El cierre de un nuevo trimestre de este 2015 nos deja mucho en materia de amenazas y ataques informáticos. A continuación repasaremos los principales acontecimientos que resonaron en la comunidad de seguridad de la información durante abril, mayo y junio, en un nuevo resumen trimestral de amenazas.
Abril
Durante este mes notamos que los gamers, en particular, han sido blanco de varias amenazas. Por empezar, con el esperado lanzamiento de Mortal Kombat X no tardaron en aparecer engaños como el falso crack que alojaba una variante de Zeus. Lo cierto es que se descarga un archivo comprimido con extensión .RAR, detectado como Win32/Spy.Zbot.ZR.
No nos sorprende que los atacantes hayan aprovechado la ocasión para propagar malware escondido en supuestas versiones liberadas del aclamado videojuego; de hecho, algo similar hicieron al anunciar juegos falsos en Steam que también eran títulos clonados. Sus páginas fueron diseñadas para parecer auténticas y convincentes, con nombres, trailers, capturas de pantalla y descripciones idénticas a las oficiales.
Los fanáticos de los bloques y la construcción también tuvieron fueron potenciales víctimas hasta que se reportó un exploit en Minecraft que propiciaba el colapso de sus servidores. Estaba relacionado a la forma en que estos descomprimen y analizan los datos, la cual, de ser aprovechada con fines maliciosos, puede causar una carga en el procesador que agotaría la memoria.
Mientras tanto, el equipo de investigadores de ESET trabajó incansablemente para develar dos grandes operaciones cibercriminales: por un lado, la familia de malware para Linux denominada Mumblehard, dedicada al envío masivo de spam desde servidores web. Durante la primera semana de abril, Mumblehard afectó a más de 3.000 máquinas, y el tamaño de la botnet se duplicó en un período de seis meses.
Por otro lado, Operación Buhtrap mostró motivaciones financieras atacando a los departamentos contables de empresas rusas, con una mezcla de programas de malware empaquetados y spyware hecho a medida, que lograba instalar un backdoor en el equipo víctima.
Mayo
Los scams estuvieron a la orden del día, utilizando títulos llamativos y personajes famosos como gancho para lograr que víctimas desprevenidas hagan clic. De esta forma, nos encontramos con el scam en Facebook que prometía un “video impactante”, pero solo se trataba de malware. Al hacer clic, los usuarios eran redirigidos a una página falsa de Facebook que les pedía compartir el contenido antes de verlo, y a otras páginas falsas que intentan robar su información personal.
El otro caso resonante estuvo ligado a la falsa noticia de la muerte de Ricardo Arjona, que contenía un enlace acortado que obtuvo más de 12.000 clics en dos días. Como suele suceder en engaños como estos, los usuarios nunca llegaban a ver el contenido prometido, que generalmente no existe.
Los investigadores de ESET continuaron su tarea develando a Linux/Moose, el gusano que ataca routers basados en Linux. Los operadores de esta botnet generan ganancias mediante fraudes en redes sociales y distribuyendo tráfico malicioso a través de ellas.
En Latinoamérica, la protagonista fue CPL malware, una campaña de troyanos bancarios y correos maliciosos que afectó principalmente a Brasil. A través del uso de Ingeniería Social, los cibercriminales logran engañar a sus víctimas para descargar y ejecutar en sus sistemas diversos tipos de amenazas, lo que les posibilita comprometer su información.
Junio
Si bien este mes estuvo marcado por una nueva campaña de propagación de un video para adultos en Facebook, lo que realmente hizo la diferencia fue la cantidad de vulnerabilidades y amenazas que afectaron a dispositivos móviles.
Estos fueron los principales casos que reportamos:
- Bug en Mail de iOS deja contraseñas de iCloud expuestas
Un investigador mostró una prueba de concepto que expuso un bug en la aplicación de e-mail de la última versión de iOS (8.3). Esta contiene una falla en el código asociado a los mensajes entrantes, que le permitiría a un atacante cargar contenido HTML en forma remota. Con esto, reemplazaría el mensaje del correo electrónico original por un pop-up que podría simular ser un pedido de credenciales de acceso de iCloud; cuando la víctima las ingrese, caerían en manos del cibercriminal.
- Vulnerabilidades app-to-app encontradas en iOS y OS X
Se trata de una serie de fallas que, combinadas, podrían explotar apps maliciosas para obtener acceso no autorizado a los datos almacenados por otras aplicaciones (contraseñas de iCloud, tokens de autenticación o credenciales web almacenadas en Google Chrome).
Los investigadores descifraron el servicio que almacena contraseñas y otras credenciales para aplicaciones de Apple, e identificaron nuevas debilidades dentro de los mecanismos de comunicación entre ellas, que se pueden utilizar para robar datos confidenciales de Evernote, Facebook y otros servicios.
- Vulnerabilidad que podría afectar a 600 millones de Samsung Galaxy
Se trata de una falla en el modo en que la app del teclado SwiftKey se actualiza, ya que consulta periódicamente a un servidor para comprobar si existen nuevas versiones. Pero como esta comunicación no está cifrada, un ataque Man-In-The-Middle (MITM) podría interceptarla y comprometer la integridad de los datos que se transmiten, enviando un código malicioso al equipo. De esta forma, la víctima instalaría un malware que podría tomar control de la cámara y micrófonos, instalar otras apps y robar información.
Si bien Samsung reconoció el problema, afirmó que es difícil y poco probable que la vulnerabilidad sea explotada en forma efectiva para afectar a un dispositivo, ya que requiere de condiciones específicas –como que el atacante y la víctima estén en la misma red insegura mientras se descarga una actualización del teclado. Por eso, evaluamos las implicancias reales de este caso.
Así, vemos cómo termina un nuevo trimestre que estuvo colmado de reportes de vulnerabilidades, campañas de propagación de malware disfrazadas en falsos videos o juegos, y operaciones cibercriminales de gran alcance.
