Este mes se caracterizo, como en otras oportunidades, por las altas tasas de propagación/infección de diferentes familias de códigos maliciosos a través de múltiples vectores de ataques entre los que prevalece el correo electrónico.
Sin embargo, prácticamente todas las novedades se vieron un tanto ofuscadas por la aparición de una vulnerabilidad critica que explota los sistemas operativos de Microsoft y que aún no posee solución oficial. En consecuencia, a continuación mencionamos las novedades más relevantes.
- A mediados de mes dimos la alerta sobre la existencia de una vulnerabilidad 0-Day (CVE-2010-2568), que aprovecha el modo en que Windows procesa los archivos de accesos directos (.lnk), empleada para la propagación de nuevos códigos maliciosos catalogados por ESET NOD32 y ESET Smart Security como Win32/Stuxnet.A y LNK/Autostart.A.
En el caso de Win32/Stuxnet.A (detectadas cuatro variantes hasta el momento), se trata de un malware complejo cuyas primeras variantes fueron diseñadas para atacar determinados programas de SIEMENS para el sistema SCADA y su foco de propagación se centró fundamentalmente en Estados Unidos e Irán.
Unos días después aparecen nuevas familias de malware explotando la vulnerabilidad, que proactivamente los productos de ESET detectan como Win32/TrojanDownloader.Chymine.A, un troyano que descarga otro malware cuyo principal objetivo es robar información sensible de las computadoras infectadas; y Win32/Autorun.VB.RP propagándose a través de dispositivos USB. Luego, nuestro Laboratorio de Análisis e Investigación detectó que el exploits ha sido incorporado en un crimeware llamado Zombie Explotation Kit, y por último, la propagación de una variante del virus Sality y del troyano ZeuS también aprovechando la vulnerabilidad.
Por el momento no existe solución oficial, por lo que recomendamos tomar medidas preventivas a través de buenas prácticas para minimizar la probabilidad de ser víctimas de estas amenazas. - El "caso Bruno", llamado así por el arquero Bruno Fernandes del equipo de fútbol Flamengo; tomo mucha repercusión en Brasil también a mediados de mes. Esta situación motivó a los delincuentes informáticos a tomarlo como estrategia de engaño para la propagación de malware, empleando como vector de ataque el correo electrónico.
Este tipo de casos son habituales cada vez que se produce algo que acapara la atención de los medios de información, sucediendo un escenario muy similar con Larissa Riquelme pero donde las estrategias de ataque fue el BlackHat SEO.
Sin embargo, al hablar de engaños, no es común pensar que esos ataques estarán dirigidos a la comunidad de seguridad, pero nadie está exento de las actividades fraudulentas. Así lo demostró el ataque de malware a través de plugin de seguridad para Firefox. - Si bien la mitad de los usuarios reciben malware por correo electrónico, no es el único medio tecnológico empleado por los delincuentes, el teléfono también. Así lo anunció el equipo de ESET en Inglaterra, para alertar sobre la propagación de rogue y scam a través del teléfono. Aunque las noticias sobre incidentes de seguridad que involucren directamente la fusión entre malware y hardware no son habituales, no se encuentran al margen.
La noticia sobre la propagación de rogue empleando como canal de promoción el teléfono no es casual. Esto deja en evidencia la complejidad con la que operan los grupos de delincuentes a través de Internet donde los objetivos no se centran solamente en realizar ataques de DDoS a través de crimeware sino que también alimentar un negocio fraudulento en el cual, sin lugar a dudas el rogue y los fakeAV constituyen piezas de malware altamente explotables.
Como es habitual también, mes a mes ponemos a disposición de nuestros lectores recursos que cuentan con mayor nivel de información en torno a todos los incidentes y novedades mencionados por su grado de repercusión, que pueden encontrar en el Ranking de propagación de amenazas de junio y en el informe de amenazas.
Jorge Mieres
Analista de Seguridad
