Etiqueta: virus

Detectan ransomware que se propaga a través de alertas falsas de Windows

Tras finalizar la actualización gratuita a Windows 10, Norton dio la alerta sobre un nuevo tipo de ransomware detectado que engaña a los usuarios a través de una notificación de Windows falsa. El ataque provoca que el usuario piense que su suscripción ha caducado y tiene que llamar a un número para renovarla. La víctima, creyendo que se trata de una notificación genuina, paga el costo de la supuesta renovación sin darse cuenta que lo que realmente ha pagado es por el rescate de sus archivos.

“La estafa es muy convincente debido a que no contiene ningún defecto notable como faltas de ortografía o cualquier otro error. En este caso, es importante recordar que las actualizaciones de Windows provienen desde el sitio oficial de Microsoft o a través de Windows Update”, comentó Nelson Barbosa, ingeniero de seguridad de Norton.

También se encontró que el autor de la estafa deja expuesto el código para desbloquear el ransomware, pero la investigación de Norton señala que otros cibercriminales se benefician con esta clave al difundir consejos de eliminación que son falsos. Por ejemplo, uno de estos pide al usuario descargar una aplicación sospechosa para extraer con éxito la amenaza.

Es por ello que Norton nos comparte unos consejos básicos para protegerse del ransomware:

  • Realizar regularmente copias de seguridad de sus archivos para que se puedan recuperar después de eliminar el malware.
  • Mantenga su software de seguridad actualizado para evitar nuevos ataques.
  • Siempre actualice su sistema operativo a través de las herramientas y los sitios oficiales de los fabricantes. Las actualizaciones por lo general incluyen soluciones para las vulnerabilidades encontradas en versiones anteriores.
  • Tenga cuidado con los correos electrónicos sospechosos, especialmente si contienen archivos adjuntos o enlaces.

Si un dispositivo ha sido infectado con un ransomware, siga los siguientes pasos:

  • No pagar el rescate porque incluso después del pago, el dispositivo no puede ser desbloqueado.
  • La mayoría del ransomware puede ser eliminado sin dejar rastro en los dispositivos afectados gracias a herramientas gratuitas como Norton Power Eraser.

 

Redacción.

Siete tendencias que están arremetiendo a los endpoint

La seguridad de extremo a extremo se ha convertido en uno de los puntos fuertes de la seguridad, la cual aporta soluciones originales y diversas para las empresas. Entre ellas, le compartimos las 7 tendencias más populares, en algunos casos destacan por su sencillez, y en otros por su cobertura:

  1. La firma de virus es parte del pasado: debido a los kits de creación de virus que circulan por internet crear un software malignos es demasiado fácil, por lo que la mayoría de antivirus falla en más de la mitad de los casos al aparecer constantemente nuevos software peligrosos; aprovechándose de la popularidad de los virus en los medios, muchas soluciones de seguridad endpoint comprueban diariamente las noticias de seguridad para poder tener controlados el tipo de ataques que se dan.
  2. Monitorear los programas ejecutables se queda en el 2015; los hackers de hoy en día emplean técnicas más sofisticadas, como emplear los comandos del Windows Powershell para dejar instalada el shell de comando, dejar varios textos con instrucciones preparados y comprometer la máquina sin casi dejar un rastro. Para reaccionar a esta nueva conducta los nuevos productos de seguridad rastrean cuales son las consecuencias finales en el extremo del dispositivo: ¿hay algún cambio raro en el Registro de Windows? o ¿se mueven ficheros?.
  3. Para evitar que los hackers consigan escalar privilegios, una de las tácticas más usadas recientemente, es importante seleccionar un producto que pueda monitorear los cambios en esta área; es habitual que un ciberdelincuente penetre en la red con un usuario y que vaya consiguiendo poco a poco privilegios del nivel de administrador.
  4. Las amenazas internas son las más perniciosas, por lo que bloquearlas se ha convertido en el auténtico reto para muchas organizaciones. Para evitar que los virus accedan a una red interna mediante un punto de confianza de la compañía es necesaria una herramienta capaz de mapear esta red y sus movimientos.
  5. Una solución que puede ahorrar muchos problemas son las especializadas en detectar los movimientos de información privada o confidencial, en esta época en la que el ransomware está a la orden del día.
  6. Otra aplicación popular de seguridad se centra en el uso del Big Data y la analítica basada en la nube para evaluar la conducta de la red, ahorrándose así el peso de los datos que se relegan a la nube. De esta forma, empleando técnicas de Big Data y de visualización de datos, pueden identificarse y bloquearse potenciales ataques.
  7. Estándares de informes de ataques, tales como CEF, STIX o OpenIOC, están siendo integrados en muchos productos endpoint.

Redaccióm

Cómo eliminar el malware de una PC con Windows

Si su equipo de cómputo se comporta de alguna forma rara, algunas veces anda lento, puede que se encuentre infectado por un virus, spyware, o cualquier otro malware de los que circulan por la red. A continuación le mostramos los pasos para eliminarlo.

Aunque la lentitud de un equipo de cómputo puede ser a causa de varios síntomas, como el mal funcionamiento del hardware, es mejor asegurarse que el sistema operativo y software están limpios antes de invertir dinero en nuevos componentes. Por ello, debe asegurarse que la lentitud, no es causada por algo relacionado con el software que afecte sobre el sistema operativo.

Paso 1: Acceda de forma segura

Como primera medida a llevar a cabo, es desconectar el equipo de la red con el fin de prevenir que el malware pueda seguir robando sus datos privados. Si piensa que la PC puede estar infectada con malware, pruebe con iniciar la computadora en el Modo Seguro de Windows. Conseguirá que solo los programas y servicios imprescindibles sean cargados, frente al inicio normal en el que muchas otras aplicaciones se han instalado. Esto es importante porque le permitirá borrar fácilmente los archivos debido a que no se están utilizando o se encuentran activos.

Para iniciar este modo en un equipo con Windows 10, pulse sobre el botón de inicio en Windows 10 y seleccione la opción de reiniciar. Mantenga oprimida la tecla de mayúsculas mientras hace clic en reiniciar. Cuando aparezca el menú de pantalla completa, seleccione la opción de solución de problemas. Le aparecerá un menú con las opciones de inicio numeradas; seleccione el número 4 que se corresponde con el modo seguro. Si opta por mantener la conexión de red, también puedes seleccionar la opción 5.

Si con este proceso ya aprecia mayor velocidad en el inicio, podría deberse por la presencia de malware, o bien, por tener un montón de programas oficiales que afectan el registro de arranque de Windows.

Paso 2: Elimine los archivos temporales

Una vez que está en el modo seguro “Safe Mode” de Windows, puedes ejecutar un escaneado de algún antivirus. También es un buen momento para borrar todos los ficheros temporales. Utilice la herramienta de liberador de espacio en disco. El equipo buscará y le ofrecerá las mejores opciones para eliminar ficheros duplicados y archivos en desuso.

Paso 3: Descargue programas que escaneen malware

En ocasiones, efectuar un escaneado de este tipo valiéndonos de programas que publican las compañías de seguridad permite deshacernos de las infecciones más habituales que circulan por la red. En el caso de que su equipo ya cuente con una versión de antivirus, es recomendable utilizar un escáner de malware diferente, ya que puede darse el caso de que su programa no lo haya detectado. Recuerde que ningún antivirus, ni tan siquiera las primeras marcas, pueden detectar la totalidad de los millones de tipos de malware y sus variantes.

Existen dos tipos de programas antivirus; los que analizan en tiempo real aunque para ello lo hacen en segundo plano, y los que analizan el equipo bajo demanda, los cuales buscan infecciones malware cuando abrimos un programa manualmente o conectamos algún dispositivo a la PC. Si cree que su PC puede estar infectado, la recomendación es escanear en primer lugar con una versión bajo demanda como la de BitDefender Free Edition, Kaspersky Virus Removal Took, Avast, o la herramienta de eliminación de software malicioso de Microsoft.

windows-defender-

Paso 4: Filtros para el navegador

Las infecciones de malware también pueden afectar al navegador web, además de los archivos del sistema de Windows y otros entornos. Habitualmente, suele darse con que modifican la página principal del navegador web para volver a infectar la PC, o simplemente, bloquear anuncios al usar el bloqueador y dejar que haga su trabajo.

Dicho esto, antes de abrir el navegador web, verifique la configuración de la página de inicio y de conexión. Para Internet Explorer, acceda al panel de control de Windows 10 y selecciones sobre las opciones de Internet. Una vez dentro de los ajustes de la página de la ficha general, compruebe que la página se corresponde con la que habitualmente se abre el navegador. Para otros navegadores como Chrome, Firefox o Edge, sólo tendrá que acceder a la ventana de ajustes de su navegador y comprobar la configuración de la página principal.

Paso 5: Recupere los archivos corruptos

Si los pasos anteriores no ha verificado alguna mejora y el equipo sigue funcionando con gran lentitud, como medidas extraordinarias, hay que plantearse la realización de un backup de la información con el fin de ponerla a salvo, e intentar reinstalar de nuevo el sistema operativo Windows. Copie todos los archivos a una unidad externa. Si habitualmente lee el correo en Outlook o Windows Mail, asegúrate de que exporta el archivo con las copias de sus mensajes y bandejas.

Para la instalación limpia del sistema operativo, el proceso más cómodo es restaurar el equipo con los ajustes de fábrica utilizando para ello algún disco o imagen ISO de instalación de Windows. Cada fabricante de computadoras y portátiles suele asociar este inicio del equipo a una serie de combinación de teclas que deben pulsarse durante unos instantes. Consulta la información en la página web de su marca.

Paso 6: Mantener la PC limpia

Además de instalar un software antivirus tradicional, es conveniente utilizar el servicio gratuito de OpenDNS con el que conseguimos bloquear la visita y el acceso a los sitios web peligrosos. También conviene aprovechar los modos de uso avanzados que ofrecen los navegadores a la hora de consultar información. Las últimas ediciones han potenciado la posibilidad de navegar en modo privado, o con el sandboxing para evitar que cualquier tipo de malware descargado pueda dañar el equipo, siendo detectado previamente. Algunos programas antivirus ofrecen esta funcionalidad de sandboxing.

Una vez que el equipo vuelva a ejecutarse con normalidad, conviene adoptar ciertas medidas de seguridad, como el hecho de verificar las cuentas on-line, incluidas las del banco, correo electrónico y redes sociales. Busque actividades sospechosas y cambie las contraseñas, ya que algunos programas maliciosos se valen de estas prácticas.

Revise también las copias de seguridad previas y considere seriamente su eliminación para crear nuevas. Es la forma de eliminar cualquier posibilidad de que el equipo pueda volver a infectarse inconscientemente.

Por último, mantenga actualizados los programas y versiones habituales como los de Adobe y Microsoft, con sus respectivos parches de seguridad. Asegúrese de tener activado Windows Update para que se descargue y se instale la última actualización.

Alfonso Casas

 

Corren riesgo aplicaciones bancarias por virus SlemBunk

En una reciente investigación, la firma de seguridad FireEye, descubrió que el malware es aún más resistente que antes, lo que lo hace cada vez más peligroso, además de que se le utiliza como parte de una acción más grande en el proceso de ataques mucho más evolucionados.

En la encuesta encontró que un grupo de virus troyano que funciona a través de aplicaciones encubiertas, intentó robar datos de identificación a usuarios de Android con acceso a aplicaciones de banca. Estas aplicaciones maliciosas tienen la capacidad de obtener información personal y autentificar claves de acceso cuando se registra alguna solicitud específica. En la investigación inicial se identificaron más de 170 muestras del virus SlemBunk que han atacado a usuarios de 33 aplicaciones bancarias, especialmente en países de América del Norte, Europa y Asia Pacífico.

Para robar los datos de acceso del usuario, el virus se comunica con el servidor de comando y control para llevar a cabo diversas actividades dañinas. Cabe señalar que las descargas que se llevan a cabo a través de sitios de pornografía y también funcionan como un mecanismo de distribución  que alimenta al cuerpo de datos de SlemBunk.

Los especialistas observaron una cadena que estaba conformando un ataque prolongado. Esto significa que antes de comenzar a conformar un cuerpo de datos y atacar a un paquete de hasta tres aplicaciones (tipo gotero, downloader, carga útil) el agente malicioso debe estar instalado en el dispositivo, lo que complica el trabajo de los analistas para trazar el camino de regreso del ataque desde el origen, además de que encontraron que el malware tienen una presencia más persistente en el dispositivo infectado.

Al estudiar los códigos y la forma de acceso a los mensajes, también se identificaron varios servidores de control de URLs y comandos que permiten ver que se trata de una campaña organizada, personalizada y propietaria de un panel de administración. El registro récord de campos relevantes sugiere que se trata de una acción reciente y activa desarrollada en varios formatos.

SlemBunk inicia con las descargas, al principio, el virus se propaga por las copias de aplicaciones populares, tales como aplicaciones pornográficas y otras básicas. Inicialmente conocidas como “aplicación gotero”, buscan entrar en el dispositivo de la víctima para iniciar un ataque sostenido. De esta forma, un sitio web puede funcionar conteniendo un atajo oculto adicional: Si el sitio identifica que el acceso se hace desde un dispositivo Android, a continuación un cuadro de diálogo sugiere la actualización de JavaScript, y si el usuario acepta, entonces el dispositivo quedará infectado.

Eso es sólo la puerta de entrada de SlemBunk, que al inicio no afecta mucho al usuario; el problema surge al aceptar los siguientes pasos y entonces el usuario corre el riesgo de comprometer sus datos bancarios.

Durante la investigación de FireEye, se descubrieron varios hechos. En primer lugar, la interfaz administrativa alojada en el servidor de comando y control sugiere que el ataque es personalizable y la descarga puede adaptarse fácilmente de acuerdo con las especificaciones programadas por el atacante. Otro factor es que la información de programación para los dominios asociados ha demostrado que esta campaña de ataques es muy reciente, y sigue en curso, además de que probablemente continuará evolucionando en diferentes formas.

Finalmente la firma de seguridad se ha señalado que todo su equipo de investigación especializado en dispositivos móviles mantendrá una estrecha vigilancia sobre el tema.

-Redacción

Qué debe saber sobre Shellshock, también conocido como “Virus Bash”

malware_seguridadEsta semana finaliza con otra vulnerabilidad crítica y ampliamente generalizada que requiere atención inmediata. Más grande en alcance que Heartbleed, Shellshock afecta un programa de código abierto muy común que se llama “bash”. A continuación, Trend Micro explica qué es Shellshock, a qué afecta y como se puede proteger con los parches que ya están disponibles.

Bash es un intérprete de comandos comúnmente implementado en Linux, BSD y Mac OS X. CVE–2014–7169 proporciona los detalles.

El tl:dr que lleva este error es generalizado, tiene el potencial de hacer un daño significativo, y requiere poco o ningún conocimiento técnico para ser explotado. Debido al poder de LINUX, más de la mitad de los servidores de Internet, teléfonos Android y la mayoría de los dispositivos de la Internet de las Cosas (IoT), el alcance de Shellshock es muy amplio.

También, y dado que Bitcoin Core es controlado por BASH, esta vulnerabilidad puede afectar a sistemas de minería Bitcoin y otros relacionados con Bitcoin, haciéndolos potencialmente un objetivo muy atractivo para los atacantes.

 

El parche

Algunos distribuidores de LINUX publicaron un parche que proporciona una solución parcial a este error. Es recomendable implementar estos parches tan pronto como sea posible y estar preparado para desplegar otro parche una vez que los desarrolladores e investigadores confirmen la existencia de un parche con cobertura completa para esta vulnerabilidad. Las reparaciones para los teléfonos Android y otros dispositivos tendrán que venir de la fábrica.

 

La brecha

Siempre va a haber una brecha entre el momento en que un parche está disponible y el tiempo en el que el usted puede asegurarse de que está desplegado con éxito en todo su entorno.

Aquí es donde el control de compensación entra en juego. En este caso, usted debe tener un sistema de prevención de intrusiones (IPS) u otro heurístico basado en red para  monitorizar el tráfico de red de las instancias.

La protección a nivel de host puede ayudar a vigilar el tráfico de red que entra y sale de las instancias y buscar intentos de ataques, bloqueándolos antes de que puedan ser ejecutados y parchear prácticamente los servidores de forma eficaz. En este caso, el exploit es relativamente simple de identificar y un IPS debe ser capaz de prevenir cualquier intento de ataque que provenga de un software vulnerable.

 

¿Qué hacer?

Trend Micro detalla algunos pasos generales que todos debemos tener en cuenta para responder a esta emergencia, así como los pasos específicos que los clientes de Trend Micro deberían llevar a cabo.

En la actualidad existe un parche disponible para las distribuciones más afectadas que aborda parcialmente la vulnerabilidad. Se sigue trabajando en una solución más completa.

Este tema es urgente y debe ser abordado de inmediato. Afortunadamente, el plan de respuesta es muy sencillo.

– Si usted es el usuario final, tenga cuidado con los parches para su Mac, su teléfono Android, u otros dispositivos que pueda tener.

– Si usted está trabajando con los sistemas Linux, instale parches BASH inmediatamente.

– Si está ejecutando servidores web Linux / APACHE que usan scripts BASH, considere la reorganización de sus scripts para usar algo que no sea BASH hasta que un nuevo parche esté disponible.

– Si usted es el cliente de un servicio alojado, esté en contacto con ellos para saber si son vulnerables y conocer sus planes para resolverlo en caso de que lo sean.

 

El siguiente paso para proteger sus servidores debe ser:

– Asegúrese de que usted tiene un IPS desplegado delante de los servidores vulnerables, que el IPS está habilitado y que bloquea activamente los programas para CVE–2014–7169. Deep Security está disponible a pleno funcionamiento (software o servicio) que puede ayudar inmediatamente a los clientes.

– Puesto que los parches están disponibles asegúrese de instalarlos lo antes posible para asegurar la cobertura en capas (en conjunto con su IPS).

– Continuar monitorizando la situación a medida que evoluciona.

– Para equipos de escritorio vulnerables (como Linux y Mac OS X):

– Cambiar temporalmente la línea de comandos, o shell, a una sin esta vulnerabilidad. Esta vulnerabilidad en la actualidad sólo existe en BASH, otras líneas de comando no se ven afectadas. He aquí un how-to for Mac OS X.

– Una vez que el parche se pone a disposición del sistema operativo, despliéguelo.

 

Mark Nunnikhoven, ingeniero de seguridad de Trend Micro

Se incrementa 17% el número de sitios de phishing cada mes

Sitios de phishingLas webs fraudulentas, que conducen al usuario hacia sitios secundarios que no entraban en sus intenciones, siguen creciendo. El año pasado, el promedio mensual era de 96,609 grupos de sitios de phishing pero en el primer semestre de 2014 esta cifra ha aumentado de forma considerable, según datos recogido por Kaspersky Lab, obtenidos al calcular el número de estos sitios que se agregan a su base de datos cada mes.

En lo que va de año, el promedio es de 113,500 nuevos cada mes, lo que supone un incremento del 17.5%. Y no sólo se nota un mayor número de enlaces falsos, sino que, además, son eliminados más rápidamente, de forma deliberada. Estos periodos de vida tan breves dificultan mucho la tarea de los programas antiphishing.

Para mantenerse alejado de los sitios phishing, además de tener instalado un buen programa de seguridad, hay una serie de recomendaciones básicas, como la de no hacer clic en enlaces sospechosos o que se reciban por mail de fuentes que no sean de confianza, y entrar sólo en webs tecleando la dirección en la barra del navegador.

También resulta útil comprobar la barra del navegador en cuanto se haya descargado la página para asegurarse que el nombre del dominio corresponde con lo que se esperaba, asi como comprobar que el sitio usa una conexión segura. Si existen dudas lo mejor es no introducir datos personales bajo ninguna circunstancia.

El phishing es una forma bastante sencilla de engañar a los usuarios de Internet para que faciliten su información personal y financiera. Los atacantes crean nuevos enlaces de phishing cada minuto y los sitios de phishing actuales funcionan sólo durante un par de horas.

“El objetivo de esta estrategia es hacer imposible que la página tenga una mala reputación y tener un lugar en las bases de datos antiphishing establecidas por las empresas de seguridad. Esto, a su vez, cambia las reglas del juego para el desarrollo de productos antiphishing: ahora hay que vigilar cuidadosamente la relevancia de los grupos de sitios phishing almacenados en la base de datos. Estamos trabajando con malware ‘perecedero’ por lo que una reacción rápida ante cada actualización es crítica”, señaló Nadezhda Demidova, analista de contenidos de Kaspersky Lab.

Para estar totalmente seguro de su autenticidad, lo mejor es contactar con la empresa a través de su página web oficial, para asegurar la legitimidad de la misma. Y en cualquier caso, habrá que evitar introducir datos sensibles desde una WiFi pública.

Descubren nuevo virus diseñado para atacar al sector energético

Desde el año pasado, el equipo de F-Secure se encuentra realizando una estrecha vigilancia sobre la familia del malware Havex, diseñado para atacar a empresas del sector energético.

El virus está programado para infectar los sistemas de control industrial (ICS) de SCADA (supervisión, control y adquisición de datos), con capacidad de desactivar presas hidroeléctricas, sobrecargar las centrales nucleares e incluso apagar la red eléctrica de un país con solo pulsar un botón.

Desde hace unos meses se descubrió que Havex tiene un específico interés en sistemas de control industrial y utiliza un innovador enfoque de caballo de troya para comprometer a las víctimas. De acuerdo con los expertos, el troyano es una herramienta de control remoto genérica (RAT, por sus siglas en inglés) que recientemente se ha utilizado para llevar a cabo espionaje industrial contra una serie de empresas en Europa que utilizan o desarrollan programas y maquinaria industrial.

El equipo de F-Secure analizó 88 variantes de Havex RAT utilizado para obtener acceso a datos de redes y máquinas de interés. Este análisis incluyó la investigación de 146 comandos y control (C & C) de los servidores contactados por las variantes, que a su vez participan rastreando alrededor de mil 500 direcciones IP en un intento de identificar a las víctimas.

Además de los métodos de infección tradicionales como los exploits y correos electrónicos de spam, los ciberdelincuentes también utilizan un nuevo método eficaz para difundir Havex RAT: hackean los sitios web de compañías de software y buscan aplicaciones legales vulnerables en las que instalan el troyano.

Durante la instalación, la configuración del software corrupto suelta un archivo denominado mbcheck.dll, que es en realidad RAT, y que los atacantes utilizan como ‘puerta trasera’. Según los expertos en seguridad, los atacantes usan el servidor de control para el troyano (C&C) que da instrucciones a los ordenadores infectados de que descarguen y ejecuten otros componentes del software infectado.

 

-IDG Latin America

El 97% del malware móvil tiene a Android como objetivo

Android 96 por ciento malwareSegún datos de F-Secure, las amenazas dirigidas a Android representan el 97% del malware lanzado a dispositivos móviles durante el año pasado.

El Report H2 2013 elaborado por F-Secure Labs, lF-Secure, concluye además que los ataques de malware basados en web se duplicaron en la segunda mitad del 2013 en comparación con el primer semestre y fueron los más reportados durante el periodo, suponiendo un 26% de las detecciones, seguido por el gusano “

Según datos de F-Secure, las amenazas dirigidas a Android representan el 97% del malware lanzado a dispositivos móviles durante el año pasado.

El Report H2 2013 elaborado por F-Secure Labs, lF-Secure, concluye además que los ataques de malware basados en web se duplicaron en la segunda mitad del 2013 en comparación con el primer semestre y fueron los más reportados durante el periodo, suponiendo un 26% de las detecciones, seguido por el gusano “Conficker” con un 20% de detección.

Los tres exploits más detectados durante este periodo fueron los relacionados con Java, aunque se redujeron en comparación con el H1 2013. El malware para Mac se incrementó de manera lenta pero constante con 51 nuevas familias y variantes detectadas en 2013.

Asimismo, durante el año pasado llegaron a detectarse hasta 804 nuevas familias y variantes contra Android (238 en 2012). El 3% restante (23) se dirigieron a Symbian. Ninguna otra plataforma recibió amenazas.

Los 10 países que más amenazas contra Android han reportado totalizaron algo más de 140,000 detecciones de malware. El 42% de las detecciones reportadas provino de Arabia Saudí y el 33% de la India. Los países europeos recogieron un 15% y Estados Unidos el 5%.

Como la plataforma Android tiene de por sí pocas vulnerabilidades, el principal método de distribución son las descargas de aplicaciones infectadas a través de las tiendas de aplicaciones de terceros.

” con un 20% de detección.

Los tres exploits más detectados durante este periodo fueron los relacionados con Java, aunque se redujeron en comparación con el H1 2013. El malware para Mac se incrementó de manera lenta pero constante con 51 nuevas familias y variantes detectadas en 2013.

Asimismo, durante el año pasado llegaron a detectarse hasta 804 nuevas familias y variantes contra Android (238 en 2012). El 3% restante (23) se dirigieron a Symbian. Ninguna otra plataforma recibió amenazas.

Los 10 países que más amenazas contra Android han reportado totalizaron algo más de 140,000 detecciones de malware. El 42% de las detecciones reportadas provino de Arabia Saudí y el 33% de la India. Los países europeos recogieron un 15% y Estados Unidos el 5%.

Como la plataforma Android tiene de por sí pocas vulnerabilidades, el principal método de distribución son las descargas de aplicaciones infectadas a través de las tiendas de aplicaciones de terceros.

Un 96 % del malware en móviles está basado en Android, reporta Fortinet

Android 96 por ciento malwareEl año pasado fue un caldo de cultivo para el malware dirigido a los dispositivos móviles. Y es que, según los resultados de los Laboratorios FortiGuard de Fortinet sobre el panorama de amenazas para el periodo comprendido entre el 1º de enero al 31 de diciembre de 2013, Android fue la plataforma dominante elegida por los desarrolladores, representando el 96.5 % de todos los casos de infecciones detectadas de malware para móviles.

En segundo lugar, y muy distante de Android, el sistema operativo Symbian presentó el 3.45 %, mientras que BlackBerry, iOS, PalmOS y Windows no sumaron entre ellos ni siquiera el 1%.

Los laboratorios FortiGuard detectaron más de 1,800 nuevas y diferentes familias de virus durante el último año, y la mayoría de ellos apuntan hacia la plataforma Android de Google.

“Al ver el crecimiento del malware para Android, hay mucho por lo cual preocuparse mientras nos adentramos en el 2014. El crecimiento no muestra señales de desaceleración; de hecho, parece estar aumentando”, advirtió Axelle Apvrille, investigador senior de antivirus para móviles en los laboratorios FortiGuard.

Agregó que mientras más dispositivos basados en Android sean comprados y puestos en línea, las oportunidades de infección de parte de los atacantes también aumentarán.

Al tiempo que los ataques en plataformas como Symbian disminuyen, los atacantes han hecho de Android el blanco móvil número uno. El malware NewyearL.B para Android, incluido dentro de descargas aparentemente inocentes como una aplicación de linterna, continúa apuntando a millones de dispositivos y fue la familia de malware móvil número uno durante todo el año.

Usuarios inconscientes o desprevenidos que buscan probar el último juego o aplicación (app) se encuentran, sin saberlo, compartiendo una gran cantidad de información personal con un atacante. Esto da lugar a molestos anuncios invasivos y otros efectos negativos, tales como permitir que el NewyearL.B. agregue o remueva íconos del sistema y modifique o borre el contenido de cualquier dispositivo de almacenamiento externo. La distribución de malware para Android sigue acelerándose.

Según FortiGuard Labs, las 10 principales familias de malware móvil dentro del reporte de casos son:

1.    Android/NewyearL.B

2.    Android/DrdLight.D

3.    Android/DrdDream

4.    Familia Android/SMSSend

5.    Familia Android/OpFake

6.    Android/Basebridge.A

7.    Familia Android/Agent

8.    Android/AndCom.A

9.    Familia Android/Lotoor

10.                   Android/Qdplugin.A

 ZeroAccess, la botnet más prolífica del año

A principios del 2013, los Laboratorios FortiGuard informaron acerca de la botnet ZeroAccess y cómo sus controladores añadían sistemáticamente cerca de 100,000 nuevas infecciones por semana, llevando a los investigadores a creer que la persona o personas detrás de ella no sólo pagaban semanalmente una generosa cantidad de dinero para crear nuevas infecciones afiliadas, sino que eran capaces de generar una significativa cantidad de dinero al hacerlo.

“Vimos versiones de 32 y de 64 bits de ZeroAccess siendo usadas para cometer fraude al hacer clic, para envenenar los motores de búsqueda y para minar el Bitcoin. Con el dramático aumento en el valor del Bitcoin durante el 2013, es probable que los dueños de ZeroAccess hayan obtenido ganancias sustanciales a espaldas de sus víctimas”, explicó Richard Henderson, estratega de seguridad en los laboratorios FortiGuard.

Las 10 botnets principales dentro del reporte de casos en 2013 fueron:

1.    ZeroAccess (88.65% de dominio general)

2.    Andromeda (3.76%)

3.    Jeefo (3.58%)

4.    Smoke (2.03%)

5.    Morto (0.91%)

6.    Mariposa (0.43%)

7.    Waledac (0.18%)

8.    IMDDOS (0.18%)

9.    Mazben (0.15%)

10.                   Torpig (0.10%)

India, la que distribuye más spam en el mundo

A través de múltiples métodos, los spammers tratan de evitar que los escáneres (rastreadores), para animar a los usuarios a hacer clic en los enlaces contenidos en sus mensajes, incluyendo mensajes de fax falsos, anuncios farmacéuticos, e-cards (tarjetas electrónicas) y archivos maliciosos adjuntos o enlaces diseñados para distribuir malware.

“Tal vez lo más interesante es cuán diversificados en el mundo están los spammers en lo que al envío de mensajes se refiere: nuestras estadísticas muestran que mientras que cerca de la mitad de todos los mensajes que vimos en el 2013 vinieron de Europa Oriental y Rusia, los países restantes en nuestra lista de los 10 principales están ubicados alrededor del mundo”, aseveró Henderson.

En 2013, los 10 países principales que enviaron spam desde una IP (según el número de incidentes mensuales reportados con porcentaje de dominio general) fueron India (con 22.66%), China (18.39%), Bielorrusia (12.40%), Rusia (10.27%), Estados Unidos (10.06%), Kazajistán (6.14%), España (5.37%), Argentina (5.00%), Ucrania (4.93%) y Taiwán (4.78%).

ZeuS sigue siendo el rey del malware

En términos generales de malware para computadoras personales, el troyano ZeuS tomó el primer lugar en 2013, con más de 20 millones de intentos de infectar redes protegidas con FortiGate. ZeuS apareció por primera vez en las computadoras en el 2007 y ha sido una “piedra en el zapato” de los usuarios de Internet desde entonces. La fuga del 2011 del código origen de ZeuS llevó a una explosión de variantes de imitaciones por cibercriminales que buscaban hacer fortuna a costa de víctimas inocentes.

“Mientras que ZeuS se usaba usualmente como un troyano financiero, un número significativo de infecciones ZeuS fueron usadas para distribuir y ejecutar el ransomware Cryptolocker. Éste le dio un nuevo giro a los ransomware debido a que usaba pares de claves criptográficas generadas individualmente para encriptar completamente el contenido de la computadora de la víctima, y cualquier unidad mapeada sobre la cual la víctima tuviese la habilidad de escribir”.

De esta forma, como señaló Henderson, Cryptolocker le informaba entonces a la víctima que contaba con poco de tiempo para pagar un rescate significativo –a veces tanto como unos pocos cientos de dólares, y típicamente pagado únicamente con Bitcoin– antes de que la clave de cifrado usada para encriptar la computadora de la víctima fuese borrada, haciendo que los archivos de la víctima ya no pudiesen recuperarse en su totalidad.

Las víctimas variaban entre usuarios domésticos que perdían miles de archivos de valor personal como fotografías y películas caseras, empresas de todo tipo y entidades públicas. Cryptolocker también fue visto infectando a usuarios a través de otros métodos, incluyendo flash drives infectadas, usualmente en combinación con falsas herramientas para la activación de programas comúnmente esparcidos a través de sitios de intercambio de archivos y a través de correos electrónicos con datos adjuntos infectados.

Así, en 2013 las 10 principales familias de malware según el número de incidentes reportados fueron:

1.    Familia W32/ZeuS(Zbot)

2.    Familia W32/Tepfer

3.    JS/FBJack.A

4.    PDF/Script.JS

5.    Familia W32/ZeroAccess

6.    Familia W32/Kryptik

7.    Familia JS/IFrame

8.    W32/Yakes.B

9.    X97M/Agent.F

10.                   Familia W32/Blocker

Vulnerabilidades de día cero

Según Fortinet, desde que las investigaciones iniciaron en el 2006, los laboratorios FortiGuard han descubierto 142 vulnerabilidades de día cero. A la fecha, 14 de ellas aún continúan sin parches. En el 2013, los laboratorios descubrieron y responsablemente divulgaron 18 nuevas vulnerabilidades de ese tipo, 12 de las cuales continúan sin ser parchadas. La mayoría de estas vulnerabilidades fueron clasificadas como “Importantes” o “críticas”.

Para descargar el reporte completo de FortiGuard Labs, haga clic aquí.

 

Día del Amor, señuelo contra la seguridad en Internet

Día de San ValentínCheck Point Software Technologies alertó a los usuarios acerca de las amenazas más frecuentes que, usando como incentivo el Día del amor y la amistad, tratarán de infectar con malware a las computadoras de todo el mundo.

Entre ellas se encuentran las clásicas tarjetas electrónicas, que el fabricante de seguridad recomienda no abrir bajo ningún concepto, incluso aunque se conozca la identidad del remitente. Asimismo, se espera que este año los cibercriminales diseñen numerosos sitios web maliciosos que se esconderán tras la apariencia de páginas con descuentos en restaurantes, regalos o escapadas románticas.

Algunas recomendaciones

Al respecto, la compañía publicó un listado con las principales amenazas y recomendaciones de protección pertinentes en cada caso.

Para ellos en primer lugar están las tarjetas electrónicas. Si hacemos clic en el enlace, éste nos podría redirigir a un sitio de phishing diseñado para robar la información personal. Asimismo, al abrir o descomprimir cualquier archivo adjunto, podríamos infectar nuestra PC o laptop con software malicioso. La recomendación es no abrir ningún correo electrónico de esta tipología antes de consultar con el remitente.

Por otro lado, están las tiendas online. En lugar de introducir una palabra clave en los buscadores para localizar ofertas (como ‘restaurante’ o ‘flores’) se recomienda visitar directamente la página web de compañías de confianza. También se puede contemplar la posibilidad de instalar herramientas, para obtener información sobre la reputación de un sitio web.

Asimismo están los falsos perfiles en páginas web de citas. A medida que las citas online se hacen más populares en Internet, los hackers las ven como un suculento objetivo para perpetrar sus ataques. Recientemente, se ha revelado a la opinión pública el caso de una mujer estafada por 300,000 dólares en un sitio web de citas.

En estos casos, los ciber delincuentes utilizan imágenes de personas atractivas como señuelo y responden a los mensajes de los miembros interesados con enlaces de tipo malicioso.

Para el Día de San Valentín se espera un aumento de este tipo de perfiles, por lo que Check Point aporta unos sencillos consejos para comprobar la veracidad de un perfil. Aunque no es 100% infalible, uno de ellos consiste en confirmar la validez de una imagen en el perfil de alguien haciendo clic derecho sobre la imagen y seleccionando ‘Buscar en Google para esta imagen’. A partir de ahí se nos presentará una lista de las páginas que incluyen imágenes que correspondan, lo que nos puede orientar a la hora de decidir si ésta es legítima o no. Este método específico es muy útil también para comprobar la veracidad de las fotos en cualquier red social, aunque sólo funciona con Google Chrome.

Otra prueba de validez consiste en 4 pasos: 1) Guardar la imagen de perfil ‘dudosa’ en nuestra computadora, 2) Ir a images.google.com y hacer clic en el icono de cámara, 3) Hacer clic en la pestaña ‘Cargar imagen’ y después clic en Examinar. 4) Por último, ir a la carpeta en la que se ha guardado la imagen y pulsar Enter.