En marzo se ha detectado una actividad sin precedentes en lo que a programas maliciosos para Mac OS se refiere. Kaspersky Lab ha localizado más de 670 mil ordenadores Mac infectados a nivel mundial con el troyano Flashback, también conocido como Flashfake.
El caso más destacado fue probablemente el de distribución de spam a direcciones de organizaciones tibetanas. Este spam contenía enlaces al exploit Exploit.Java.CVE-2011-3544.ms, detectado por Alien Vault Labs. Este exploit está diseñado para instalar programas maliciosos en los ordenadores de los usuarios, según el tipo de sistema operativo con el que cuente el ordenador de la víctima.
Los programas maliciosos que pertenecen a esta familia se propagan camuflados en archivos con extensiones seguras. Durante el ataque de marzo, los ciberdelincuentes distribuyeron spam con imágenes eróticas con extensión .JPG y archivos maliciosos ejecutables camuflados como imágenes.
La novedad es que Flashback utiliza un interesante método para obtener comandos: lo hace a través de Twitter y no a través de una cuenta de usuario, que se puede desactivar, sino que busca tweets que contengan unos hastags específicos que cambian cada día. Para distribuir estos programas maliciosos, los cibercriminales también usaron 200.000 blogs hackeados que funcionaban bajo WordPress.
Amenazas móviles: Un troyano bancario para Android
Hace unos 18 meses se descubrió una versión móvil del troyano ZeuS, diseñado para robar números de autentificación para transacciones desde móviles. Aunque este tipo de amenaza tuvo algún desarrollo, es ahora cuando se ha detectado un programa malicioso que podría robar las credenciales (nombre de usuario y contraseña enviadas por SMS) para la autentificación de transacciones bancarias.
Todas las muestras conocidas del programa malicioso apuntan a los clientes de bancos españoles, pero uno de los servidores remotos al que el programa malicioso trata de conectarse estaba en la zona .ru (dominio que se ha desactivado).
Un informe sobre incidentes de seguridad de la NASA presentado recientemente ante la Comisión sobre ciencia, espacio y tecnología del Congreso de los EE.UU ha revelado varios ataques maliciosos contra agencias de investigación espacial.
Nadie está a salvo de la ciberdelincuencia y de sus sofisticados ataques, ni siquiera organismos que trabajan día a día con tecnología avanzada del más alto nivel. Durante 2011, se detectaron 47 ataques dirigidos contra la NASA, 13 de los cuales tuvieron éxito. Entre 2010 y 2011, se supo de más de 5.400 incidentes de diversa gravedad relacionados con acceso no autorizado a las redes de la agencia, o con programas maliciosos.
Además de estos ataques de hackers, la NASA sufre una constante pérdida de ordenadores portátiles con información confidencial. Desde 2009, se han perdido unos 50, incluyendo un incidente en marzo, cuando desapareció un portátil con información sobre algoritmos de gestión de la Estación espacial internacional.
La Agencia japonesa de exploración aeroespacial (JAXA) también ha publicado en el mes de marzo los resultados de una investigación sobre un incidente que ocurrió en el verano de 2011, que no fue detectado hasta enero de 2012.
En julio de 2011, un empleado de la JAXA recibió un mensaje de correo con un archivo malicioso. La solución antivirus de su ordenador no estaba actualizada, lo que posibilitó que el programa malicioso infectara el sistema. Los atacantes pudieron acceder a toda la información almacenada en el ordenador y pudieron potencialmente monitorizar de forma remota la información que aparecía en la pantalla. Por fortuna, según informa la agencia, el ordenador no contenía ninguna información confidencial.
Kaspersky Lab lleva ya seis meses inmerso en la investigación sobre el troyano Duqu. En marzo, han tenido lugar significativos avances, ya que se ha podido establecer el lenguaje empleado en su código Framework. Para este descubrimiento, Kaspersky Lab ha contado con la ayuda de la comunidad informática internacional, que ha proporcionado cientos de posibles explicaciones e hipótesis.
Una de las principales conclusiones apunta a que el código fue desarrollado por profesionales que prefieren una programación “a la antigua”. El enfoque de los creadores de Duqu suele darse en proyectos legítimos de programación, pero casi nunca en los de programas maliciosos. Existen más evidencias de que Duqu (y Stuxnet) es un desarrollo único que sobresale entre otros programas maliciosos.
El nuevo controlador de Duqu tiene las mismas funcionalidades que las anteriores versiones conocidas. Aunque los cambios en el código son insignificantes, demuestran que los creadores han hecho su trabajo de “corregir errores” para evitar su detección. No obstante, el módulo principal de Duqu asociado con este controlador no ha sido detectado aún.
Lucha contra la ciberdelincuencia: Clausura de la segunda red zombi Hlux/Kelihos
Kaspersky Lab, en colaboración con CrowdStrike Intelligence Team, Dell SecureWorks y Honeynet Project, ha logrado desmantelar la segunda red zombi Hlux/Kelihos.
Hlux/Kelihos es una red zombi peer-to-peer, que fue desactivada por primera vez en septiembre de 2011 con la colaboración de Kaspersky Lab. Actualmente, Kaspersky Lab está trabajando para desmantelar la tercera versión, llamada Kelihos C. Esta nueva versión, al igual que la anterior, presenta pequeños cambios respecto a ésta. Algunos investigadores se muestran escépticos ante la efectividad de los métodos empleados por Kaspersky Lab para neutralizar las redes zombi, pero mientras las nuevas versiones del bot no implementen cambios significativos en su arquitectura y en su protocolo de comunicación, continuará el “juego del gato y el ratón” Hasta que no se arreste a los dueños de la botnet, no se dará por concluida la historia de la red zombi
