¿Son acaso nuevas herramientas para las guerras cibernéticas o grandes negocios para unos pocos? Es cierto que no deja de asombrar al usuario común la dificultad de enfrentar amenazas de virus y otros programas nocivos en el día a día.
por Osvaldo Callegari
Por ello tratamos de establecer contacto con empresas que están en este medioambiente para saber que está pasando dentro de nuestros computadores.
Si bien para una persona común un virus o malware es intangible e invisible dentro de su máquina, las circunstancias actuales han ido aumentando el nivel de peligrosidad a diferentes situaciones.
¿Que tipo de actividad realizaba un virus antes del 2000?, era pequeños programas que se diseminaban a través de copias de un disco compacto a otro o de un diskette a un disco rígido o simplemente de un computador a otro.
Haremos una descripción, si podemos decir cuán benévolos eran antes de esa fecha y en que se han convertido ahora.
Virus antes del 2000
¿Cuál era su actividad y propagación?
* Afectaba a archivos ejecutables (programas) haciéndolos inoperables o que presenten cambios erráticos.
* Afectaba a archivos de bases de datos haciéndolas ilegibles.
* Afectaba a programas del sistema operativo (Boot sector) por ejemplo haciendo que el computador no arranque debidamente.
* Generaba millares de copias llenando los discos de información sin uso alguno.
Virus del 2000 a la actualidad
¿Cuál era su actividad y propagación?
* Afectan la identidad de las personas, vulneran toda información confidencial
* Realizan procesos de arranque, detención o mal funcionamiento de sistemas controlados por computadores
* Convierten a las computadoras de usuarios comunes en terminales bobas para el manejo de información secreta
* Sirven de vigilancia de algunos gobiernos
* Se utilizan en algunos casos como herramientas de guerra
* Ciertas empresas de protección y seguridad generan sus propios virus para sus propias actualizaciones.
* Los gobiernos buscan a los técnicos de empresas de antivirus para realizar tareas de inteligencia.
* Utilizan métodos para impulsar publicidad a la fuerza en cada PC, un negocio millonario.
Evidentemente el rol cambió sustancialmente y las amenazas son otras.
Si bien decimos virus también decimos malware, podemos generalizar como códigos maliciosos que en esencia es lo que son.
Análisis de un caso en Latinoamérica
Como parte del trabajo de investigación del Laboratorio de ESET Latinoamérica, se realizó el seguimiento de un caso en la región, en el cual se recapitularán las capacidades de este código malicioso. La información capturada durante el análisis permite conocer los comportamientos de los ciber-criminales en la región y cómo utilizan los sistemas infectados para el robo de información.
El siguiente análisis corresponde a una variante de Win32/Dorkbot.B que se propagó mayoritariamente en Perú con la finalidad de realizar ataques de phishing. Los objetivos de este ataque son bancos de ese país y de Chile.
Campaña de propagación
Originalmente el ataque se propagó como una supuesta recarga gratuita de una reconocida compañía de teléfonos celulares. Los usuarios que quisieran obtener este falso beneficio descargaban el código malicioso y al ejecutarlo infectaban su sistema.
Propagación en redes sociales y mensajeros instantáneos
Una de las acciones que se detectó durante en el seguimiento de este ataque es que los equipos infectados utilizaban las redes sociales y los mensajeros instantáneos para continuar propagando la amenaza.
Desde el Centro de Comando y Control se envían mensajes para actualizar los mensajes de propagación y el intervalo con el que serán enviados.
Dorkbot su diseminación en Latinoamérica
Dorkbot se propaga a través del chat del facebook o en el messenger.
Infección
La primera acción del código malicioso después de ser ejecutado es agregar una entrada al registro de Windows para iniciarse automáticamente la próxima vez que arranque el sistema
Robo de información
Además del ataque de phishing y la propagación a través de las redes sociales, Dorkbot cuenta con un módulo de robo de información. Cuando el usuario se conecta a servicios como Gmail, Facebook, Hotmail o Twitter, las credenciales de acceso se envían al atacante. Este proceso se ejecuta cada vez que el usuario intenta iniciar sesión en alguno de estos servicios. La sustracción de datos personales le permite al atacante volver a propagar la amenaza con las credenciales obtenidas de los equipos zombis.
Cambios en las estrategias de propagación
Uno de los principales motivos para este cambio en las técnicas de propagación utilizadas, está acompañado de la evolución de los sistemas operativos. En las últimas versiones de los productos de Microsoft, la ejecución automática de medios de almacenamiento extraíble se encuentra desactivada.
Esta modificación lleva a los desarrolladores de códigos maliciosos a implementar nuevas técnicas de propagación y en el caso particular de Dorkbot fue muy efectiva. Se refleja en las estadísticas de toda la región: en 6 meses se consolidó como el código malicioso con mayor índice de detección para Latinoamérica
Dorkbot es el código malicioso con mayor crecimiento en el 2012, se ha propagado a través de dispositivos de almacenamiento masivo, redes sociales y mensajeros instantáneos con el objetivo de robar información.
Sin embargo, el impacto que tuvo en Latinoamérica, a diferencia del resto del mundo, remarca la falta de conciencia en lo que respecta a la utilización de software licenciado y la instalación de los parches de seguridad.
Además, es importante tener en cuenta que la educación es un factor muy importante en lo que respecta a la seguridad informática, ya que ayuda a mitigar los incidentes tanto para entornos hogareños como empresarios.
Según comenta Pablo Ramos Especialista de Awareness & Research: “Cuando hablamos acerca de códigos maliciosos hemos visto que son capaces de usar una gran cantidad de técnicas para evitar su detección en el sistema. Sin embargo, a través de un análisis minucioso de un sistema infectado es posible detectar de que manera se vulnera la privacidad del usuario y el atacante obtiene su información. En esta oportunidad, vamos a compartir con ustedes como una variante de Win32/Dorkbot, un gusano que se propaga en toda la región, obtiene las credenciales del usuario desde los procesos que se ejecutan en el equipo infectado.
La amenaza que vamos a analizar, se está propagando a través de correos falsos, y simula ser un sorteo para que el usuario obtenga un iPhone 4s. Recuerden que para evitar caer en ese tipo de engaños es recomendable reconocer de qué manera detectar un correo falso. Este gusano es detectado por ESET NOD32 Antivirus como Win32/Dorkbot.B. Un análisis preliminar del malware nos demuestra que se encuentra empaquetado con UPX, por lo tanto para realizar un análisis estático deberíamos desempaquetar la muestra para poder realizar un análisis estático.
Pero vamos a utilizar otro enfoque, cuando el sistema ya se encuentra infectado, Dorkbot se asocia a determinados eventos del sistema desde dónde captura la información. Por lo tanto, nosotros vamos a utilizar un debugger como el OllyDbg y algunas herramientas de Sysinternals para encontrar datos ocultos en el sistema.
Una vez que el sistema es infectado, sabemos que Dorkbot se ejecuta automáticamente al inicio y que además se oculta dentro de las carpetas del usuario. Pero a simple vista esta información no está, entonces para ver si hay algún tipo de dato oculto dentro del sistema utilizamos RootkitRevealer y vemos qué información nos reporta.
Con la información que nos reporta esta herramienta, podemos detectar dos cosas. La primera de ellas es que se crea una entrada en el registro para ejecutar la amenaza ante cada inicio del sistema, de esta manera el atacante se asegura que podrá robar la información del sistema afectando a todos los procesos que se ejecuten. La segunda, nos muestra en dónde se aloja una copia de este código malicioso, por defecto se utiliza una variable de entorno de Windows (%appdata%), por ejemplo la ubicación varia según si se trata de Windows XP o Windows 7.
Entonces de ahora en más, cuando el usuario inicie cualquier proceso en su sistema, los lugares a los que acceda son monitoreados por este código malicioso y enviados al atacante. Por ejemplo, cuando el usuario inicia un navegador e intenta conectarse a las redes sociales, sus credenciales de acceso son capturadas por Win32/Dorkbot y enviadas a través del protocolo IRC al atacante. En la siguiente captura vemos cómo dentro del mismo proceso del navegador, este código malicioso esta interceptando los datos de conexión para luego enviarlos al centro de comando y control de la red de computadoras infectadas:
En la imagen se puede observar con el valor “-E9 8D2674C0” y el salto a la dirección de memoria 00162160, esto significa que se está realizando un Hook a la función HttpSendRequestW perteneciente a la librería Wininet.dll de Windows. Ante cada llamada a esta función, se interrumpe el funcionamiento normal del navegador y el código malicioso puede obtener información. Además de esta función se interceptan otras llamadas con el objetivo de realizar diferentes acciones.
En conclusión, este tipo de técnicas pasan desapercibidas para el usuario que no cuenta con una solución antivirus corriendo que detecte de manera proactiva estos códigos maliciosos.
Como vemos en el comentario técnico de Ramos, no es sencillo dilucidar un virus y su comportamiento, tal es así que se está perdiendo credibilidad en las empresas que generan protección, habrá que ver que el resultado final puede ser abierto o inesperado.
Dorkbot ha sido analizado por expertos como generador de falsos positivos
Un falso positivo es cuando un antivirus detecta erróneamente un software legítimo como si fuera portador de un virus o malware. Las causas mas frecuentes son imitar tener un comportamiento similar a un virus, aplicaciones que se pueden utilizar con fines oscuros.
Un informe técnico o ficha descriptiva según el centro de protección de amenazas de Microsoft
Gusano: Win32/DorkboT
Dorkbot puede tener los siguientes alias de nombre
* Win-Trojan/Injector.636416.D (AhnLab)
* W32/Dorkbot.B.gen!Eldorado (Command)
* Trojan.Injector!mcxcCCeftrA (VirusBuster)
* W32.IRCBot.NG (Symantec)
* WORM_DORKBOT.QUN (Trend Micro)
* ngrBot (other)
El nivel de alerta es muy severo
Win32/Dorkbot es una familia de gusanos basados en IRC que se propaga a través de unidades extraíbles, programas de mensajería instantánea y redes sociales. Las principales redes de propagación son Facebook, Twitter, Bebo, Vkontakte una red social rusa.
Las variantes de Win32/Dorkbot captura nombres de usuario y contraseñas de comunicación de monitorización de red, puede bloquear páginas relacionadas con las actualizaciones de seguridad. También puede lanzar una negación de servicio limitado (DoS).
Algunos nombres adicionales que se conectan a canales IRC pueden ser:
* shuwhyyu.com
* lovealiy.com
* syegyege.com
* av.shannen.cc
Más adelante hablaremos del código malicioso Flamer y de Stuxnet utilizado por la primera potencia mundial para vulnerar sitios nucleares, estos dos virus están en la alfombra roja de las discusiones.
Los nombres y marcas mencionadas son nombres y marcas registradas por sus respectivos autores. Información técnica recopilada de ESET LATAM.y Microsoft Centro de Amenazas.
*Si desea puede escribirle al autor de este artículo por consultas o inquietudes a [email protected]
Deje su comentario