viernes, 10 de octubre de 2014

Botnets y Centroamérica, nuevo mercado!

Malas noticias queridos centroamericanos!

Según la firma Eset, en este 2014 la región centroamericana esta siendo invadida con dos tipos de malware, que ponen en peligro los sistemas. Estamos hablando de Win32/DorkbotVBS/Agent.NDH.

El primero ha estado en el podio de las detecciones. Este gusano que se comunica con su Centro de Comando y Control (C&C) a través del protocolo IRC da mucho que hablar. Cuenta con 80 mil equipos infectados, analizando sus capacidades y campañas de propagación.

Uno de los puntos de mayor efectividad en este gusano radica en sus métodos de propagación y persistencia en el sistema. Este logró abusar de los archivos LNK (Accesos directos) para infectar sistemas y afectar a millones de dispositivos USB que usuarios desprevenidos conectaban a cualquier equipo y luego conectaban en sus computadoras personales.

Innovando en sus técnicas de propagación, reemplazaba todas las carpetas y archivos por accesos directos, y para lograr ejecutarse modificaba el campo Target (Destino) por una concatenación de comandos que ejecutarían el archivo malicioso y luego abrirían la carpeta para que el usuario pueda ver los archivos.

Sin embargo, Dorkbot en los últimos meses perdió terreno en comparación a una nueva amenaza: VBS/Agent.NDH, uno de los gusanos más propagados en Latinoamérica.

Esta amenaza es un script, que utiliza la plataforma de Scripting de Microsoft para realizar sus acciones maliciosas y logró en solo un par de meses competir con Dorkbot e incluso superarlo en cantidad de detecciones en algunos países de Centroamérica, y del resto de América Latina.

VBS/Agent.NDH es capaz de descargar otras amenazas y generar visitas en sitios web, capacidad altamente relacionada al malvertising y a Black Hat SEO. Entre los efectos más críticos para un usuario, le otorga al cibercriminal un acceso remoto al equipo víctima.

¿Error de capa 8?

Todos sabemos que el phising (que se usa para las botnets) va dirigido a usuarios finales. ¿Ellos tendrán la culpa de eso? ¿Seremos mas bien nosotros, los de TI los responsables indirectos?

Lo primero que se recomienda es hacer charlas y capacitaciones donde se les explique qué es el phishing y cual esta magnitud de caer en esta trampa.

Estamos en la obligación de innovar con un sistema de prácticas realistas, donde se hagan laboratorios virtuales en entornos controlados y poder mostrarle al usuario a qué esta expuesto. Estas prácticas deben ser sin fines maliciosos, pero si para educar a los usuarios sobre cualquier temática de seguridad informática pero si recalcando el alcance de cada una de ellas. La prevención es un arma muy poderosa contra las ciberamenazas.

Los delincuentes cibernéticos ya no lanzan millones de correos electrónicos a la deriva como sucedía anteriormente, ahora utilizan técnicas dirigidas e intentan integrar tácticas de ingeniería social. Las redes sociales son puente para que los cibercriminales investiguen e incluso creen perfiles falsos para robar la información de las futuras víctimas.

 Investigadores de Websense indicaron que las principales líneas de ataque son las siguientes:
  1. Invitación a conectarse en LinkedIn.
  2. La entrega del mensaje ha fallado: devolver el mensaje al remitente.
  3. Querido cliente del banco .
  4. Comunicación importante.
  5. Mensaje no entregado devuelto al remitente.
Estas son las principales formas de engaño de los ciberdelincuentes para que los destinatarios hagan clic en un enlace malicioso y el archivo se descargue, infectando el dispositivo.

¿En la región somos ToE (Target of Evaluation)?

La firma Proofpoint se encontró un gran número de sitios web de WordPress que se vieron involucrados con un software malicioso llamado Qbot. La compañía analizó el malware y localizó un panel de control sin protección en un servidor utilizado por la banda para controlar las computadoras.

El panel de control arrojó una gran cantidad de información acerca de la campaña de malware, donde recogieron 800.000 credenciales de cuentas bancarias en línea, muchos de los cuales estaban en cinco de los mayores bancos de Estados Unidos y algunos en Europa.

Además de robar credenciales de banca en línea, los atacantes también parecen estar haciendo dinero de los ordenadores hackeados de otras maneras.

El malware Qbot también tiene un módulo llamado SocksFabric para una red de tunneling. Esa red se alquila a otros cibercriminales que pueden utilizar los ordenadores hackeados como proxies para utilizar sus propios datos en todo o enmascarar su actividad.

El 52% de los ordenadores comprometidos se ejecutaban con Windows XP. Sorprendente que todavía lo usen.

Un ejemplo de esta vigilancia la sufrió Costa Rica, en la cual, cerca de 100 clientes del Banco Popular fueron víctimas de una estafa que se realizó el pasado 27 de setiembre en la madrugada por el método de skimming. A cada cliente se le sustrajeron cerca de 250 USD, lo que entre todos equivale a un total de 25.000 USD.

Recuerde nuevamente, la prevención es su mejor arma.

No hay comentarios.:

Publicar un comentario