· La cantidad de antivirus falsos es menor y estos ciberdelincuentes han concentrado su actividad en EEUU, Francia, Alemania y en España, en vez de propagarlos en todos los espacios posibles
Madrid, 24 de junio de 2011 | Seguridad Informática |Gabinete de Prensa.
Si comparamos los resultados de este año con los de 2010, comprobamos que se ha reducido la cantidad de falsos antivirus. Tras alcanzar la cima de su virulencia en febrero-marzo de 2010 (aproximadamente 200.000 incidencias por mes), a finales de 2010 se redujo la cantidad de falsos antivirus en casi cuatro veces, tal y como podemos comprobar en el Informe de Spam de Marzo de Kaspersky Lab.
Esta tendencia puede parecer un poco extraña, ya que para los ciberdelincuentes este tipo de software es una verdadera veta de oro. Es cierto que la cantidad de antivirus falsos es menor pero además, estos ciberdelincuentes se han concentrado en ciertos países (EEUU, Francia, Alemania y España), en vez de propagarlos en todos los espacios posibles.
Distribución de detecciones de una de las familias de antivirus falsos, por países (mayo de 2011)
En el mes de mayo, el número de intentos de infección a través de la web mediante antivirus falsos ascendió hasta 109.218. Sin embargo, la reducción de la cantidad de rogueware no significa que este tipo de programas haya dejado de desarrollarse. Este mes, los usuarios de Mac sufrieron ataques procedentes de diferentes antivirus falsos, como por ejemplo Best Mac Antivirus y MAC Defender. Los primeros ataques se detectaron el 2 de mayo, cuando en Internet abundaban los titulares sobre la muerte de Osama Bin Laden. En respuesta a algunas de las solicitudes de búsqueda relacionadas con este acontecimiento, Google mostraba en los navegadores de los usuarios (en lugar de las respuestas de costumbre) lo siguiente:
A pesar del “look Windows" del falso escáner antivirus, al pulsar el botón "Remove all", éste proponía al usuario descargar un fichero de instalación MPKG (en este caso, MAC Defender) para Mac OS X. Si el usuario aceptaba el paquete de instalación, se le pedía introducir su contraseña de root.
Una vez instalado el software estafador, el usuario veía la ventana principal del antivirus falso MAC Defender:
Hoy en día, la cantidad de programas maliciosos para Mac ha aumentado y podemos contabilizar centenares, pero de ninguna manera son decenas de miles.
Tras “descubrir” en el ordenador del usuario varios programas maliciosos que en realidad no existen, MAC Defender pide una suma bastante elevada dinero para “eliminarlos”: de 59 a 80 dólares americanos, dependiendo del tipo de suscripción. La víctima que paga por usar el antivirus falso recibe una llave para registrar el producto. Después de introducirla, el antivirus falso finge eliminar las amenazas, en verdad inexistentes, después de lo cual el usuario visualiza una ventana con un mensaje que explica que ahora el sistema está limpio y protegido:
Los delincuentes informáticos de vez en cuando ponen su foco en Mac OS X creando y difundiendo diferente software malicioso para esta plataforma. Y en la mayoría de los casos estos ataques repiten con exactitud los escenarios de ataques contra los usuarios de Windows.
Sony: continúan los ‘hackeos’
Las consecuencias del hackeo de Sony Playstation Network y Sony Online Entertainment a finales de abril y principios de mayo, que derivó en la fuga de datos personales de decenas de millones de usuarios de estos servicios, no ha sido el único problema con el que la empresa se ha tenido que enfrentar en estos dos últimos meses.
Tras poner en marcha el funcionamiento de PSN, anunciado el 17 de mayo, Sony propuso a los usuarios cambiar las contraseñas de sus cuentas. Para cambiar la contraseña, el usuario tenía que introducir su dirección de correo electrónico y su fecha de nacimiento. En otras palabras, los datos robados durante el hackeo. Teniendo estos datos, los delincuentes podían usarlos en lugar de los usuarios. La corporación declaró que se daba cuenta de los posibles problemas, pero durante la recuperación de las cuentas de los usuarios no se registraron nuevos incidentes.
El 20 de mayo los hackers irrumpieron en el sitio tailandés de Sony, causando que en hdworld.sony.co.th se pusiera una página phishing dirigida a usuarios de Sony italianos de tarjeta de crédito.
Sin embargo, con esto no terminó la pesadilla de la compañía. El 22 de mayo fue hackeado el sitio SonyMusic.gr y el resultado del ataque fue el robo de la información de los usuarios (apodos, nombre verdadero y dirección de correo electrónico) y su posterior publicación en Internet. Dos días después, el 24 de mayo, se descubrieron varias vulnerabilidades en el sitio sony.co.jp. Sin embargo, la base de datos robada no contenía datos personales de los usuarios.
Sin duda, los ataques contra Sony fueron bien planeados y preparados. No descartamos la probabilidad de que en el futuro se repitan ataques parecidos, lanzados contra servicios similares a PSN. Por esta razón los usuarios deben estar alertas, al igual que las compañías que prestan estos servicios.
Los “bankers” brasileños
Durante varios años, los ciberdelincuentes brasileños se han dedicado sobre todo a generar troyanos bancarios. En mayo apareció el primer rootkit "bancario" para sistemas operativos de 64 bits, que nuestro antivirus detecta como Rootkit.Win64.Banker.
El propósito de los delincuentes era robar los logins y contraseñas de los usuarios de sistemas de banca online. Durante los ataques, los usuarios trataban de remitir a los usuarios a páginas phishing, que eran réplicas exactas de los sitios web de algunos bancos. Para esto, modificaban el fichero HOST mediante el rootkit que infectaba el sistema durante el ataque drive-by.
Después de irrumpir en un popular sitio web brasileño, los delincuentes pusieron allí una aplicación Java maliciosa que, aparte del exploit, contenía dos ficheros SYS que tenían las mismas funcionalidades (para Win32 y Win64). Con un certificado falso, los delincuentes usaban la utilidad bcdedit.exe para lanzar drivers sin firma digital. Con la ayuda de algunos parámetros de la utilidad bcdedit.exe
DISABLE_INTEGRITY_CHECKS”, “TESTSIGNING ON” y “type= kernel start= boot error= normal”), los delincuentes los copiaban en la carpeta estándar de los drivers y al mismo tiempo los daban de alta para que la siguiente vez se iniciaran junto con el sistema.
Al iniciarse, los drivers maliciosos modificaban el fichero HOST, agregándole las redirecciones a sitios phishing (el usuario los visitaba cuando trataba de abrir la página de su banco online).
No hay comentarios:
Publicar un comentario