Archivo de la etiqueta: trendlabs

El crypto-ransomware PowerWare se dirige a los archivos de impuestos

Igual que podemos estar seguros en relación a algunos aspectos de la vida, lo mismo pasa con el cibercrimen. El día para presentar la declaración de impuestos se acerca en EE.UU. y, como millones de americanos están inmersos en este proceso, los cibercriminales también están interviniendo para hacer que esta tarea sea más rentable para ellos y difícil para sus víctimas. Hemos sido testigos de incidentes recientes en organizaciones que caen por patrones de emails de negocio comprometidos  relacionados con la declaración de impuestos; ahora parece que los extorsionistas online se han sumado también a la refriega.

PowerWare (Trend Micro como RANSOM_POWERWARE.A) es un nuevo crypto-ransomware que explota Windows PowerShell para su proceso de infección. Sin embargo, aparte del cifrado de archivos que comúnmente realiza el ransomware, PowerWare también se dirige a los archivos de declaración de impuestos creados por los programas de presentación de impuestos (por ejemplo, archivos con extensiones .tax2013 y .tax2014). Tanto para usuarios como para las organizaciones, la pérdida de registros del período en vigor y de años previos puede ser una gran molestia que, en ocasiones resulta costosa. En EE.UU., por ejemplo, se recomienda que los contribuyentes guarden los registros de sus declaraciones de impuestos durante unos tres años después de la presentación de las mismas, ya que la ley de límites para evaluar los impuestos y las devoluciones se ejecuta durante ese mismo período de tiempo.

También vale la pena señalar que, si bien el ransomware que se dirige a los archivos específicos relacionados con los impuestos ya se ha visto con anterioridad, la técnica de PowerWare, que utiliza una macro y PowerShell, es bastante inusual.

 La infección comienza cuando los objetivos abren un documento de Microsoft Word con una macro maliciosa incrustada. Este documento se distribuye a través de mensajes de correo electrónico, que es una forma habitual para suministrar crypto-ransomware. El documento enseña a la víctima a habilitar las macros. Una vez que se habilitan, la macro maliciosa ejecuta los siguientes códigos:

Como se ve en los códigos anteriores, la macro utiliza cmd para ejecutar una instancia de Powershell.exe. Esta instancia se conecta a una web para descargar el script de ransomware PowerWare (también escrito en Powershell) y guardarlo en la carpeta temporal de Windows como Y.ps1. A continuación, el código ejecuta otra instancia PowerShell para correr PowerWare.

Como se mencionó antes, PowerWare cifra los archivos con extensión .tax2013 y .tax2014, entre otros, antes de autodestruirse. También dejar caer un archivo HTML denominado “FILES_ENCRYPTED-READ_ME.HTML” en cada carpeta con un fichero cifrado, que detalla cómo un usuario afectado puede conseguir sus archivos de nuevo.

Los atacantes piden 500 dólares, ó 1188 BTC (bitcoins) y el doble, si la víctima no realiza el pago antes del plazo concedido.

Sigue leyendo

Regin: un malware sofisticado aunque no sin precedentes

Informes recientes han detectado un sofisticado malware conocido como Regin en ataques dirigidos en varios países. Regin es altamente sofisticado y está diseñado para llevar a cabo vigilancia sigilosa de potenciales víctimas a largo plazo, a instancias de sus creadores. Se cree que los principales objetivos de este ataque han sido las compañías de telecomunicaciones.

No está claro cuánto tiempo ha estado activo Regin. Las marcas de tiempo de los archivos asociados a Regin varían según los informes. En algún lugar el ataque sucedió en 2003, mientras que en otros en 2006, 2008 ó 2011. Entre las víctimas conocidas se incluye una compañía telefónica belga, lo que lleva a sospechar que los actores de amenaza están detrás de este ataque.

Si bien Regin está en general bien elaborado y diseñado, en nuestra vigilancia de las amenazas observamos que muchas de sus técnicas se han utilizado antes en otros ataques. Además, el objetivo general de este ataque es el mismo: robar información del objetivo sin dejar de ser sigiloso.

El siguiente gráfico describe algunas de las técnicas avanzadas que creemos fueron utilizadas por Regin:

 regin-1aTécnicas avanzadas utilizadas por Regin

Como se puede apreciar, muy pocas de las técnicas utilizadas por Regin no tenían precedentes de una forma u otra. Las técnicas elegidas por los creadores de Regin parecen haber sido elegidas para maximizar sus características de sigilo; esto permitiría a un atacante mantener su presencia a largo plazo en un sistema afectado, lo que sería una herramienta eficaz para la recopilación de información robada.

Seguiremos atentos a los acontecimientos relacionados con esta amenaza y actualizaremos la información cuando sea necesario.

 

Mes de la Ciberseguridad: ¿cómo los usuarios se convierten en las víctimas?

La ciberseguridad es una parte importante de nuestra vida cotidiana, tanto si somos conscientes de ello como si no. Crear conciencia de que hay que estar seguro online es responsabilidad de cada uno y es parte clave en la lucha contra la ciberdelincuencia. Es por ello que uno de los lemas del Mes de Concienciación de Seguridad Cibernética Nacional de este año es la campaña ‘Pare. Piense. Conecte ‘™, que promueve este mismo mensaje.

Aprender a estar seguro on line es difícil sin saber cómo uno puede ser infectado. Entonces, ¿cómo se convierten los usuarios de hoy en día en víctimas de las distintas amenazas on line?

¿Cómo se convierten los usuarios en víctimas?

Hay varios métodos que conducen a los usuarios a convertirse en víctimas de las amenazas on line. Los ejemplos incluyen correo electrónico – donde tenemos spam, incluido spam con archivos adjuntos o enlaces a sitios web maliciosos. Las amenazas también llegan a través de las redes sociales, donde los ciberdelincuentes pueden spamear a los usuarios con mensajes y mensajes instantáneos, que también contienen diversas amenazas.

Mientras que las amenazas han cambiado con los años, muchos de los métodos utilizados para difundir estas amenazas no son muy diferentes de las técnicas anteriores. Los cibercriminales siguen confiando en el correo electrónico para enviar millones y millones de spam cada día; el feed back que da Smart Protection Network indica que casi dos tercios de correo electrónico es spam. Sitios web maliciosos – incluyendo los sitios de phishing y estafas de encuestas – están todavía en circulación.

Estas técnicas – y otras formas de ingeniería social – aún funcionan, por desgracia. Los usuarios, por ejemplo, tienen dificultades para detectar una estafa de phishing. Otros pueden no reconocer los problemas de seguridad de adware y aplicaciones “libres”. Otros pueden no reconocer los riesgos a los que se enfrentan los usuarios de banca móvil. Otras tácticas bien conocidas como el spam, aplicaciones troyanizadas de las tiendas de aplicaciones de terceros y sitios comprometidos siguen siendo un problema hoy en día. A casi todo lo que hacemos en Internet tiene se le atribuye algún tipo de riesgo y los usuarios deben ser conscientes de ello.

¿Cómo pueden los usuarios evitar convertirse en víctimas?

La parte más importante en la seguridad on line es el reconocimiento de que existe una amenaza. Muchas de estas amenazas se basan en que el usuario no sabe cómo funcionan. Un usuario informado no será víctima de numerosas amenazas. Los usuarios informados también pueden ayudar a sus amigos a evitar estas estafas.

En relación al Mes de Concienciación de Seguridad Cibernética Nacional, discutiremos varios aspectos del actual panorama de amenazas en línea. Esté atento a los distintos epígrafes que tratan sobre las amenazas de hoy en día, y lo que se está haciendo para ayudar a combatirlas a diario.

La supuesta muerte del rapero Eminem, el nuevo gancho del troyano ZBOT

por Presales Team Iberia

TrendLabs, el centro de investigación global de Trend Micro, ha detectado una variante de ZBOT que envía mensajes de email en los que se hace referencia a la muerte de la estrella del rap Eminem. El correo electrónico utiliza una imagen para mostrar este mensaje de spam, que aparentemente es enviado desde la cadena de televisión CBS News, donde se informa al receptor sobre el accidente de coche que supuestamente ha sufrido la estrella.

Es entonces cuando a los receptores se les persuade para acceder a un link en caso de que deseen ver un vídeo para conocer más información sobre el accidente. En lugar de ser dirigidos a un link de vídeo, los usuarios son redireccionados a una página que descarga un archivo .exe. El archivo que se autodescarga es un troyano. Una vez que el usuario es infectado, el troyano procede a robar las credenciales de registro de banca online del usuario, así como sus cuentas en redes sociales, cuentas de correo electrónico, etc.

“Este es otro ejemplo de cómo los criminales se aprovechan, o incluso son los responsables de propagar el temor o la incertidumbre para extender sus aplicaciones maliciosas”, afirma Rik Ferguson, Consultor Senior de Seguridad de Trend Micro. “Si una noticia no puede ser encontrada eso no impide que esta salga a la luz. En este sentido, es importante tratar todos los rumores con escepticismo y tratar todos los links con precaución, incluso aquellos que procedan de un motor de búsqueda popular. Si cualquier evento es lo suficientemente noticiable, el usuario podrá encontrar detalles en la web sobre la noticia al respecto, pero siempre debe asegurarse de que es él quién escribe las direcciones o que utiliza sus propias direcciones de Internet”.

Crecen los ataques que utilizan el Mundial de Fútbol de la FIFA como señuelo

por Presales Team Iberia

La CNN califica el Mundial de Fútbol 2010 como el inicio de la  “Edad de los Medios Sociales”, por lo que poco sorprende que un número de campañas de ciber-crimen hayan sido identificadas utilizando el evento para atraer a los seguidores y fans de la Copa del Mundo con el fin de que desvelen información personal y otro tipo de datos.

Los tweets del ataque a la FIFA colapsan las puertas traseras

Uno de los ataques más recientes que emplea el Mundial de Fútbol de la FIFA como cebo incluye una táctica de ingeniería social derivada de una campaña de malware vista en Twitter. El investigador de amenazas senior del laboratorio de Trend Micro (TrendLabs), Ivan Macalintal, ha localizado varios programas maliciosos que están siendo distribuidos a través del popular sitio de microblogging. Dichas campañas de malware aprovechan la notoriedad de tal evento para persuadir y atraer a los usuarios a que accedan a los links maliciosos incluidos en los Tweets.

El primer malware activado hace uso de la celebración de la “Copa del Mundo de la FIFA” y fue enviado a través del siguiente Tweet:

Al acceder al link los usuarios permiten la descarga de una copia de una puerta trasera detectada como BKDR_BIFROSE.SMK, que conecta a una dirección IP que permite a un usuario remoto realizar actividades maliciosas en los sistemas afectados. Estas actividades incluyen el envío y recepción de archivos, keylogging (o lectura de las pulsaciones del teclado) o la recuperación de nombres de usuario y sus claves. También tiene capacidades de rootkit (programa malicioso difícil de detectar que es similar a un troyano y que posibilita al ciber-delincuente controlar el ordenador de usuario), lo que le permite ocultar sus procesos y archivos de sus víctimas.

El Mundial de Fútbol de la FIFA es un evento global increíblemente popular que, como es evidente, ya ha puesto en marcha la maquinaria para que entren en acción múltiples oportunistas y ciber-criminales. El uso de las redes sociales para perpetuar esos ataques en beneficio de los criminales tampoco es algo inusual.

La FIFA también se ha convertido en objetivo del Spam

En otro ataque, los ingenieros de TrendLabs descubrieron que se estaban ejecutando dos tipos spam.

El primer ejemplo (véase la Figura1) tenía un archivo adjunto .DOC que informada a los receptores de un supuesto nuevo concurso denominado “Final Draw” o “Sorteo Final” en función del país, y que había sido puesto en marcha en colaboración con el Comité de Organización de la FIFA. También decía que el receptor recibiría un premio de 550.000 dólares. Para poder cobrar este premio, sin embargo, el “ganador” debía contactar inmediatamente con la agencia distribuidora a través de la información indicada en el email. El correo electrónico también solicitaba información personal del receptor.

Otro ejemplo (indicado en la Figura 2) relacionado con esta estafa o scam se trata de un email incorrectamente escrito que contiene una carta adjunta, igualmente mal escrita,  en formato PDF. En ésta se pide a los receptores que divulguen una información específica relacionada con una transferencia de fondos por cantidad de 10,5 millones de dólares. En caso de aceptar la propuesta, el usuario supuestamente conseguirá el 30% de dicha cifra.

Tenga en cuenta que está táctica recuerda al infame timo 419 o Cartas Nigerianas, que persuadían a los usuarios para que enviaran un cantidad de dinero prometiéndoles que, a cambio, recibirían una importante suma como recompensa por su cooperación. En este caso, los desafortunados “optimistas” son engañados con la promesa de recibir unas entradas para asistir a su competición deportiva favorita.

Un típico scam 419 o de Cartas Nigerianas es un tipo de fraude en el que las víctimas son engañadas con ganar tentadoras sumas de dinero como premios de lotería, herencias, etc. a cambio de algo de menor valor, como puede ser dar información o realizar una pequeña donación vía spam (véase la imagen de la Figura 3). La carta comienza por (1) la presentación del remitente que, por lo general, es una persona que supuestamente pertenece a una organización respetable. Acto seguido se pide ayuda al receptor del correo electrónico.

El spam con el tema de la FIFA que Trend Micro ha detectado (Figura 4) utiliza la misma técnica que en el segundo ejemplo: prometer una cantidad de dinero al receptor del email.

Ninguno de los dos tipos de scam solicitan directamente dinero en efectivo. En cambio, ambos piden información o invitan a que los receptores se coordinen con un contacto falso (como ocurre en el ejemplo de la figura 3) acompañado de una llamada a la acción para proceder a enviar sus datos de contacto (figura 4). Los ciber-delincuentes que se encuentran detrás de estos fraudes son individuos que están utilizando Internet para cometer crímenes relacionados con el robo de identidad, envío de spam, phishing y otros tipos de fraudes.

Por otro lado, en otra campaña de spam, TrendLabs analizó un mensaje de correo electrónico que ha sido enviado recientemente:

El spam lleva adjunto un archivo .PDF que contiene los detalles de un supuesto premio de lotería que el receptor del email podría ganar. Para ello, se pide a la víctima que facilite información personal, la cual debe ser enviada a una persona de contacto o al emisor del correo electrónico antes de que el premio pueda ser reclamado.

Analizando las diferentes campañas de fraudes, se ha observado que el nexo de unión entre los recientes envíos de spam estaba en que el supuesto remitente de los emails: la señora Michelle Matins, Vicepresidenta Ejecutiva (no se menciona ninguna corporación), que también es la persona que firma el scam 419, también conocido como el timo Nigeriano.

Algunos ejemplos recuperados estaban libres de adjuntos y presuntamente habían sido enviados por un supuesto Vicepresidente de la FIFA, llamado Geoff Thompson. Sin embargo, la investigación realizada por Trend Micro revela que este nombre también estaba relacionado con un viejo fraude.

TrendLabs ya informó de la existencia de un primer ataque de spam bancario relacionado con el Mundial de Fútbol 2010 de la FIFA a principios de 2009, 18 meses antes de que el actual evento tuviera lugar. El spam entonces detectado estaba relacionado con un premio de la lotería online.

Trend Micro™ Smart Protection Network™protege a los usuarios contra este tipo de ataques mediante el bloqueo del spam antes de que éste llegue al buzón de archivos recibidos mediante su servicio de reputación de email. Además, Trend Micro recomienda a los usuarios actuar con más cautela ante este tipo de ataques y sus variantes, como las que ahora se están descubriendo en relación con los eventos deportivos. Según la CNN, el Mundial de Fútbol 2010 inaugura la “Edad de los Medios Sociales”, y por lo tanto el mundo será testigo de niveles récord de interactividad global alrededor de este evento. ¡Tengan cuidado!.