malware para dispositivos móviles ha aumentado 2,5 veces. Si lo
comparamos con las cifras de 2010, el nuevo malware para plataformas móviles se ha incrementado
hasta diez veces de forma interanual (+949%).
Otras plataformas como las versiones de Unix (Linux, BSD etc.), Java y el malware elaborado en
lenguajes de scripting se han convertido en fenómenos menos habituales en la última mitad del
año. Los valores particulares para cada plataforma aparecen en la tabla 2.
Segundo
semestre
Plataforma de 2011
1
Win
1.305.755
2
MSIL
18.948
3 WebScripts
2.402
4
Mobile
1.998
5
Scripts5
626
6
Java
244
7
*ix6
34
7
8
NSIS
62
Cuota
98,2%
1,4%
0,2%
0,2%
<0,1%
<0,1%
<0,1%
<0,1%
Diferencia
entre
segundo
semestre y
Primer
primer
semestre
semestre
de 2011 Cuota
de 2011
1.218.138 97,8%
+7,2%
21.736
1,7%
-12,8%
3.123
0,3%
-23,1%
803
0,1%
+148,8%
832
0,1%
-24,8%
313
<0,1%
-22,0%
233
<0,1%
-85,4%
131
<0,1%
-52,7%
Tabla 2: Principales 8 plataformas en los dos últimos semestres
5
"Scripts" son scripts o programas en lotes o en shell elaborados en lenguajes de scripting VBS, Perl, Python o Ruby.
*ix es el acrónimo de todos los derivados de Unix - . Linux, FreeBSD, Solaris etc.
7
NSIS es la plataforma de instalación utilizada para instalar el reproductor de medios Winamp, etc.
6
7
Monitorización de riesgos
La cantidad de nuevos programas de malware no fue lo único que alcanzó unas cifras récord en
2011, porque también la cantidad de ataques frustrados por las soluciones de seguridad de G Data
registró un aumento mes a mes. La clasificación de los ataques contra usuarios de ordenadores con
MII8 activado muestra la siguiente distribución en el segundo semestre del año:
Clasificación Nombre
Porcentaje
1
Exploit.CplLnk.Gen
1,08%
2
Trojan.Wimad.Gen.1
0,91%
3
Java.Exploit.CVE-2010-0840.E
0,90%
4
Worm.Autorun.VHG
0,87%
5
Trojan.AutorunINF.Gen
0,82%
6
Generic.Adware.Adseo.7722145B
0,69%
7
Gen:Variant.Adware.Hotbar.1
0,54%
8
Java.Trojan.Downloader.OpenConnection.AI
0,46%
9
Java.Trojan.Exploit.Bytverify.Q
0,36%
10
Adware.Agent.NGZ
0,35%
Tabla 3: Principales 10 malware en el segundo semestre de 2011
Exploit.CplLnk.Gen es una exploit que ya se utilizó en combinación con Stuxnet9 y que aún es muy
utilizado por los ciberdelincuentes. Como este ataque funciona en cualquier versión del sistema
operativo Windows y no se centra en un software en particular, sino en el mismo sistema operativo,
el número potencial de víctimas es naturalmente mayor y, por lo tanto, muy provechosos para los
atacantes. Esto explica que no sorprenda ver que se sitúe como el ataque más repetido en las
clasificaciones semestrales.
El malware que intenta aprovechar la función “Autoplay” en PCs con Windows ha aparecido en los
puestos 4º y 5º de las clasificaciones semestrales. En su sitio web, Microsoft afirma que "el principal
objetivo de Autoplay es ofrecer una respuesta de software a las acciones del hardware iniciadas por
el usuario en la máquina"10. Un uso generalizado de esta función se encuentra, por ejemplo, cuando
se inserta una memoria USB en un ordenador para que el pendrive se cargue inmediatamente,
ejecutando de forma automática cualquier rutina de programa almacenada en dicho dispositivo.
Para evitar que un código malicioso explote esta capacidad de ejecución automática, esta función
debería encontrarse deshabilitada por defecto en el sistema operativo.
También es destacable que encontremos adware en tres de los diez primeros lugares de la
clasificación. Podemos observar importantes fluctuaciones en la cuota de ataques de adware
claramente identificables en la segunda mitad de año11. Sin embargo, y a pesar de todo, estas
8
El Malware Information Initiative (MII) se basa en el poder de la comunidad online y en cualquier cliente que adquiera soluciones de
seguridad de G Data para participar en esta iniciativa. El requisito previo es que los clientes deben activar esta función en su solución de
seguridad de G Data. Si se hace frente a un malware informático, se envía a G Data Security Labs. G Data Security Labs un informe
completamente anónimo sobre este evento, para recopilar y valorar estadísticamente los datos sobre el malware.
9
http://blog.gdatasoftware.com/blog/article/the-microsoft-lnk-usb-worm-rootkit-issue-could-kill-win-xp-sp2-and-win2000-earlier.html
10
http://support.microsoft.com/kb/967715/en
11
Ver figura 3
8
amenazas ocupan tres de los primeros diez lugares, ya que una gran cantidad de ataques se
registraron en agosto, septiembre y octubre en particular. En contraste a esto, el número de adware
recién creado aumentó continuamente durante la segunda mitad de 201112. Todo esto indica que el
modelo de negocio de los ciberdelincuentes es aún rentable y lucrativo.
Gráfico 3: cuota de programas potencialmente indeseados (PUP) y su cuota de adware detectados por el Malware
Information Initiative
Un ataque sobre una vulnerabilidad en particular ha aparecido durante mucho tiempo entre los
ataques detectados con mayor frecuencia: el CVE-2010-0840 es aún una vulnerabilidad que se
ataca muy a menudo. En este período de seis meses, hay dos malware relacionados con esta
amenaza: el Java.Exploit.CVE-2010-0840.E y el Java.Trojan.Downloader.OpenConnection.AI.
Los atacantes aún utilizan la vulnerabilidad descrita en CVE-2010-084013 porque muchos usuarios
de ordenadores muestran cierto descuido a la hora de actualizar sus equipos, por lo que este ataque
sigue causando grandes daños. Muchos usuarios no se preocupan de actualizar los equipos o no
conocen los requisitos específicos de ciertas actualizaciones de programas14. Oracle ya ha cerrado en
marzo de 2010 esta vulnerabilidad anteriormente mencionada en Java.
12
Ver figura 2
http://blog.gdatasoftware.com/blog/article/various-money-related-spams-serve-as-versatile-attack-vector-to-spread-zeus.html
14
http://blog.gdatasoftware.com/blog/article/the-top-10-threats-in-june-2011.html
9
13
Análisis de sitios web
Internet es la principal puerta de acceso para los fraudes mediante malware y phishing. Al mismo
tiempo, ese medio está incrementando su importancia para la sociedad en general. No solo se
utiliza para acceder a la información, para participar en juegos, para usar servicios de correo
electrónico o redes sociales o para visitar portales de video o archivos de web, sino también se
utiliza diariamente para hacer negocios o para fines administrativos.
Todo ello justifica un análisis detallado de las áreas que se han convertido en objetivo de los ataques
en el último semestre.
10
Clasificación por asunto
Una clasificación en función del
contenido de los sitios web
infectados15 en el segundo semestre
de 2011 muestra que los dominios
con ciertos asuntos parecen ser más
atractivos que otros y por tanto,
también sufren una mayor cantidad
de ataques. En el registro total no se
distingue entre dominios
establecidos específicamente para
estos ataques y los sitios legítimos
que fueron manipulados.
Los primeros cinco puestos de esta
clasificación del segundo semestre
de 2011 representan más de la
mitad de todos los dominios
clasificados.
En primera posición aparece la
tecnología y la telecomunicación,
que incluye sitios web con
contenidos relacionados con
Internet, tecnologías de la
información y telecomunicaciones.
En tercer lugar aparece la
pornografía, un tema
generalmente de dudosa
reputación. Sin embargo, análisis
anteriores de G Data han mostrado
que no existe necesariamente una
conexión entre los sitios web con
contenido pornográfico y las
infecciones de malware, y que
algunos usuarios de Internet ya han
llegado a reconocer esta
correlación16.
Tecnología y telecomunicación
16.2%
Negocios
11.3%
Pornografía
10.5%
Compras
8.2%
Servicios de
intercambio de
archivos
7.1%
Ocio
5.2%
Salud
44.1%
Blog
3.7%
3
Viajes
3,5%
3
Juegos
3.3%
3
Gráfico 4: Categorización de sitios web maliciosos por asuntos,
segundo semestre de 2011
Basándonos en la experiencia, no resulta sorprendente encontrar sitios web relacionados con
distribución de archivos y redes P2P en unas posiciones tan altas en la clasificación. Una gran
proporción de código malicioso se propaga con la distribución - a menudo ilegal - de archivos
protegidos por derechos de autor. Existe probablemente una razón por la que la categoría de ocio y
15
En este contexto, entre los sitios web malicioso se incluyen los sitios de phising y los de malware
Cf. G Data Security, “¿Cómo perciben los usuarios los peligros de Internet?” (2011)
16
11
entretenimiento, que ocupa la 6ª posición, se encuentre relacionada con la categoría que se
encuentra en 5º puesto porque, después de todo, los usuarios comparten contenidos de portales
de entretenimiento, incluyendo música, películas y conciertos, además de noticias sobre las estrellas
del espectáculo.
La categoría de blogs, en 8ª posición, contiene listas de cualquier tipo. Como este tipo especial de
sitios web tiene una gran parte de contenidos basados en el usuario son más propensos al abuso
por parte de los ciberdelincuentes. Y, de igual forma, las bitácoras privadas no contienen a menudo
la seguridad apropiada o no están actualizadas técnicamente. De esta forma, se permite a los
atacantes incorporar su contenido malicioso de forma visible o invisible para dañar a los visitantes
del blog infectado.
Conclusión
El peligro se camufla en cualquier website y puede afectar a cualquier internauta. Los
ciberdelincuentes no se centran principalmente en determinados sitios web, sino en intentar llegar
a la mayor cantidad posible de visitantes con el menos esfuerzo posible. Todo depende de la
protección del sitio y servidor web. Y no se trata de hacer generalizaciones ya que no podemos
afirmar que un tema en especial sea mucho más propenso a sufrir un ataque que otro. Si por
ejemplo hay una vulnerabilidad en un sistema de gestión de contenidos, en un plug-in o en un
programa, significa que cualquier servidor web con estas características corre un riesgo potencial,
independientemente del contenido del sitio web. Por lo tanto, es posible que luego se produzca un
ataque masivo y la propagación de toolkits maliciosos para explotación de webs, siendo ésta una
consecuencia a menudo desafortunada, tal y como ocurrió con el ataque de Lizamoon 17 o de
TimThumb en 201118. Aparte de esto, un asunto popular con un elevado número potencial de
visitantes resulta, obviamente, un objetivo más atractivo.
17
http://blog.gdatasoftware.com/blog/article/it-never-stays-quiet-on-the-internet-the-lizamoon-attack-the-update-problem.html
http://blog.sucuri.net/2011/08/mass-infection-of-wordpress-sites-counter-wordpress-com.html
12
18
Clasificación por emplazamiento del servidor
También resulta interesante examinar la distribución local de los sitios web maliciosos. El mapa de la
¡Error! No se encuentra el origen de la referencia. muestra la cantidad de sitios web maliciosos
hospedados en los diferentes países.
Esto indica que los países más involucrados son los que ofrecen hospedaje barato, además de una
infraestructura digital avanzada. Por lo tanto, no resulta sorprendente que grandes partes de África
no hospeden ninguno o muy pocos dominios maliciosos en servidores locales. Amplios países como
Rusia compensan sus enormes zonas despobladas con grandes capacidades digitales en áreas
metropolitanas y en grandes ciudades.
Otro aspecto que debemos tener en consideración es que la legislación sobre Internet también varía
entre países. Esto convierte a algunos países en más atractivos a los ciberdelincuentes que otros. Un
delito potencial puede ser tratado como ilegal en un país, aunque podría ser tolerado como legal en
otro.
A menudo se ha afirmado que Internet no debe permitirse como un lugar para realizar actividades
ilegales pero, a fecha de hoy, aún no hay legislación mundial y uniforme vigente. Diferentes
territorios tienen sus áreas de responsabilidad y la colaboración entre países puede ser un proceso
difícil, debido en parte a la dificultad para determinar una "escena del crimen" y la jurisdicción que
rige dicho delito.
Sin embargo, el principal criterio para la selección de la localización de un sitio web es el coste
anteriormente mencionado, ya que los ciberdelincuentes desean naturalmente maximizar sus
beneficios, ya sea con sus actividades de phishing o con la distribución de código malicioso.
Emplazamientos
menos populares de
servidores
Emplazamientos
populares de
servidores
Gráfico 5: Países que hospedan la mayor cantidad de sitios web maliciosos
13
Phishing
Gráfico 6: Websites de phishing en función del contenido
En las bases de datos de G Data Security Labs nos centramos específicamente en los sitios web de
phising y en la información sobre sitios web para su análisis posterior. Esto ofrece como resultado la
siguiente distribución de asuntos en 2011.
Un ejemplo de escenario: los delincuentes reproducen la página de acceso original de un banco,
una red social o de juegos, y utilizan su propio servidor para poner dicha copia online. Las
direcciones URL se eligen a menudo para que casi sea imposible distinguirlas tipográficamente de
las originales. A continuación, los delincuentes interceptan los datos de acceso en cuanto la víctima
los proporciona en una de estas páginas falsas.
Durante la segunda mitad de 2011, las instituciones bancarias y financieras ocuparon la primera
posición, muy por delante de las otras categorías. Más del 60% de todos los sitios web analizados se
encontraban en esta categoría. Las páginas web falsas de acceso de PayPal y del Banco de
Santander fueron utilizadas a menudo como trampas. El objetivo de los delincuentes es apoderarse
de los datos de acceso (nombre y contraseña) y utilizar dicha información para robar dinero y para
cometer otros fraudes.
Con iguales cuotas, las categorías de redes sociales, chats y correo electrónico y juegos ocuparon
el segundo y el tercer puesto. Los datos de acceso de estas dos categorías pueden venderse
fácilmente en el mercado negro. El valor de las cuentas de juegos online como, por ejemplo, World
of Warcraft depende del nivel y del equipo del personaje del juego, pero también se venden piezas
del equipo y monedas virtuales.
14
Captura de pantalla 1: la cuenta más cara de WoW en estos momentos se ofrece a la venta en una plataforma
más o menos legal.
Estas cifras ilustran incluso con más claridad por qué los ciberdelincuentes se centran en los juegos.
Los días en los que todo era diversión, píxeles y monedas de oro virtuales hace tiempo que dejaron
de existir. Ahora, el valor del dinero real no debe ser infravalorado.
Además de vender datos de acceso a redes sociales, los delincuentes también abren las puertas de
canales de distribución valiosos a los mensajes spam y a códigos maliciosos. Para los delincuentes,
la ventaja clara es que es más probable que los usuarios de redes sociales confíen en mensajes
dejados en muros y en mensajes personales de amigos para hacer clic en ellos.
Con una cuota del 10%, el 4º lugar de los sitios de subastas y de compras les hizo perder por poco
un lugar en el podio. Esta categoría incluye, por ejemplo, sitios de phishing dirigidos a los clientes de
eBay. Si los encargados de realizar los ataques de phishing se apoderan de estos datos, pueden
cambiar la información bancaria de las cuentas para objetos vendidos a sus propios datos bancarios
para, de esta manera, recibir cualquier pago. Esto resulta especialmente desastroso para los
suministradores comerciales que, a menudo, venden cientos de artículos al mismo tiempo.
15
Banca online
La banca online es un servicio utilizado por un número cada vez más
importante de personas. A medida que aumenta su popularidad y la
aceptación masiva por parte de los usuarios, los ciberdelincuentes se
sienten atraídos por la posibilidad de explotar sus vulnerabilidades y
obtener beneficios económicos con sus acciones. De la misma manera
que aumenta el número de usuarios, también lo hace la “intensidad de
la actividad delictiva y el ciberdelito y, también, el grado de riesgo de
los usuarios de Internet”19, tal y como afirmó la policía alemana
(Federal Criminal Police Office, BKA) en su Informe Anual de 2010.
Aunque la introducción del proceso iTAN en banca online condujo
inicialmente a menos casos reportados a la policía (1.779 casos en
Alemania en 2008), esta cifra ha aumentado paulatinamente desde
entonces (5.331 casos en 2010). Sin embargo, se piensa que el número
real es mucho mayor y la BKA estima que “sólo se informa de,
aproximadamente, un 40% de los casos”20. Así y todo, sólo los casos
informados acumularon una estafa global cifrada en más de 21,2
millones de euros en 2010 en Alemania (a una media de 4.000 € por
caso) frente a los 11,7 millones de 2009.21
Gráfico 7: Número de
cuentas bancarias online en
Alemania (en millones)
(Fuente: Asociación Federal
de Bancos Alemanes)
En el pasado, los ataques de phishing bastaban para obtener los datos
de acceso de los usuarios, utilizando para ello correos electrónicos y
falsos aunque sofisticados websites que imitaban a los de las instituciones financieras. Después de
la introducción de los TAN como capa adicional de seguridad en banca online, los estafadores
tuvieron que diseñar sus ataques para obtener también dichos TAN, empleando para ello nuevas
fórmulas de phishing o incluso nuevos medios técnicos –era el principio de la técnica conocida
como the man in the middle-. Cuando los bancos comenzaron a utilizar una nueva capa de
seguridad – cifrado SSL del tráfico de datos – los ladrones de datos tuvieron que ponerse al día una
vez más.
El malware cada vez más sofisticado es ahora la herramienta preferida e indispensable. Los nuevos
ataques usan troyanos diseñados especialmente para banca que permiten la manipulación de
comunicaciones cifradas entrantes y salientes de los sitios web. En los casos más sencillos, el
troyano muestra una ventana de información de aspecto auténtico que solicita la lista TAN completa
del usuario del servicio bancario online. Pero también existen mecanismos más refinados que
pueden funcionar sin que el usuario pueda detectarlos.
Unos estudios recientes han mostrado que la siguiente línea de ataque para los delincuentes va a
centrarse en los teléfonos móviles, ya que los bancos los están utilizando cada vez más para realizar
operaciones con TAN móviles (mTAN). El malware Android.Trojan.Spitmo.A es el primero que
acata activamente dispositivos móviles Android para interceptar mTAN. También se han observado
19
http://www.bka.de/nn_224082/SharedDocs/Downloads/DE/Publikationen/JahresberichteUndLagebilder/Cybercrime/cybercrime2010,t
emplateId=raw,property=publicationFile.pdf/cybercrime2010.pdf
20
dito
21
dito
16
ataques similares en teléfonos móviles con sistema operativo Symbian, afectados por el malware
ZitMo (una abreviatura de ZeuS in the Mobile).
Los troyanos bancarios continúan basándose en el mismo modelo de negocio. Conviven
relativamente pocas familias que además de der utilizadas para estas actividades delictivas se
venden a otros delincuentes (malware como un servicio). Muchos troyanos para el sector bancario
también utilizan métodos especiales para evitar ser detectados por los programas antivirus.
Normalmente, los usuarios adquieren software de cifrado especial y adicional para archivos binarios
(crypters) para cambiarlos. Los proveedores de software antivirus se ven, por lo tanto, forzados a
publicar frecuentemente actualizaciones de firmas de virus. Se ha indicado recientemente que la
vida útil media de los archivos binarios de este tipo es de tan solo 27 horas y raramente superan las
72 horas22. Como los proveedores de software antivirus raramente ofrecen actualizaciones de firmas
en este escaso período de tiempo23, los troyanos bancarios representan un grave riesgo para los
usuarios de Internet.
100%
50%
1 día
2 días
Gráfico 8: ciclo de vida de los troyanos en el sector bancario
3 días
Como muchos otros programas de malware, los troyanos bancarios se aprovechan de las
vulnerabilidades y brechas de seguridad. Los puntos débiles en los sistemas informáticos de los
usuarios se identifican y se utilizan para descargar e instalar malware en el ordenador de la víctima
(drive-by-download) sin conocimiento del usuario. En cuanto a los ciberdelincuentes, ya no
necesitan estar perfectamente informados de las últimas vulnerabilidades y tampoco necesitan
grandes conocimientos técnicos. Ahora sólo tienen que acudir a los mercados negros de Internet y
comprar alguno de los kits que allí se oferten y que se venden listos para usarse. Existe una cadena
perfectamente engrasada y el que descubre la vulnerabilidad y diseña el malware no tiene por qué
ser necesariamente el autor del ciberataque.
22
Ver Gráfico 8
Buescher, Armin / Leder, Felix / Siebert, Thomas: Banksafe. Information Stealer Detection Inside the Web Browser. RAID 2011, Springer
Lecture Notes in Computer Science (Vol. 6961) / Septiembre de 2011
17
23
Gráfico 9: cuota de familias de troyanos detectadas por G Data
BankGuard durante el segundo semestre de 2011
Desde finales de 2010 y durante 2011,
uno de las evoluciones más llamativas
ha sido la del troyano bancario más
popular: ZeuS. A finales de 2010, su
creador anunció que abandonaba el
mercado y dejó de vender el troyano
que popularizó la incorporación de
código malicioso en la web. Al mismo
tiempo, se supo que el código fuente
había sido proporcionado al creador
de SpyEye. Desde entonces, algunas
funciones de ZeuS se han integrado
en SpyEye, y SpyEye se está
comercializando como un sucesor
legítimo de ZeuS. El número de
detecciones de ZeuS y de SpyEye por
G Data en 2011 confirma esta
evolución.
A principios de 2011, un desconocido ofreció el código fuente de ZeuS para su venta en un foro del
mercado negro a un precio de USD 100.000. En mayo de 2011, el código fuente fue finalmente
publicado a través de canales desconocidos.
Esta fue la primera vez que se publicó el código fuente de un troyano para el sector bancario. A lo
largo del año – tras la publicación del código fuente – aparecieron las primeras variantes de ZeuS
(como, por ejemplo, LICAT e IceIX), lo que produjo como resultado un aumento repentino en el
número de detecciones de ZeuS, en especial durante el cuarto trimestre de 2011. Asimismo, se
esperan nuevas variantes de ZeuS en 2012.
El troyano más veces detectados en 2011 fue Sinowal, que se caracteriza por los cambios frecuentes
de los mecanismos de infección y de los rootkits que utiliza. En el pasado, utilizó el rootkit para MBR
Mebroot, pero actualmente hay veces lo sustituye por el rootkit para MBR TDSS y, a veces, por un
componente de rootkit autoelaborado.
En el último trimestre de 2011, se observó un increíble aumento en el número de detecciones del
troyano para el sector bancario Carberp. El éxito renovado de este troyano parece que se debió a la
integración de un rootkit en una versión más actualizada.
Gozi, Silentbanker y Bebloh no han tenido un papel destacado, aunque Bebloh destaca
frecuentemente por sus estrategias particularmente sofisticadas como, por ejemplo, los llamados
ataques de vuelta. En este tipo de ataques, los sitios de banca online manipulados por el troyano
comunican al cliente que su cuenta ha recibido una transferencia bancaria equivocada y solicita una
devolución de la transferencia. El saldo de la cuenta muestra una cantidad de dinero adicional. Si el
cliente transfiere la cantidad a la cuenta especificada por el delincuente, perderá el dinero, porque la
cantidad adicional mostrada nunca ha existido. Lo que resulta asombroso de este ataque es que
funciona independientemente del mecanismo de autenticación utilizado, ya sea un iTAN, un
18
chipTAN o mobileTAN. Los usuarios confiados realizan ellos mismos la transferencia, por lo que los
atacantes evitan la manipulación de los procesos de autenticación.
Malware móvil
El aumento de malware móvil para el SO Android no deja de crecer a medida que se incrementa su
popularidad. En diciembre de 2010 se activaron unos 300.000 dispositivos Android al día y en junio
de 2011 la cifra rondaba el medio millón… aunque no se quedó ahí. En diciembre del año pasado el
número de activaciones
diarias era de
aproximadamente de
700.000, una cifra que no
dejó de crecer hasta alcanzar
el pico de 3,7 millones de
activaciones durante los días
24 y 25 de diciembre del año
pasado, según un mensaje
de Andy Rubin, cofundador y
Captura de pantalla 2: mensajes de Andy Rubin en Twitter sobre las
jefe de desarrollo en Android activaciones de dispositivos Android, a finales de 2011 (fuente:
http://twitter.com/ARUBIN)
Inc., en Twitter24.
Este desarrollo, además del número de aplicaciones disponibles en el Android Market, sitios web y
otros proveedores, hace que los dispositivos móviles sean objetivos más apetecibles para los
creadores de malware. En diciembre de 2011, Google anunció que Android Market había superado
el hito de 10.000 millones de descargas25.
Los creadores de malware para Android aún tienen muy pocas barreras organizativas que derribar.
Todo lo que tienen que hacer para desarrollar aplicaciones para los mercados oficiales es abonar
25$ para contar con una cuenta de desarrollador de Google, una cantidad de dinero ridícula para
cualquier delincuente. Si Google elimina una cuenta de desarrollador, los autores de malware sólo
necesitan abrir otra nueva para mantener sus actividades delictivas y seguir propagando malware.
Sin embargo, es más fácil publicar malware móvil en sitios o mercados de terceras partes. Incluso si
el código malicioso se descubre y se elimina del Android Market oficial, continuará fácilmente
disponible en estos otros canales de distribución para aplicaciones..
Hay 1.998 nuevos programas de malware para las plataformas móviles26. No se está produciendo
tanto una excesiva creación de nuevo malware, como el desarrollo de numerosas y sencillas
variantes de las amenazas móviles existentes. Por ejemplo, hay programas que ofrecen fondos de
pantalla o una forma fácil para utilizar servicios como el acceso a vídeo “a la carta”. El número de
puertas traseras para móviles ha crecido en el segundo semestre de 2011 un 285% respecto a los
seis primeros meses del año.
24
http://twitter.com/ARUBIN
http://googleblog.blogspot.com/2011/12/10-billion-android-market-downloads-and.html
26
Ver tabla 2
25
19
El troyano Android.Trojan.FakeNetflix.A, o Fake NetFlix en forma abreviada, es un malware
sencillo que consulta los datos de acceso de NetFlix27. Este troyano transfiere los datos recopilados a
un servidor específico. Cuando el usuario intenta acceder, aparece un mensaje de incompatibilidad
para garantizar que el usuario no sospeche de ninguna actividad indeseada.
La principal forma de propagación del malware de Android es aún copiando, manipulando y
volviendo a publicar aplicaciones ya conocidas y originalmente inocuas. Estas nuevas versiones con
troyano son más frecuentes en mercados de terceros, pero muchas de ellas también se han
encontrado disponibles en el Android Market oficial.
Un ejemplo de esto último lo
constituye el malware
Android.Backdoor.LeNa.A, o
LeNa en su forma abreviada
(Legacy Native). LeNa es una
puerta trasera que se copia a sí
misma en los directorios del
sistema para que se inicie
cuando se arranque el sistema.
Si esto funciona, LeNa se
conecta a un servidor externo
aproximadamente cada hora y
transfiere datos que identifican
el dispositivo de forma
Captura de pantalla 3: imagen de una aplicación que infecta dispositivos
móviles Android.Backdoor.LeNa.A
exclusiva. Gracias a su
estructura dinámica, una
puerta trasera como LeNa puede cargar software adicional sin ninguna acción del usuario,
ofreciéndolo para su instalación, proporcionando así un mecanismo de ataque en los smartphones
Android. Sin embargo, para que se active la puerta trasera, necesita unas autorizaciones
apropiadas28, que precisan que los dispositivos móviles se encuentren desbloqueados para admitir
cambios. Si ese no es el caso, LeNa ofrece al usuario unos enlaces a instrucciones y herramientas
que explican al usuario cómo autorizar los cambios en el dispositivo. Esto demuestra una vez más
que no es recomendable rootear totalmente un dispositivo móvil para autorizar cualquier cambio.
Un análisis de las funcionalidades del malware detectado en la segunda mitad del año muestra que
dominó aquel que estaba diseñado para apoderarse de datos y para enviar mensajes de texto con
tarifas premium. El avance en ese terreno ha sido impresionante, puesto que los datos pueden ahora
ser interceptados a los pocos segundos y la aplicación, en el caso de los troyanos
Android.Trojan.GoneSixty.A o Fake NetFlix, pueden iniciar un proceso de autoeliminación para
borrar cualquier rastro del ataque con el objetivo que, de esta forma, el usuario no observe ningún
cambio ni pueda ver alguna aplicación desconocida que le haga sospechar sobre el ataque llevado a
cabo.
27
NetFlix es una compañía de EE.UU. que alquila DVD y Blu-ray por correo en determinados países, además de ofrecer vídeo a la carta.
Ver captura de pantalla 3, a la derecha de la página
20
28
Entre las funciones maliciosas más invasivas se incluyen el registro de smartphones para el uso de
servicios de alta tarificación sin el conocimiento del usuario y el desbloqueo de los terminales
Android para ofrecer a los creadores de malware el control total de todas las funciones del
smartphone. Hasta la versión 2.2 de Android, se utilizó la muy conocida explotación Rage Against
the Cage. Desde la versión 2.3 en adelante, el mecanismo favorito de ataque fue GingerBreak,
debido al cierre de la vulnerabilidad conocida que explotaba Rage Against the Cage.
Una nueva forma de ataque ridiculiza al usuario, tal y como ha ocurrido con el troyano
Android.Trojan.Walkinwat.A, o Walkinwat en su forma abreviada, que fue el primero de un tipo
de malware que se mofa de los usuarios que han descargado de forma ilegal una aplicación de una
página web no autorizada. El malware envía mensajes de texto a todos los contactos de la lista de
direcciones de la víctima, diciendo: "Hey, acabo de descargar la versión pirata de la aplicación Walk
and Text de Android. Soy estúpido y rastrero porque sólo costaba 1 dólar. ¡No robes como yo he
hecho!”
Los usuarios que descargaron un juego llamado Dog Wars también fueron tratados como
malvados. En este juego, los jugadores entrenan un perro de lucha virtual para competir en peleas
de perros virtuales con otros jugadores. Sin
embargo, la aplicación envía un mensaje de
texto a todos los contactos en el dispositivo,
afirmando: “Me encanta hacer daño a los
animales pequeños y pensé que te gustaría
saberlo".
Aunque una amplia mayoría de las cepas de
malware solían estar ceñidas a la región de
Asia, noviembre de 2011 marcó la fecha en la
que apareció el primer troyano que vinculaba
Captura de pantalla 4: la aplicación DogWars, que
números de teléfono a servicios de tarificación
infecta a dispositivos móviles con
elevada en los diferentes países, pudiéndose
Android.Trojan.DogoWar.A
ejecutar la estafa en Francia, Bélgica, Suiza,
Luxemburgo, Alemania, España e Inglaterra. El Android.Trojan.SuiConFo.A (SuiConFo abreviado),
simulaba ser para la gestión de costes. Una vez instalada por el usuario aparecía un mensaje de error
advirtiendo de una aparente incompatibilidad entre la aplicación y el dispositivo, de forma parecida
a lo que ocurrió con el troyano Fake NetFlix. Nada más parecía ocurrir pero, sin embargo, en un
segundo plano SuiConFo envía varios mensajes de texto a servicios de alta tarificación. Si se envía
una confirmación SMS al smartphone, el troyano se encarga de interceptarla para que el usuario no
sea consciente de las consecuencias del ataque hasta que reciba la factura.
Los troyanos encargados de automatizar el envío de SMS a servicios de tarificación especial
constituyen uno de los mecanismos más cómodos y sencillos para obtener beneficios económicos
de forma rápida. Esta variante de malware se ha propagado ahora por todo el mundo. Los
proveedores de malware crean listas especiales para los diferentes países objetivo, con del fin de
usar los números de alta tarificación correctos en cada territorio para, de esta manera, lograr éxito
sus ataques.
21
Y a finales del año pasado, los creadores de malware ampliaron sus intenciones y objetivos. Ya
usado con frecuencia en 2011, el término "hacktivismo", que se refiere – entre otras cosas – al
activismo político mediante el empleo de
ciberataques- se amplió al campo del malware
móvil. El troyano Android.Trojan.Arspam.A, que
se descubrió por vez primera el 19 de diciembre,
propaga contenidos con motivación política.
Cuando el usuario instala el troyano - que precisa
autorización para acceder a todos los datos y
Captura de pantalla 5: imagen de una aplicación
estadísticas, además de enviar mensajes de texto- que infecta a dispositivos móviles con
Android.Trojan.Walkinwat.A
el smartphone se ve infectado con el troyano
Arspam, y envía luego mensajes de texto a todos
los contactos en la libreta de dirección sin conocimiento del usuario. Asimismo, la versión del
troyano descubierto también instala un servicio que envía un enlace seleccionado aleatoriamente
de uno de los artículos de 18 foros sobre Oriente Medio a todos los contactos en la libreta de
direcciones del smartphone infectado. Si el smartphone se encuentra en Bahréin, también intenta
instalar un archivo PDF que contiene una serie adicional de mensajes de contenido político.
La capacidad de adaptación del malware ya causó un gran revuelo
a finales de 2011 y ofrece un panorama negativo para 2012. Los
ataques ya no se limitan a Asia, sino que se propagan por todo el
mundo con solo unos pequeños ajustes. Bastan por ejemplo unas
sencillas combinaciones de nombres de países y los respectivos
números de tarificación especial para asegurar que el malware
pueda ser utilizado fuera del país en donde se haya desarrollado,
lo que incrementa el daño financiero a las víctimas, además de los
beneficios potenciales a los delincuentes.
El objetivo de los delincuentes digitales continuará desplazándose
hacia los dispositivos móviles en 2012, porque la proporción entre
la cantidad de trabajo necesario y los beneficios obtenidos aún
resulta muy ventajosa. Siempre que las aplicaciones no se
comprueben minuciosamente antes de ponerse a disposición de
los usuarios en el Android Market oficial, se tardará algo de tiempo
Screenshot 6: App that spreads the antes de advertir y eliminar el malware. Para entonces, sin
embargo, los dispositivos móviles ya han podido ser infectados. El
Trojan Android.Trojan.Arspam.A
incremento de las ventas de dispositivos Android también hace
más atractivo el Android Market para los delincuentes.
Como el uso de smartphones está aún lejos de agotarse, las nuevas tecnologías siempre ofrecerán
nuevos objetivos. Un ejemplo en el futuro inmediato será el pago con NFC (implementado en la
versión 2.3 de Android y en versiones superiores). Los ataques automáticos crearán más problemas ya existen los estudios de viabilidad correspondientes- y es sólo cuestión de tiempo que los usuarios
22
sufran ataques en los que no tengan que participar activamente. Y cuando llegue el momento para
este tipo de ataques, nos veremos obligados a hacer frente a una amenaza totalmente nueva.
23

08 G DATA Malware Report H2

Transcripción

Documentos relacionados

Hacking Ético, Forénsica Digital y Manejo de Incidentes

Temario - Parte 1