El 18 de enero de 2012, la Prefectura de la división de delitos informáticos de la Policía de Kyoto anunció la detención de sospechosos acusados ​​de violar la Ley de delitos cibercriminales  en Japón. Las actividades de este grupo supuestamente implican la creación y el uso de un one-clickware en esquemas de fraudes de facturación por un solo click. Los primeros informes indican que seis personas fueron detenidas y daños  que rondan los JPY12, 000.000 (alrededor de EE.UU. $ 148,800).

El esquema de fraude de un solo click engaña a las víctimas para registrase y pagar por un servicio después de haber sido redirigidos a un sitio web malicioso. Se informó sobre un ataque similar hace poco en nuestro blog de malware.

Según la noticia, los sospechosos crearon un conjunto de programas maliciosos que desplegaron a los usuarios. Al visitar ciertos sitios web, incluyendo sitios con contenido para adultos, los usuarios que hacen clic en el botón ‘play’ para ver un video terminaban ejecutando un archivo en su lugar.

Actualmente hay 118 relacionados con este fraude que ya han sido. No podemos dar más detalles que los anunciados por la Prefectura de la policía de Kyoto, sin embargo, colaboramos activamente con ellos para analizar los programas utilizados en este ataque.

Los problemas del fraude de un click y que nos depara el futuro

Parece no haber fin a los fraudes de un click. Hoy en día, haciendo una rápida búsqueda en Google con la palabra clave “one-clickware” nos lleva a más de un millón de páginas hablando de este malware. Una de las razones de su reciente prevalencia es lo fácil que es modificar los archivos en un one-clickware para evitar ser detectado por el software de seguridad. Los cibercriminales detrás de este tipo de fraude son capaces de comprobar si las empresas de seguridad pueden detectar sus programas y modificar estos archivos para evitarlo.

Esto hace que empiece una vez más la persecución del gato y el ratón entre la policía y los delincuentes. Por desgracia, parece que los malos están tomando la delantera. Soluciones de seguridad tradicionales basadas  en tecnologías de patrones tendrán dificultades para ganar  este juego de una forma  eficaz. Igual que sucede en los ataques dirigidos, los criminales cibernéticos que utilizan el fraude de un solo clic tienen ventaja ya que los archivos se pueden modificar fácilmente. Todo lo que necesitas hacer es cambiar unas pocas líneas de código y el software antivirus no será capaz de detectarlo.

Utilizando nuevas tecnologías como la reputación y cloud computing  sin duda pueden ayudar a remediar esta situación. Pero ¿hay alguna solución de fondo real para detener el interminable juego del gato y el ratón?

Microsoft comienza bien el año corrigiendo 8 vulnerabilidades en su ronda de parches de Enero 2012. Esta actualización incluye soluciones a un boletín Critico, mientras que el resto están categorizadas como Importantes

La actualización de este mes incluye varias vulnerabilidades en Microsoft Windows, incluyendo las que se encuentran en Windows Media Player y Windows Object Packager.

El único boletín categorizado como critico era  ”Vulnerabilidades en Windows Media podría permitir la ejecución remota de código”. Las vulnerabilidades incluidas en el boletín mencionado podrían permitir la ejecución remota de código cuando el usuario abre un archivo multimedia especialmente diseñado.

También se ha corregido en esta versión la forma en que Media Player gestiona archivos MIDI especialmente diseñados y la forma en que DirectShow analiza los archivos multimedia. Esta actualización aplica a todas las versiones de Windows, incluyendo Windows 7.

Además, MS12-006 soluciona la vulnerabilidad BEAST en protocolos SSL / TLS,  la cual potencialmente permite a un usuario malintencionado realizar ataques “man-in-the-middle”  sobre el tráfico seguro.

Microsoft no fue el único en publicar soluciones, ya que Adobe también publicó sus propias actualizaciones de seguridad para solucionar vulnerabilidades en Adobe Reader y Acrobat. La mayoría de las vulnerabilidades solucionadas podrían permitir la ejecución de código al ser explotadas. Información detallada sobre las vulnerabilidades se pueden encontrar aquí.

Para aprender más acerca del soporte de Microsoft para el software afectado, más detalles sobre los boletines de seguridad de enero 2012 se pueden encontrar en su resumen del boletín oficial. Los usuarios también pueden consultar nuestra página de asesoramiento de seguridad de  Trend Micro.

Los usuarios de Deep Security y OfficeScan con el plug-in de Intrusion Defense Firewall (IDF) también puede encontrar las actualizaciones de sus productos que les protegerán de las amenazas que explotan las vulnerabilidades hechas pública hoy, antes de que los administradores de TI puedan desplegar estos parches

Con el año 2011 casi terminado, es momento de mirar hacia lo que nos viene seguidamente para ayudar a usuarios y empresas a prepararse para los retos del próximo año. Generalmente hablando, nuestras predicciones se pueden dividir en cuatro categorías: tendencias IT en la empresa, mercado de dispositivos móviles, infracciones de información, y la siempre evolutiva industria Cibercriminal.

Las tendencias en IT de las empresas cambiará el panorama de la seguridad.

Gracias a la consumerización  (BYOD), virtualización, computación en la nube, el panorama de IT en la empresa será muy diferente en el 2012 frente a lo que estábamos acostumbrados tan solo unos años atrás.  Los administradores del sistema tendrán que lidiar no sólo con amenazas a la seguridad convencional, pero también con la creciente complejidad de mantener y asegurar sistemas y redes en estas nuevas plataformas.

 El mercado móvil madura

A medida que el número de usuarios de teléfonos inteligentes y las tabletas sigue creciendo a nivel mundial, los criminales cibernéticos valorarán el atacar activamente a estos usuarios en cifras record. En particular, los usuarios de la plataforma Android estará especialmente en riesgo  - su entorno de aplicaciones totalmente abierto permite aplicaciones tanto maliciosas y troyanizadas llegar fácilmente a los dispositivos de usuario. Nosotros esperamos ver un número significativo de malware para Android en 2012.

Las pérdidas de datos siguen afectando a empresas

2011 podría muy bien ser descrito como el año de la violación de datos. Nombres bien conocidos tales como Sony y RSA, y (anteriormente)  empresas de bajo perfil, tales como Epsilon y HBGary todas tuvieron filtraciones de información confidencial. En el 2012, no sólo los tradicionales cibercriminales con fines de lucro continuaran con su trabajo, otros grupos con diferentes motivos también estarán en el  juego: estos van desde los grupos de activistas en línea como Anonymous y LulzSec,  todo el camino pasando por las empresas e incluso gobiernos.

Malware y Cibercrimenes se hacen más sofisticados

En una nota más positiva, en 2011 vimos unos cuantos arrestos importantes y desmontajes de los ciberdelincuentes y sus redes. La industria de la seguridad y la aplicación de la ley las comunidades trabajaron en conjunto para proteger a millones de amenazas tales como la botnet Esthost que habían sido tomados por la Operación Ghost Click.
En respuesta a esto, sin embargo, vamos a ver como los cibercriminales responden al enfocarse en  redes botnets más pequeñas y manejables. Por tanto, cualquier acción por aplicación de la ley será menos dolorosa, ya que menos bots serán retirados del control de los criminales.

Además, los ciberdelincuentes tratarán de encontrar nuevos esquemas de beneficios y objetivos. En particular, los equipos conectados a Internet que van desde grandes sistemas industriales SCADA hasta los pequeños dispositivos médicos personales estarán en riesgo de ser atacados.

Otras de nuestras 12 predicciones de seguridad para 2012

El resto de nuestras predicciones relacionadas con la seguridad para el próximo año se pueden encontrar en nuestras 12 predicciones de seguridad para 2012. También se puede escuchar a nuestro CTO Raimund Genes hablar sobre las perspectivas de seguridad para el año 2012 en el siguiente video:

Madrid, 24 de noviembre 2011 – Gracias a los ciberdelincuentes, la temporada de los regalos navideños puede salirle cara a todos aquellos que compren online sus presentes para las vacaciones.

Este año, el equipo de analistas de amenazas de Trend Micro estima que los riesgos asociados a las compras por Internet pueden ser aún mayores debido al auge que están experimentando las compras que se realizan a través del móvil: el 43% de los usuarios de smartphones afirma utilizar sus dispositivos móviles para hacer compras. Este porcentaje se prevé que aumente en los próximos años, o incluso en los próximos dos meses si tenemos en cuenta la próxima campaña de Navidad.

Trend Micro, ha presentado su guía de compras online para las vacaciones 2011 y propone una serie de consejos útiles para ayudar a los consumidores a mantenerse alejados de peligros como el robo de identidad y de información personal, no sólo en la temporada de Navidad, sino siempre. 

Comodidad, facilidad y mejores ofertas, son tres de las razones por las que cada vez más gente se decanta por comprar en Internet. El nivel de adopción de los usuarios de las compras online se ha ido incrementando durante los últimos años. De hecho, varios estudios indican que se producirá un aumento del 78% en el volumen de compras en 2014 sólo en Estados Unidos.

Como ir de compras por la Red ha pasado a ser una actividad ampliamente aceptada por el método de compra de artículos, los compradores online también se convertirán en el público objetivo de los cibercriminales para perpetrar sus ataques. Debemos tener en cuenta que los ciberdelincuentes están continuamente lanzando ataques a uno o a todos los aspectos de la información del comprador: tarjetas de crédito, números de identificación de las cuentas personales de banca online, o cualquier otro dato personal.

Entre los diferentes tipos de ataque se incluyen:

• Ataques Blackhat SEO: la búsqueda de resultados de temas de actualidad como gadgets u otros, pueden estar contaminadas con el fin de dirigir a los usuarios a sitios maliciosos.
• Estafas: presentadas como promociones online, estos timos tratan de engañar a los usuarios para convertirlos en víctimas de sus planes maliciosos de modo que puedan conducirles al robo de información, datos financieros e, incluso, al propio dinero. En un reciente rastreo antispam se encontró una oferta para el próximo Black Friday (día en el que tradicionalmente se inaugura la temporada de compras navideñas) a través de un dominio sospechoso.
• Secuestro de sesiones: los usuarios que realizan sus compras mientras están conectados a redes inseguras se están poniendo en riesgo de padecer este tipo de ataque, que implica el rastreo a través de redes de determinados tipos de información como credenciales bancarias, y utiliza dicha información para hacerse pasar por usuarios y ejecutar acciones.

Los compradores no tienen que estar indefensos ante estos ataques, sin embargo, pueden implementar medidas de seguridad y utilizar soluciones que les permitan evitar convertirse en víctimas. Por ello, Trend Micro ha elaborado una práctica guía titulada “La Seguridad de las Compras Online es Fácil”, así como una infografía sobre “Consejos para Comprar Online”, en las que contempla las cuestiones que los compradores online necesitan saber para protegerse de los ataques relacionados con este tipo de compras.

Éstas son las guías que ya se encuentran disponibles:

• “Online Shopping Safety Made Easy”, guía eBook gratuita de 12 páginas que puede descargarse aquí.
• Para acceder a la infografía sobre “Consejos de Seguridad Online” accede aquí.
• Para más información sobre los tipos de ataques que los cibercriminales están implementando, por favor, visita el Blog sobre Malware de Trend Micro aquí.

La industria de la seguridad actualmente es un hervidero de conversaciones acerca de una amenaza apodada como el precursor del próximo STUXNET.

Según un análisis de Symantec, partes del código son muy similares a STUXNET, y probablemente ha sido escrito por los mismos cibercriminales por lo bien conocida que es.  A diferencia de STUXNET, sin embargo, Duqu no tiene código que sugiera que haya sido desarrollado para acceder a los sistemas SCADA. En cambio, su carga final parece estar dirigida hacia el robo de información.

Duqu está formada por varios componentes. El archivo SYS, que se detecta como RTKT_DUQU.A, es el responsable de la activación del malware, y  de provocar la ejecución de sus otras rutinas. Sin embargo, en base al análisis, el principal objetivo de dichos archivos es establecer una conexión con su servidor C&C. Se dice que Duqu ha emitido un malware para robar información y que ha sido detectado como TROJ_SHADOW.AF, en los sistemas afectados a través de esta conexión. También hemos comprobado que estos códigos son muy similares al de STUXNET.

Tras la ejecución, TROJ_SHADOW.AF enumera los procesos que se estén ejecutando actualmente en el sistema. También comprueba si coincide con alguno de los siguientes procesos relacionados con la seguridad:

• avp.exe (Kaspersky)
• Mcshield.exe (McAfee)
• avguard.exe (Avira)
• bdagent.exe (Bitdefender)
• UmxCfg.exe (CA)
• fsdfwd.exe (F-Secure)
• rtvscan.exe and ccSvcHst.exe (Symantec)
• ekrn.exe (ESET)
• RavMonD.exe (Rising)

Si lo encuentra, TROJ_SHADOW.AF lanza el mismo proceso en un estado de suspensión, y después parchea el código malicioso antes de reanudar la ejecución. Es así como habrá dos procesos antivirus ejecutándose (AV): el primero, que es el original; y el segundo, que es el que tiene el parche.

TROJ_SHADOW.AF necesita líneas de comandos para ejecutarse correctamente. Los comandos disponibles incluyen: la recogida de información en el sistema afectado, la finalización de procesos de malware, y la eliminación de sí mismo. Esto permite robar una amplia variedad de información en los sistemas afectados, como por ejemplo:

1. Información del disco como: espacio libre y nombre del dispositivo
2. Imágenes
3. Procesos en ejecución y encargado de procesamiento de solicitudes
4. Carpetas compartidas localmente y usuarios conectados
5. Números de serie de discos extraíbles
6. Nombres de Windows
7. Información sobre los archivos abiertos en el equipo local utilizando NetFileEnum

4.  Información de red como: dirección IP, tabla de enrutamiento IP, TCP ay tabla UDP, tabla de cache DNS, comparticiones locales

Trend Micro continua actualizando esta información en el blog para futuros desarrollos. Mientras nuestro equipo de investigación se encuentra trabajando en este tema, indicar que las soluciones de Trend Micro protegen contra TROJ_SHADOW.AF. La funcionalidad Smart Feedback de la infraestructura tecnológica Trend Micro Smart Protection Network™ indica que no hay clientes de Trend Micro afectados por esta amenaza y Trend Support no hay recibido ninguna notificación de infección al respecto.

Las soluciones de Trend Micro también han sido actualizadas para ofrecer protección contra las últimas amenazas a través de firmas actualizadas, así como mediante el bloqueo del acceso a los servidores de control maliciosos con Web Reputation Services.

Los usuarios pueden consultar la página Knowledge Base para obtener más información sobre cómo proteger los sistemas frente a esta amenaza.

Recientemente hemos detectado una publicación interesante en un foro clandestino ruso en el transcurso de nuestras investigaciones. En estos tipos de foros, los usuarios intercambian información sobre sus actividades ilegales. Encontramos a un forero con el nick ‘sourcec0de‘ y el número ICQ ’291149′ que actualmente ofrece acceso al directorio raíz de algunos servidores de clústeres de mysql.com y sus subdominios.

Ilustración 1. Captura de pantalla de un foro clandestino

La captura de pantalla anterior muestra que el vendedor parece tener una ventana de una consola shell con acceso al directorio raíz de estos servidores. El precio de cada acceso empieza a partir de 3.000 dólares estadounidenses y el intercambio de dinero/acceso suele realizarse mediante el conocido sistema de depósito de garantía (garant/escrow), por el que una tercera parte de confianza verifica ambas partes de la transacción.

En investigaciones anteriores por círculos clandestinos ya nos hemos topado con el usuario ‘sourcec0de’ vendiendo cuentas de PayPal robadas y discutiendo sobre la gestión de servidores de comando y control para redes robot.

La semana pasada nos pusimos en contacto con MySQL.com para comunicarles este problema. Ahora lo hacemos público para alertar sobre el hecho de que los hackers no solo se lucran vendiendo datos robados o insertando enlaces maliciosos en mensajes de spam o phishing, sitios Web y otros posibles vectores de infección.

En este caso, y con independencia de si la mercancía de sourcec0de es real o no, podemos comprobar que los ciberdelincuentes tienen la desfachatez de vender acceso administrativo a sistemas específicos que podrían estar dañados precisamente por sus infracciones.

Desde que se conocen los próximos cambios del perfil de Facebook anunciados a principios de semana en la Conferencia para desarrolladores de Facebook f8, se está hablado y mucho sobre los efectos sobre la privacidad del nuevo formato de línea de tiempo del perfil del usuario.

Básicamente, Facebook tomará toda la información ya expuesta en la red social, su perfil, sus fotos, publicaciones, comentarios y otros datos sobre usted y los presentará en un orden cronológico sobre el que es posible hacer clic. Este cambio ha causado preocupación entre algunos comentaristas. Pero no es mi caso.

He de admitir que cuando escuché las noticias sobre los cambios me preocupé un poco, incluso hasta el extremo de enviar un mensaje a mi novia para hacerle partícipe de mi preocupación (soy un friki, lo sé). Así que me dije a mí mismo: “Ferguson, no seas tan negativo. Al menos, pruébala antes de ponerla a caer de un burro.”

Así que inicié sesión en Facebook y habilité la nueva vista de línea de tiempo (públicamente no se ha publicado pero aquí puede obtenerse por adelantado) y, para ser sincero, me encantó lo que vi. Es bonita, es intuitiva y, verdaderamente, dice mucho más sobre mí (es un perfil, después de todo) que el diseño anterior.

Esto en el plano estético pero, ¿qué pasa con el tema de la seguridad? Lo que me llevó a escribir esta publicación fue un artículo de Gregg Keizer que incluía un comentario de Chet Wisniewski de Sophos. Chet opina que el nuevo diseño simplifica el procedimiento para la extracción de datos (data mining) por parte de cualquier usuario. Comenta: “La línea de tiempo hace mucho más fácil [para los atacantes] recopilar información sobre las personas“. También tiene razón. Si antes quería echar un vistazo a algo que hubiera hecho una persona en Facebook tenía que hacer un montón de clics para cargar publicaciones antiguas. Sin embargo, ahora todo se presenta en una línea de tiempo con barra de desplazamiento, mucho más simple. Entonces, ¿por qué no estoy de acuerdo?

La línea de tiempo verdaderamente facilita a cualquiera que tenga acceso a mi perfil a conocer mi pasado en Facebook, pero mi perfil está configurado como privado. Si bien soy extremadamente selectivo sobre quién añado como amigo en Facebook, honestamente, no me importa que mis amigos hagan un repaso de mi vida en una aburrida tarde lluviosa. Debería preguntarme por qué, pero mira, si les interesa… Por cierto, la línea de tiempo también permite saber quién te ha eliminado como amigo.

Por supuesto, si mi perfil estuviera configurado como visible para el público general, o si yo agregara a cualquiera como amigo, entonces mi línea de tiempo introduciría toda una nueva serie de preocupaciones. Pero, para ser sinceros, si tienes un perfil público para todo el mundo o añades amigos como setas, hay motivos más serios por los que preocuparse… Pero ninguno de ustedes hace eso, ¿verdad?

Pero hay algo que me preocupa del nuevo Facebook y, tal como opina mi compañero de Tweeter Kurt Wismer, es el Ticker. ¿Han visto el Ticker, verdad? Se trata de la nueva visualización deslizante de actualizaciones en la esquina superior derecha de la página de Facebook. ¿Que por qué me preocupo por el Ticker? Porque publica todas las actividades, incluidos los inicios de sesión, en tiempo real a todos sus amigos, incluidas las interacciones con personas y grupos a los que no conocen esos amigos (si el contenido es público). Esto puede dar mucho juego a los acosadores. Ahora no solo puedo ver lo que usted está haciendo en Facebook con gente que conozco sino que también puedo ver sus comentarios, publicaciones o gustos sobre algo con lo que no estoy conectado. Y eso no es buena cosa.

Por ahora, no hay nada que se pueda hacer al respecto excepto hacer un llamamiento a Facebook para que reconfigure esta función y aplique el mismo grado de discreción que una persona normal aplica en la vida real. Hay una corriente de gente publicando el estado siguiente en sus muros y, por ahora, es la única opción que tenemos…

Este es el texto por si se desea copiar y pegar.

“Hazme un favor: pasa el ratón sobre mi nombre, espera a que se cargue la ventana y haz clic en “Suscrito(a)”. Desmarca entonces la opción “Comentarios y Me gusta”. Prefiero que mis comentarios sobre las publicaciones de mis amigos no se vuelvan a publicar. ¡¡Muchas gracias!! Cuelga esto en tu muro si no quieres que cualquier persona pueda ver CADA MOVIMIENTO que hagas en Facebook :) Si quieres que haga lo mismo contigo, haz clic en “Me gusta”.

Saber con certeza quién está detrás de los ataques dirigidos es una tarea complicada. Requiere una combinación de análisis técnico y contextual sumada a la capacidad de relacionar datos dispersos a lo largo del tiempo. Además, los investigadores no suelen disponer de todas las informaciones necesarias y se ven obligados a interpretar las pruebas disponibles. Con demasiada frecuencia, la atribución se basa única y exclusivamente en pruebas falseadas con gran facilidad tales como direcciones IP y registros de nombre de dominio.

Esta publicación es una continuación de la publicada ayer. Incluye información de referencia sobre los ataques LURID y sobre la relación con los ataques Enfal anteriores para contextualizar el caso presente.

Resulta interesante saber que, a pesar de que los ataques Enfal previos se habían atribuido a China, en este caso, las direcciones IP de los servidores de comando y control (C&C) pertenecían a Estados Unidos y el Reino Unido. Sin embargo, la información de registro de los nombres de dominio utilizados sugiere que los propietarios están en China. En cualquier caso, no es nada difícil manipular esta información. Ninguno de estos dos elementos son determinantes por si mismos para averiguar la atribución del ataque.

Historia de Enfal

La historia de este malware, junto con la naturaleza de algunas de las víctimas seleccionadas, ofrece algunas pistas. El malware de los ataques “Lurid Downloader” se conoce popularmente como “Enfal” y se ha venido utilizando en ataques dirigidos desde el año 2006. En el 2008, Maarten Van Horenbeeck documentó una serie de ataques de malware dirigidos que utilizaron el troyano Enfal para atacar organizaciones gubernamentales y no gubernamentales (ONG), así como contratistas de defensa y empleados del gobierno de los EE.UU..

En el año 2009 y 2010, investigadores de la Universidad de Toronto publicaron informes sobre dos redes de ciberespionaje, conocidas como “GhostNet” y “ShadowNet”, que contenían malware e infraestructuras de comando y control conectadas con el troyano Enfal. Además, los nombres de dominio utilizados por Enfal como servidores C&C están vinculados, según la filtración de documentos diplomáticos de los EE.UU. a WikiLeaks, a una serie de ataques conocidos como “Byzantine Hades.” Según los documentos filtrados, estos activistas llevan perpetrando amenazas desde 2002, y existen subgrupos de esta actividad conocidos como “Byzantine Anchor,” “Byzantine Candor” y “Byzantine Foothold.”

Cabe destacar, además del uso de Enfal, lo que parece ser la existencia de diferentes conjuntos de infraestructuras de C&C; no obstante, la relación entre los usuarios que controlan cada una de estas infraestructuras todavía es un misterio.

LURID y Enfal… ¿están relacionados o no?

Parece ser que los ataques Lurid Downloader conforman una red independiente, pero relacionada a su vez con la red Enfal por su foco geográfico. A pesar de las pruebas que demuestran claramente que la comunidad tibetana también es uno de los objetivos, resulta curioso que la mayoría de las víctimas del ataque se concentren en Rusia y otros países de la CEI. El análisis realizado nos ha permitido determinar que muchas embajadas y ministerios gubernamentales, incluidos algunos de Europa Occidental, han estado expuestos al peligro, así como instituciones de investigación y organismos relacionados con el sector espacial.

La utilización de Enfal, la familia de malware a la que pertenece Lurid Downloader, ha estado vinculada históricamente a activistas de China. En este caso, el vector de ataque (un correo electrónico malicioso con un archivo adjunto igualmente malicioso) que pudimos analizar estaba relacionado con la comunidad del Tíbet, lo que muchos consideran un indicio de asociación con China. Sin embargo, las entidades chinas también fueron víctimas del ataque Lurid Downloader.

Hemos elaborado un informe que se publicará en breve en el que se resume la historia de estos ataques y se esboza el contexto de los mismos, además de incluir varios análisis técnicos detallados; a pesar de ello, no se llegan a atribuir los ataques a ninguna entidad en concreto. No podemos dejar de destacar que todavía no se sabe del cierto quién está detrás de los ataques Lurid Downloader.

La atribución no es sencilla.

Si desea obtener más información sobre este ataque, consulte nuestro artículo técnico: La amenaza “LURID” Downloader.

Trend Micro ha descubierto una campaña de ataques dirigidos que han conseguido comprometer la seguridad de empresas de la industria de defensa de Japón, Israel, India y EE.UU. Hemos podido identificar a 8 víctimas de este ataque y nos encontramos en el proceso de notificarles esta situación. En total, los atacantes han pirateado 32 equipos informáticos, si bien detectamos múltiples ataques en varias ubicaciones. Esta red lleva activa desde julio de 2011 y continúa enviando documentos maliciosos con el fin de comprometer la seguridad de otros objetivos adicionales.

Hemos analizado una muestra que se conecta al mismo servidor de comando y control (C&C) de este ataque dirigido. También hemos analizado el malware de la segunda etapa utilizado por los atacantes que fue diseñado específicamente para una de las compañías objetivo, así como el troyano de acceso directo (RAT) que usaron los atacantes.

Vector de ataque

Los atacantes enviaron correos electrónicos con un archivo adjunto .PDF malicioso, detectado por Trend Micro como TROJ_PIDIEF.EED, que aprovecha la vulnerabilidad de versiones específicas de Adobe Flash y Reader (CVE_2011-0611) para copiar archivos maliciosos en el equipo del objetivo. Esta carga maliciosa, detectada por Trend Micro como BKDR_ZAPCHAST.QZ, se conecta a un servidor C&C al que comunica algunos elementos de información sobre sí mismo y del que espera recibir más comandos.

En la segunda etapa de los ataques intervinieron dos componentes. Los atacantes emitieron comandos que instruían al equipo pirateado a comunicar información sobre la red y nombres de archivos ubicados en directorios específicos. A algunos objetivos se les ordenaba descargar DLLS personalizados, detectados por Trend Micro como BKDR_HUPIG.B, que contienen funcionalidades específicas relacionadas con la entidad comprometida.

Una vez dentro de la red, los atacantes emiten comandos para que el equipo comprometido descargue herramientas que les permitan moverse lateralmente por la red. Entre ellas se incluyen las denominadas “pass-the-hash”, las cuales permiten activar técnicas de autenticación automática. A continuación emiten comandos adicionales que causan que el equipo comprometido descargue un troyano de acceso remoto (RAT) que permita a los atacantes controlar en tiempo real el sistema pirateado. Trend Micro detecta este RAT como BKDR_HUPIGON.ZXS y BKDR_HUPIGON.ZUY.

Troyano de acceso remoto (RAT)

Este RAT se denomina “cazador de MFC” y consta de tres componentes:

• Servidor: instalado en los equipos de las víctimas y se conecta al “concentrador”.
• Concentrador: instalado en un equipo intermediario y funciona como una conexión proxy entre la víctima y el atacante.
• MFC: el cliente del RAT que los atacantes utilizan para controlar el equipo comprometido de la víctima.

Al secuenciar los ataques de este modo, los atacantes mantienen dos métodos de control independientes. El primero les permite programar comandos para que los ejecute el equipo comprometido cuando se conecta al servidor de comando y control. El segundo permite a los atacantes controlar en tiempo real el equipo comprometido a través del RAT.

Aunque esta red solo ha conseguido comprometer la seguridad de un número relativamente reducido de víctimas, entre los objetivos existe una gran concentración de compañías de la industria de defensa. Asimismo, el hecho de que se hayan creado componentes de malware específicos para víctimas concretas indica una intencionalidad clara de los atacantes.

Trend Micro supervisa de forma continuada esta amenaza actual y publicará las novedades en este blog en el caso de producirse avances destacables.

Hace más de 20 años que las amenazas en línea y el malware asedian a los usuarios de Internet. A pesar de que actualmente los titulares informativos sobre ciberseguridad suelen remitir a las últimas filtraciones de datos, publicaciones falsas de Facebook y al aumento de un 1.410% del malware para Android, no hay que olvidar que la herramienta que utilizan los ciberdelincuentes hoy por hoy es, irónicamente y por decirlo de alguna manera, BRAIN (un juego de palabras), un virus cerebro creado por dos hermanos paquistaníes con el objetivo de hacer el bien y evitar la piratería informática. Desde el bum de los ordenadores en la década de los 80 hasta la aparición de Internet y la conectividad en la década de los 90 y del 2000, Trend Micro ha estado supervisando muy de cerca los avances tecnológicos que se han producido en materia de intercambio de información y, como consecuencia, también ha sido testigo de cómo han evolucionado el malware y las amenazas en línea y han pasado de ser unos simples virus informáticos molestos a los importantes programas para el robo de información actuales.

Hoy en día, Trend Micro detecta 3,5 amenazas nuevas por segundo. Ante la inevitable transición hacia la nube que cada vez emprenden más negocios y usuarios particulares, no dejan de crecer los riesgos por pérdidas de datos y pérdidas financieras. Trend Micro sigue destapando operaciones de ciberdelincuencia y los beneficios de millones de dólares que obtienen los malos, lo que no son más que indicios de una economía sumergida que va madurando poco a poco.

Nuestro nuevo gráfico informativo, Morfología de las amenazas: motivos cambiantes ocultos detrás de las amenazas digitales, ofrece una buena visión de los diferentes y variados motivos que incitan a los ciberdelincuentes y las consecuencias de tales cambios en el panorama de las amenazas a lo largo de los años.

Haga clic aquí para obtener una visión detallada de la siguiente imagen.