ZeuS timeline
noviembre 28, 2013 § Deja un comentario
En esta serie de posts vamos a presentar un resumen de las diferentes versiones y ramificaciones de la familia de troyanos ZeuS, amenaza que vimos nacer hace ya casi 7 años, y que todavía hoy, en su versión evolucionada, sigue siendo la herramienta preferida para atacar mayormente a entidades financieras.
En la línea de tiempo superior se puede ver claramente cómo ha sido la evolución del mismo y, sobre todo, la explosión de variantes posterior al filtrado del código fuente.
De esta manera, la rama 1.x dio lugar a diferentes versiones, si bien la versión 1.2.4.2 fue la que más éxito tuvo. Es por eso que la gente metida en el mundillo seguro que reconocerá rápidamente el fichero sdra64.exe como un ZeuS 1.2.x.
Durante la evolución del mismo, se han podido observar diferentes mejoras tanto en funcionalidades como en protección, y es que durante los años 2008 y 2009 se mantuvo un desarrollo continuado que dio lugar a las versiones 1.1 a la 1.4, momento en el que se da un lavado de cara y se pasa a la versión 2.0.
A finales de 2009, con el troyano consolidado como el rey (con permiso de SpyEye) de los troyanos bancarios, surge esta nueva versión, que marcará un antes y un después con el filtrado del código fuente de la versión 2.0.8.9 en abril-mayo de 2011.
Si nos fijamos en esa fecha, se puede observar que ya existen variantes antes de esa filtración, lo que puede indicar una compra del código fuente o la verdadera evolución de ZeuS por parte de su desarrollador como se rumorea. De ahí surgió Licat, la variante más evolucionada de todas y que actualmente se conoce como Murofet. Cabe recordar que esta variante utiliza un algoritmo de generación de dominios desde sus inicios y actualmente como backup al sistema P2P de comunicación, lo que dificulta su uso como variante comercial tipo Crimeware.
También se pueden observar otras variantes menos relevantes como la que denominamos ZeuS Cryptless, debido a que se parece mucho al ZeuS 2.x estándar, pero no incluye cifrado de strings, por ejemplo, así como la variante que denominamos ZeuS Process o ZeuS Tasks, que tienen la peculiaridad de no inyectarse en el proceso explorer.exe y terminar, sino que mantendrán el proceso en memoria y, como el nombre indica, utilizará las tareas de Windows para ejecutarse, además de ser utilizado para cometer Click Fraud.
Tras el filtrado del código fuente, han ido apareciendo paulatinamente diferentes versiones, con más o menos modificaciones, desde ICE-IX (cuyas nuevas versiones son conocidas como ZeuS 4.3.3.3), una versión ZeuS 2.3.2.0 que utiliza AES como algoritmo de cifrado, el plugin bancario de Ramnit que dota a este virus de una nueva funcionalidad, la versión que utilizaba Tor para comunicarse con el panel de control, conocida como Skynet, la versión que utiliza SSL, o la más famosa y elaborada Citadel, además de las más recientes KINS y PowerZeuS.
Así pues, el panorama de las variantes de ZeuS se torna cuanto menos complejo, y ya requiere un esfuerzo para mantenerse al día de las diferentes versiones de esta misma familia, que 7 años después, sigue siendo una de las mayores amenazas para el sector financiero. En el siguiente post se detallarán algunas de las diferencias encontradas entre las diferentes variantes comentadas aquí. Mientras tanto… si has visto alguna que no hayamos contemplado, puedes dejar tu comentario 🙂
Continuar leyendo ZeuS timeline Parte II y Parte III
Fuente: S21sec
La #NSA infectó más de 50.000 redes con malware
noviembre 25, 2013 § Deja un comentario
La NSA también nos infecta con malware para tenernos controlados, a la espera de que un espía gubernamental americano apriete un botón, y al instante comience la recolección de información privada.
Mashable informa de los últimos documentos publicados por Edward Snowden, que en esta ocasión recoge el periódico holandés NRC. En ellos se revela un PDF de alto secreto perteneciente a la NSA, la Agencia de Seguridad Americana, fechado en 2012, en donde se muestran unos puntos amarillos que hacen referencia a «más de 50.000 redes con implantes CNE«.
Las siglas CNE significan Computer Network Exploitation, es decir, simple y llanamente, malware que infecta ordenadores.
Como se puede ver, los puntos amarillos en donde más se concentran dichas infecciones se encuentran en Asia, Sudamérica, México, y parte de África.
Según los documentos filtrados, el malware fue desarrollado por el departamento de élite de la NSA, llamado TAO, que tiene a su disposición más de mil hackers altamente cualificados. Este malware actúa como una célula durmiente. Puede permanecer oculto muchos años, indetectable, y activarse o desactivarse a voluntad. Cuando un hacker lo «despierta», automáticamente comienza a recopilar toda la información de la red en donde está oculto.
Tal como puede verse en la parte inferior de la imagen, esta información secreta se compartía con las agencias de espionaje de Australia, Canadá, Reino Unido y Nueva Zelanda, los principales aliados anglosajones de Estados Unidos en el mundo.
Fuente: Computer Hoy
Svpeng, troyano-SMS para Android roba información financiera
noviembre 19, 2013 § Deja un comentario
El troyano para Android Trojan-SMS.AndroidOS.Svpeng sigue activo y los cibercriminales han aumentado su capacidad de ataque. De hecho, ahora Svpeng también puede lanzar ataques phishing para conseguir información financiera de los usuarios. Según los expertos de Kaspersky Lab, cuando un usuario ejecuta la aplicación bancaria de alguno de los principales bancos de Rusia, el troyano sustituye la ventana abierta por una ventana fraudulenta diseñada para robar el nombre de usuario y contraseña de su víctima, enviando la información recogida a los cibercriminales.
El programa malicioso también utiliza un método similar para tratar de robar información de las tarjetas bancarias del usuario. El troyano revisa si Google Play se está ejecutando y si el programa está abierto, además, muestra una ventana sobre la ventana de Google Play, pidiéndole que introduzca los datos de su tarjeta bancaria.
Este mismo troyano también puede robar dinero de las cuentas bancarias de sus víctimas. Justo después de ejecutarse, envía mensajes SMS a los números de dos de los principales bancos rusos. Esto le permite revisar si las tarjetas de estos bancos están asociadas con el número del teléfono infectado, averiguar el balance de la cuenta y enviar los datos al servidor de C&C malicioso. Si el teléfono está relacionado con una tarjeta bancaria, el servidor de C&C puede enviar órdenes para transferir dinero de la cuenta del usuario a su cuenta móvil o a la cuenta bancaria del cibercriminal.
Por ahora, Svpeng sólo ataca a los clientes de bancos rusos, pero es posible que los cibercriminales estén haciendo una primera prueba de sus ataques para después difundirlos por todo el mundo. Parece que el troyano tiene un interés particular por los siguientes países: Estados Unidos (Us), Alemania (De), Ucrania (Ua) y Bielorrusia (By).
Fuente: Muy Seguridad
Mastiff, automatización de análisis de malware
noviembre 19, 2013 § Deja un comentario
Hoy en día con la cantidad de malware que sale, es imposible poder analizar todas las muestras. Solamente analizando las muestras que desinteresadamente investigadores colocan para que te las puedas bajar de forma pública es complicado estar al día. Si a eso le sumas, el echo de tener sensores por ahí montados para analizar mas malware se te hace un trabajo bastante tedioso. Dependiendo de a la finalidad a la que te dediques el ámbito con el que se abordará esta ardua tarea será una y otra.
Mastiff es una herramienta que nos puede ayudar en el análisis masivo de muestras.
Antes de empezar a jugar con él os voy a pedir que lo uséis en la distribución Remnux, puesto que ya viene instalado. Una vez que tengáis la distribución bajada deberemos primero de actualizar el script de Mastiff.
wget http://remnux.org/mastiff-upgrade.zip
unzip mastiff-upgrade.zip
cd mastiff-upgrade
sudo ./upgrade_mastiff.sh
cd..
rm -rf mastiff-upgrade mastiff-upgrade.zip
Microsoft crear centro de cibercrimen
noviembre 18, 2013 § Deja un comentario
Nueva división ultramoderna de Microsoft, dotada de 100 expertos, combatirá el cibercrimen global en asociación con Interpol y autoridades nacionales.
Las constantes medidas adoptadas por empresas y gobiernos no han logrado reducir los índices de cibercrimen. Uno de los mayores actores globales de las TI, Microsoft, desde ya cuenta con un departamento especializado, denominado Unidad de Crimen Digital, desde donde combate principalmente los ataques contra sus productos y plataformas.
En esta oportunidad, la empresa ha intensificado aún más la lucha contra el cibercrimen complementando tal unidad con un nuevo centro dotado de tecnología de última generación, operado por un grupo interdisciplinario integrado por especialistas en seguridad informática y hardware, detectives, analistas y abogados.
El nuevo departamento, denominado Microsoft Cybercrime Center, combatirá activamente distintas formas de ciberdelincuencia, como por ejemplo propagación de malware, piratería, pornografía infantil, botnets, delitos económicos perpetrados mediante tecnologías informáticas, y suplantación de identidad.
Según Microsoft, el nuevo centro cuenta con tecnología de vanguardia desarrollada en la propia empresa que, entre otras cosas, hace posible visualizar e identificar amenazas en el ciberespacio, en todo el mundo, en tiempo real.
Microsoft considera que al haber agrupado tanta tecnología y conocimientos en un mismo lugar, el nuevo centro tendrá un gran impacto en el ámbito de la seguridad informática mundial. “Al combinar herramientas sofisticadas con las capacidades necesarias, enmarcadas en una nueva perspectiva, podremos hacer que Internet sea más segura para todos”, declara el consejero de la Unidad de Crimen Digital, David Finn, en un comunicado difundido el 14 de noviembre.
Fuente: DiarioTI
"Malware de Android se encamina hacia la comoditización" [f-Secure]
noviembre 17, 2013 § Deja un comentario
Según el informe de F-Secure Labs, las amenazas móviles continúan incrementando su complejidad y crece la preocupación por la privacidad de datos.
En el tercer trimestre del año se han descubierto 259 familias de amenazas móviles y variantes de las ya existentes. Según el estudio de F-Secure sobre amenazas móviles julio-septiembre 2013, 252 de ellas fueron en Android y 7 en Symbian.
Si se compara con el segundo trimestre, se puede observar un crecimiento sostenido de amenazas en dispositivos móviles con Android y una comoditización del malware. Junto con la aparición un nuevo conjunto de herramientas en julio, la carpeta Androrat APK, que simplifica el proceso de inserción de código malicioso en aplicaciones legítimas de Android.
En lo que refiere al incremento en la complejidad del malware en Android, el informe señala que en la actualidad una de cada cinco amenazas móviles es un bot. Sin embargo, gracias las medidas de seguridad establecidas por Google Play, se observó que se redujo la aparición de códigos maliciosos en la tienda de aplicaciones.
La preocupación actual en Google Play radica en aquellas aplicaciones que atentan contra la privacidad de los usuarios a través de la recolección de datos personales.
«Si bien los usuarios entienden que es cuestionable dar su información al big data, entregan la misma información a otras aplicaciones, donde comparten sus datos privados y gustos cada vez que las usan», señaló Sean Sullivan, Security Advisor de F-Secure Labs.
«Por lo menos, con compañías como Google hay una cierta responsabilidad en algunas prácticas de privacidad establecidas. Por ejemplo, si el usuario elimina su cuenta de Gmail, la empresa borrará sus datos. Sin embargo, con las aplicaciones es diferente, ya que no se tiene idea qué se está haciendo con la información recolectada. ¿Y saben qué están haciendo? La están vendiendo en redes comerciales», agregó el especialista.
Para más información sobre el panorama de las amenazas del tercer trimestre 2013, incluyendo troyanos en homebanking, la vulnerabilidad de contraseñas y recomendaciones para la protección contra el malware móvil, consulte el Reporte de Amenazas Móviles de Julio-Septiembre del 2013.
El informe fue presentado en este webinar por Mikko Hypponen, director de investigación de F-Secure y Sean Sullivan, Security Advisor de F-Secure Labs.
Fuente: DiarioTI
Dispositivos USB utilizados para infectar una planta nuclear de Rusia y llevar malware a la Estación Espacial
noviembre 13, 2013 § Deja un comentario
El hecho de que un ordenador que contiene información confidencial no está conectado a la Internet pública no significa que no puede ser infectado con malware. Según Eugene Kaspersky, el fundador del gigante de la seguridad informática Kaspersky Lab, los dispositivos USB pueden ser utilizados con éxito para infectar tales equipos.
En una charla que tuvo lugar la semana pasada en el Club de Prensa de Canberra, Kaspersky destacó dos incidentes de este tipo.
En uno de ellos, los ordenadores de una planta nuclear no identificada de Rusia han sido infectados con el notorio malware Stuxnet vía dispositivos USB. Hasta ahora, se creía que Stuxnet, una amenaza supuestamente desarrollada por los Estados Unidos e Israel, era utilizada sólo contra las instalaciones nucleares iraníes.
La Estación Espacial Internacional está entre los últimos lugares donde esperarías escuchar de una infección con malware. Sin embargo, según Kaspersky, también estuvo infectada con un virus llevado allí por los astronautas rusos en unidades extraíbles.
SC Magazine ofrece el vídeo de la presentación de Eugene Kaspersky en el Club de Prensa de Canberra
Fuente: Softpedia
GCHQ hackeó empresas de comunicaciones usando perfiles falsos de LinkedIn
noviembre 12, 2013 § Deja un comentario
Equipos del Government Communications Headquarters (GCHQ), el organismo espía de Reino Unido, ingresaron a las redes de empresas de telefonía móvil y de procesamiento de pagos usando perfiles falsos de LinkedIn infectados con malware.
Según publica Der Spiegel, GCHQ investigó a una serie de ingenieros que trabajaba en estas empresas y determinó quiénes usaban LinkedIn y quienes visitaban Slashdot.org, un sitio popular entre la comunidad de tecnologías de información.
La agencia usaba entonces una herramienta llamada «insersión cuántica» (Quantum Insert), que detecta cuando un objetivo (los ingenieros investigados) hacen un requerimiento a una web específica, como LinkedIn. Entonces se activan servidores especiales de la agencia en puntos críticos de la red, que entregan una copia exacta del sitio deseado, pero que incluyen el malware espía.
De acuerdo a los documentos obtenidos por Spiegel, provistos por Edward Snowden, Quantum Insert tiene varias versiones que han sido usadas por la NSA y por GCHQ.
El caso específico visto por el semanario alemán se refiere a la empresa belga Belgacom, donde según los datos, los espías británicos lograron un acceso «profundo» a las redes de la compañía. Aparentemente el objetivo habría sido infiltrar los teléfonos móviles operados en la red de las empresas, con el objetivo de convertir a cualquier teléfono en un dispositivo espía para escuchar conversaciones y obtener otros datos, simplemente usando el número telefónico. «Eso cambiaría las reglas del juego«, afirma el documento, con fecha de 2011.
Spiegel destaca que en el proceso de infiltración se hizo una investigación profunda sobre los ingenieros que trabajaban en las empresas de telecomunicaciones, siendo estos inocentes de algún crimen que requiriera tal investigación. En un caso, se revelan datos de un ingeniero de la empresa de cobros Mach, incluyendo los equipos que usó para conectarse a internet, su nombre en Skype, su Gmail, perfiles de redes sociales, las direcciones IP que usó para navegar, etc.
Fuente: Fayer Wayer
#badBIOS: aclaraciones sobre hipótesis, teorías y fantasías
noviembre 12, 2013 § 1 comentario
Se ha hablado bastante en los últimos días sobre un «misterioso» malware apodado badBIOS por el investigador Dragos Ruiu que lo ha encontrado y ha estado estudiando desde hace tres años (?!).
«Misterioso» porque el investigador no ha dado a conocer siquiera un borrador de documento de la investigación ni muestras completas.
Los primeros datos sobre el malware surgen principalmente a partir de una nota que describe con pocas pruebas y muchas hipótesis los múltiples poderes de este fantástico malware. Incluso otro profesional, Rob Graham, explica, según el propio Dragos mejor que él, algunas teorías sobre las hipótesis que Dragos ha planteado sobre el funcionamiento y características de este malware.
Para empeorar las cosas algunos han planteado, sin mayor información, comparaciones con obras de ingeniería como Stuxnet, con lo que han alimentado el torrente de comentarios y titulares sin bases al respecto.
Por suerte David García de Hispasec ha explicado de forma clara y concreta lo que hasta ahora se sabe por cierto (poco) y lo mucho que aun no se sabe, llamando a esperar antes de sacar conclusiones. Lectura recomendada en nuestro idioma y de un especialista.
De todos modos algunas cosas se pueden aclarar.
¿Es cierto que badBIOS tiene capacidades de infectar a equipos no conectados eléctricamente mediante ondas de sonido?
Este punto ha sido inicialmente mal explicado por el investigador y los columnistas. Tal capacidad de infectar mediante solo las vibraciones del aire (sonido) y sin conexión eléctrica, no existe ni es posible. Phillip R. Jaenke explica varios detalles sobre la imposibilidad de esa ridícula afirmación.
Dragos Ruiu dice taxativamente que no tiene evidencia que eso suceda. Solo que parece ser un medio de comunicación entre equipos ya infectados.
Es obvio que si un equipo no tiene un programa escuchando y preparado para interpretar un protocolo de comunicación, es imposible que ingrese un solo bit por los sonidos que detecte el micrófono.
¿Es cierto que badBIOS puede infectar y correr en BIOS de distintos motherboards, que el código es portable?
Este punto ha sido refutado con pleno conocimiento por el especialista Phillip R. Jaenke, dedicado exclusivamente a la codificación de BIOS por muchos años. Escribe y refuta todo el análisis en su nota «El análisis de badbios está profundamente equivocado» . Incluso Dragos Ruiu cita esa nota y no lo refuta, es más, dice que provee información útil.
¿Es cierto que badBIOS es indetectable en la BIOS?
Phillip R. Jaenke explica que eso sencillamente no es posible. Que es capaz de detectar al instante cualquier código extraño en el BIOS y detalla como.
¿Pero se han publicado muestra de BIOS «infectado»?
El investigador Igor Skochinsky, quien publicó «Rootkit in your laptop» en la conferencia Breakpoint 2012, dice que «he analizado el vuelco de memoria BIOS que se ha publicado y no encontré nada sospechoso. Y a diferencia de mucha gente que ha retwiteado esta historia, sé de lo que estoy hablando.«
¿Es cierto que badBIOS puede propagarse desde una memoria USB a otro equipo solo por conectarla, sin siquiera montarla?
¿Es cierto que badBIOS puede infectar equipos distintos gracias a los BIOS UEFI?
Nuevamente Phillip R. Jaenke explica y se ríe de tan equivocada afirmación.
¿Está suelto en circulación badBIOS?
No se sabe, nadie lo ha reportado. De hecho no se ha publicado código alguno para identificarlo, ni se sabe nada de su vector de propagación. Tal es el grado de desconocimiento en concreto hasta el momento sobre este malware.
Conclusiones
A diferencia de otros casos esta investigación se realiza en forma privada por un solo especialista. Dragos Ruiu admite que si bien algunos colegas lo han ayudado en su investigación, esta no ha sido revisada o verificada por otros expertos.
Cuando las investigaciones las realizan los laboratorios de empresas antivirus o de universidades, se dan a conocer muestras, comportamiento, firmas del código, explicación del funcionamiento y otros datos relevantes. Se sigue una metodología y se pueden ir dejando asentados los hechos y sus explicaciones.
Para el lector interesado hay algunas compilaciones de las fuentes original de información:
http://www.securityartwork.es/2013/10/30/badbios-2/
https://kabelmast.wordpress.com/2013/10/23/badbios-and-lotsa-paranoia-plus-fireworks/
Y un análisis de otro profesional de una firma antivirus que concluye que no hay motivo por el cual alarmarse al respecto de esta historia:
http://nakedsecurity.sophos.com/2013/11/01/the-badbios-virus-that-jumps-airgaps-and-takes-over-your-firmware-whats-the-story/
Personalmente creo que esta historia ha sido sobrevalorada solo por haber sido relatada en Ars Technica y por el vacío de datos y hechos comprobados sumados a especulaciones no verificadas que dieron lugar a cientos de comentarios, donde se perdió de vista el bosque.
Otras fuentes:
http://www.iamit.org/blog/2013/11/on-badbios-and-bad-behavior/
http://threatpost.com/dragos-ruiu-on-the-badbios-saga
Raúl de la Redacción de Segu-Info
Primer troyano para SAP
noviembre 4, 2013 § 1 comentario
Una nueva variante de un troyano bancario, contiene también código para buscar si el usuario afectado tiene el cliente SAP instalado, sugiriendo que los atacantes podrían atacar sistemas SAP en el futuro.
El malware fue descubierto hace unas semanas por la compañía rusa de antivirus Doctor Web, que compartió con el descubrimiento con investigadores de ERPScan, un desarrollador de productos de seguridad para sistemas SAP.
«Hemos analizado el malware y todo lo que hace hasta ahora es comprobar que el cliente tenga aplicaciones SAP instaladas», dijo Alexander Polyakov, Chief Technology Officer de ERPScan. «Sin embargo, esto podría ser el comienzo para futuros ataques».
Este tipo de malware hace un reconocimiento para ver si está instalado un software en particular, pero no se sabe si los atacantes planean vender el acceso a los sistemas infectados o pretenden explotarlos en un futuro cercano.
Esta es la primera pieza de malware dirigido a cliente SAP, que ha sido creado por ciberdelincuentes reales. Los clientes SAP tienen archivos de configuración que se pueden leer fácilmente y ellos contienen las direcciones IP de los servidores SAP a los cuales se conectan. Los atacantes podrían «engancharse» a los procesos de SAP para obtener los usuarios y contraseñas de SAP.
Con acceso al software de SAP, los atacantes podrían robar datos sensibles como información financiera, secretos empresariales, información sobre recursos humanos o lanzar ataques de denegación de servicio contra los servidores SAP de la empresa para desbaratar sus operaciones comerciales y causar daños financiero.
Fuente: Computer World
Seguridad Informática 
Debe estar conectado para enviar un comentario.