ZeuS timeline

noviembre 28, 2013 § Deja un comentario

En esta serie de posts vamos a presentar un resumen de las diferentes versiones y ramificaciones de la familia de troyanos ZeuS, amenaza que vimos nacer hace ya casi 7 años, y que todavía hoy, en su versión evolucionada, sigue siendo la herramienta preferida para atacar mayormente a entidades financieras.

En la línea de tiempo superior se puede ver claramente cómo ha sido la evolución del mismo y, sobre todo, la explosión de variantes posterior al filtrado del código fuente.

De esta manera, la rama 1.x dio lugar a diferentes versiones, si bien la versión 1.2.4.2 fue la que más éxito tuvo. Es por eso que la gente metida en el mundillo seguro que reconocerá rápidamente el fichero sdra64.exe como un ZeuS 1.2.x.

Durante la evolución del mismo, se han podido observar diferentes mejoras tanto en funcionalidades como en protección, y es que durante los años 2008 y 2009 se mantuvo un desarrollo continuado que dio lugar a las versiones 1.1 a la 1.4, momento en el que se da un lavado de cara y se pasa a la versión 2.0.

A finales de 2009, con el troyano consolidado como el rey (con permiso de SpyEye) de los troyanos bancarios, surge esta nueva versión, que marcará un antes y un después con el filtrado del código fuente de la versión 2.0.8.9 en abril-mayo de 2011.

Si nos fijamos en esa fecha, se puede observar que ya existen variantes antes de esa filtración, lo que puede indicar una compra del código fuente o la verdadera evolución de ZeuS por parte de su desarrollador como se rumorea. De ahí surgió Licat, la variante más evolucionada de todas y que actualmente se conoce como Murofet. Cabe recordar que esta variante utiliza un algoritmo de generación de dominios desde sus inicios y actualmente como backup al sistema P2P de comunicación, lo que dificulta su uso como variante comercial tipo Crimeware.

También se pueden observar otras variantes menos relevantes como la que denominamos ZeuS Cryptless, debido a que se parece mucho al ZeuS 2.x estándar, pero no incluye cifrado de strings, por ejemplo, así como la variante que denominamos ZeuS Process o ZeuS Tasks, que tienen la peculiaridad de no inyectarse en el proceso explorer.exe y terminar, sino que mantendrán el proceso en memoria y, como el nombre indica, utilizará las tareas de Windows para ejecutarse, además de ser utilizado para cometer Click Fraud.

Tras el filtrado del código fuente, han ido apareciendo paulatinamente diferentes versiones, con más o menos modificaciones, desde ICE-IX (cuyas nuevas versiones son conocidas como ZeuS 4.3.3.3), una versión ZeuS 2.3.2.0 que utiliza AES como algoritmo de cifrado, el plugin bancario de Ramnit que dota a este virus de una nueva funcionalidad, la versión que utilizaba Tor para comunicarse con el panel de control, conocida como Skynet, la versión que utiliza SSL, o la más famosa y elaborada Citadel, además de las más recientes KINS y PowerZeuS.

Así pues, el panorama de las variantes de ZeuS se torna cuanto menos complejo, y ya requiere un esfuerzo para mantenerse al día de las diferentes versiones de esta misma familia, que 7 años después, sigue siendo una de las mayores amenazas para el sector financiero. En el siguiente post se detallarán algunas de las diferencias encontradas entre las diferentes variantes comentadas aquí. Mientras tanto… si has visto alguna que no hayamos contemplado, puedes dejar tu comentario 🙂

Continuar leyendo ZeuS timeline Parte II y Parte III

Fuente: S21sec

Anuncios

La #NSA infectó más de 50.000 redes con malware

noviembre 25, 2013 § Deja un comentario

La NSA también nos infecta con malware para tenernos controlados, a la espera de que un espía gubernamental americano apriete un botón, y al instante comience la recolección de información privada.

Mashable informa de los últimos documentos publicados por Edward Snowden, que en esta ocasión recoge el periódico holandés NRC. En ellos se revela un PDF de alto secreto perteneciente a la NSA, la Agencia de Seguridad Americana, fechado en 2012, en donde se muestran unos puntos amarillos que hacen referencia a más de 50.000 redes con implantes CNE.

Las siglas CNE significan Computer Network Exploitation, es decir, simple y llanamente, malware que infecta ordenadores.

Como se puede ver, los puntos amarillos en donde más se concentran dichas infecciones se encuentran en Asia, Sudamérica, México, y parte de África.

Según los documentos filtrados, el malware fue desarrollado por el departamento de élite de la NSA, llamado TAO, que tiene a su disposición más de mil hackers altamente cualificados. Este malware actúa como una célula durmiente. Puede permanecer oculto muchos años, indetectable, y activarse o desactivarse a voluntad. Cuando un hacker lo “despierta”, automáticamente comienza a recopilar toda la información de la red en donde está oculto.

Tal como puede verse en la parte inferior de la imagen, esta información secreta se compartía con las agencias de espionaje de Australia, Canadá, Reino Unido y Nueva Zelanda, los principales aliados anglosajones de Estados Unidos en el mundo.

Fuente: Computer Hoy

Svpeng, troyano-SMS para Android roba información financiera

noviembre 19, 2013 § Deja un comentario

El troyano para Android Trojan-SMS.AndroidOS.Svpeng sigue activo y los cibercriminales han aumentado su capacidad de ataque. De hecho, ahora Svpeng también puede lanzar ataques phishing para conseguir información financiera de los usuarios. Según los expertos de Kaspersky Lab, cuando un usuario ejecuta la aplicación bancaria de alguno de los principales bancos de Rusia, el troyano sustituye la ventana abierta por una ventana fraudulenta diseñada para robar el nombre de usuario y contraseña de su víctima, enviando la información recogida a los cibercriminales.

El programa malicioso también utiliza un método similar para tratar de robar información de las tarjetas bancarias del usuario. El troyano revisa si Google Play se está ejecutando y si el programa está abierto, además, muestra una ventana sobre la ventana de Google Play, pidiéndole que introduzca los datos de su tarjeta bancaria.

Este mismo troyano también puede robar dinero de las cuentas bancarias de sus víctimas. Justo después de ejecutarse, envía mensajes SMS a los números de dos de los principales bancos rusos. Esto le permite revisar si las tarjetas de estos bancos están asociadas con el número del teléfono infectado, averiguar el balance de la cuenta y enviar los datos al servidor de C&C malicioso. Si el teléfono está relacionado con una tarjeta bancaria, el servidor de C&C puede enviar órdenes para transferir dinero de la cuenta del usuario a su cuenta móvil o a la cuenta bancaria del cibercriminal.

Por ahora, Svpeng sólo ataca a los clientes de bancos rusos, pero es posible que los cibercriminales estén haciendo una primera prueba de sus ataques para después difundirlos por todo el mundo. Parece que el troyano tiene un interés particular por los siguientes países: Estados Unidos (Us), Alemania (De), Ucrania (Ua) y Bielorrusia (By).

Fuente: Muy Seguridad

Mastiff, automatización de análisis de malware

noviembre 19, 2013 § Deja un comentario

Hoy en día con la cantidad de malware que sale, es imposible poder analizar todas las muestras. Solamente analizando las muestras que desinteresadamente investigadores colocan para que te las puedas bajar de forma pública es complicado estar al día. Si a eso le sumas, el echo de tener sensores por ahí montados para analizar mas malware se te hace un trabajo bastante tedioso. Dependiendo de a la finalidad a la que te dediques el ámbito con el que se abordará esta ardua tarea será una y otra.

Mastiff es una herramienta que nos puede ayudar en el análisis masivo de muestras.

Antes de empezar a jugar con él os voy a pedir que lo uséis en la distribución Remnux, puesto que ya viene instalado. Una vez que tengáis la distribución bajada deberemos primero de actualizar el script de Mastiff.

wget http://remnux.org/mastiff-upgrade.zip
unzip mastiff-upgrade.zip
cd mastiff-upgrade
sudo ./upgrade_mastiff.sh
cd..
rm -rf mastiff-upgrade mastiff-upgrade.zip

Contenido completo en fuente original DragonJAR

Microsoft crear centro de cibercrimen

noviembre 18, 2013 § Deja un comentario

Nueva división ultramoderna de Microsoft, dotada de 100 expertos, combatirá el cibercrimen global en asociación con Interpol y autoridades nacionales.

Las constantes medidas adoptadas por empresas y gobiernos no han logrado reducir los índices de cibercrimen. Uno de los mayores actores globales de las TI, Microsoft, desde ya cuenta con un departamento especializado, denominado Unidad de Crimen Digital, desde donde combate principalmente los ataques contra sus productos y plataformas.

En esta oportunidad, la empresa ha intensificado aún más la lucha contra el cibercrimen complementando tal unidad con un nuevo centro dotado de tecnología de última generación, operado por un grupo interdisciplinario integrado por especialistas en seguridad informática y hardware, detectives, analistas y abogados.

El nuevo departamento, denominado Microsoft Cybercrime Center, combatirá activamente distintas formas de ciberdelincuencia, como por ejemplo propagación de malware, piratería, pornografía infantil, botnets, delitos económicos perpetrados mediante tecnologías informáticas, y suplantación de identidad.

Según Microsoft, el nuevo centro cuenta con tecnología de vanguardia desarrollada en la propia empresa que, entre otras cosas, hace posible visualizar e identificar amenazas en el ciberespacio, en todo el mundo, en tiempo real.

Microsoft considera que al haber agrupado tanta tecnología y conocimientos en un mismo lugar, el nuevo centro tendrá un gran impacto en el ámbito de la seguridad informática mundial. “Al combinar herramientas sofisticadas con las capacidades necesarias, enmarcadas en una nueva perspectiva, podremos hacer que Internet sea más segura para todos”, declara el consejero de la Unidad de Crimen Digital, David Finn, en un comunicado difundido el 14 de noviembre.

Fuente: DiarioTI

"Malware de Android se encamina hacia la comoditización" [f-Secure]

noviembre 17, 2013 § Deja un comentario

Según el informe de F-Secure Labs, las amenazas móviles continúan incrementando su complejidad y crece la preocupación por la privacidad de datos.

En el tercer trimestre del año se han descubierto 259 familias de amenazas móviles y variantes de las ya existentes. Según el estudio de F-Secure sobre amenazas móviles julio-septiembre 2013, 252 de ellas fueron en Android y 7 en Symbian.

Si se compara con el segundo trimestre, se puede observar un crecimiento sostenido de amenazas en dispositivos móviles con Android y una comoditización del malware. Junto con la aparición un nuevo conjunto de herramientas en julio, la carpeta Androrat APK, que simplifica el proceso de inserción de código malicioso en aplicaciones legítimas de Android.

En lo que refiere al incremento en la complejidad del malware en Android, el informe señala que en la actualidad una de cada cinco amenazas móviles es un bot. Sin embargo, gracias las medidas de seguridad establecidas por Google Play, se observó que se redujo la aparición de códigos maliciosos en la tienda de aplicaciones.

La preocupación actual en Google Play radica en aquellas aplicaciones que atentan contra la privacidad de los usuarios a través de la recolección de datos personales.

“Si bien los usuarios entienden que es cuestionable dar su información al big data, entregan la misma información a otras aplicaciones, donde comparten sus datos privados y gustos cada vez que las usan”, señaló Sean Sullivan, Security Advisor de F-Secure Labs.

“Por lo menos, con compañías como Google hay una cierta responsabilidad en algunas prácticas de privacidad establecidas. Por ejemplo, si el usuario elimina su cuenta de Gmail, la empresa borrará sus datos. Sin embargo, con las aplicaciones es diferente, ya que no se tiene idea qué se está haciendo con la información recolectada. ¿Y saben qué están haciendo? La están vendiendo en redes comerciales”, agregó el especialista.

Para más información sobre el panorama de las amenazas del tercer trimestre 2013, incluyendo troyanos en homebanking, la vulnerabilidad de contraseñas y recomendaciones para la protección contra el malware móvil, consulte el Reporte de Amenazas Móviles de Julio-Septiembre del 2013.
El informe fue presentado en este webinar por Mikko Hypponen, director de investigación de F-Secure y Sean Sullivan, Security Advisor de F-Secure Labs.

Fuente: DiarioTI

Dispositivos USB utilizados para infectar una planta nuclear de Rusia y llevar malware a la Estación Espacial

noviembre 13, 2013 § Deja un comentario

El hecho de que un ordenador que contiene información confidencial no está conectado a la Internet pública no significa que no puede ser infectado con malware. Según Eugene Kaspersky, el fundador del gigante de la seguridad informática Kaspersky Lab, los dispositivos USB pueden ser utilizados con éxito para infectar tales equipos.

En una charla que tuvo lugar la semana pasada en el Club de Prensa de Canberra, Kaspersky destacó dos incidentes de este tipo.

En uno de ellos, los ordenadores de una planta nuclear no identificada de Rusia han sido infectados con el notorio malware Stuxnet vía dispositivos USB. Hasta ahora, se creía que Stuxnet, una amenaza supuestamente desarrollada por los Estados Unidos e Israel, era utilizada sólo contra las instalaciones nucleares iraníes.

La Estación Espacial Internacional está entre los últimos lugares donde esperarías escuchar de una infección con malware. Sin embargo, según Kaspersky, también estuvo infectada con un virus llevado allí por los astronautas rusos en unidades extraíbles.
SC Magazine ofrece el vídeo de la presentación de Eugene Kaspersky en el Club de Prensa de Canberra

Fuente: Softpedia

¿Dónde estoy?

Actualmente estás explorando la categoría malware en Seguridad Informática.