Un whitepaper que resume los descubrimientos realizados durante los últimos dos años por el equipo de  investigadores de ESET Latinoamérica de los distintos engaños propagados a través de WhatsApp.

El ransomware, en sus variantes criptográfico y de bloqueo de pantalla, es un problema creciente para los usuarios de dispositivos móviles. En este paper observamos las detecciones de ESET para ver cuánto se extendió la amenaza, detallamos ejemplos resonantes en los últimos tres años y ofrecemos sugerencias para los usuarios.

¿Cómo hace una amenaza para generar bitcoins usando los recursos del equipo víctima? ¿A dónde van las ganancias? El equipo de investigación de ESET Latinoamérica acaba de publicar un interesante artículo analizando el accionar de un bitcoin miner en la región. Se trata de una amenaza que afecta casi de manera exclusiva a Perú y robó más de 138 bitcoins en su período de mayor actividad.

Este es un repaso de las vulnerabilidades en los navegadores web Internet Explorer y Edge para las que se emitieron revisiones en 2015, destacando aquellas que fueron explotadas antes de que hubiera un parche disponible. Además, analizamos las nuevas funcionalidades de seguridad de Google Chrome y Microsoft Edge, los exploits de Hacking Team y las nuevas características de EMET de Microsoft.

La Operación Potao Express se trata de un APT (amenaza avanzada persistente) que tenía como objetivos a entidades gubernamentales y militares de Ucrania. Esta operación de espionaje se desarrolló durante años y en diferentes campañas de propagación, inclusive utilizando una version troyanizada del software de cifrado TrueCrypt que elegía si infectar o no a usuarios basándose en los intereses de los creadores del malware.

Hemos logrado desmantelar una botnet dedicada al robo de información que afectaba en el 98% de los casos a usuarios latinoamericanos. Analizamos a Operación Liberpy en profundidad: sus acciones, campañas de propagación y técnicas de persistencia, así como estadísticas de los países afectados.

Durante 2013 y 2014 analizamos una gran cantidad de muestras de extensión CPL, de las cuales más del 90% provenía de Brasil. ¿Por qué los cibercriminales allí utilizan cada vez más los archivos CPL? ¿Qué ventajas tiene hacerlo?

Ataques 0-day, exploits para ataques dirigidos y el aumento en vulnerabilidades en Internet Explorer (IE) fueron característicos en 2014. También analizamos las técnicas de mitigación de exploits para usuarios de Windows y explicamos por qué no es tan fácil proteger el sistema operativo como parecería a primera vista.

Presentamos nuestros descubrimientos sobre las versiones recientes de TorrentLocker, con detalles técnicos sobre el cifrado que utiliza el ransomware y como referencia para la investigación futura sobre esta amenaza y el ransomware en general.

Este artículo hace parte de los resultados de la investigación con la descripción de la operación Windigo, sus escenarios de infección, la forma en que trabaja y como identificar si los servidores están comprometidos.

A lo largo del presente artículo, se repasarán cada una de las etapas de este ataque tratando de entender cuáles fueron las características que lograron saltar las barreras de protección de empresas, y remarcar una vez más que la combinación de técnicas de Ingeniería Social y códigos maliciosos pueden dejar vulnerables a los usuarios.

El malware ha evolucionado y, en la actualidad, busca robar información de la víctima con el mayor sigilo posible, de tal modo que el usuario no advierta que su equipo está infectado. En esta investigación, hemos identificado una amenaza particular que apela a tácticas combinadas de spam para su propagación y la utilización de navegadores y plugins correspondientes para llevar a cabo las acciones maliciosas. Finalmente, el malware bajo análisis aprovecha un servidor gubernamental de Brasil para enviar la información robada.

La doble autenticación se trata de un sistema que además de requerir una autenticación simple, como por ejemplo, nombre de usuario y contraseña; solicita el ingreso de un segundo mecanismo, como un código de identificación. Generalmente, este código se envía a un dispositivo del usuario, como un teléfono celular, para que luego, pueda ingresarlo para poder validarse en el equipo. En este sentido, y considerando que la doble autenticación es significativamente más segura que la simple, ¿se tratará del fin de las contraseñas tal y como se conocen en la actualidad?

El fenómeno de que los empleados de una empresa utilicen sus propios dispositivos para cumplir con las tareas diarias del trabajo se ha consolidado en los últimos meses y hoy se conoce como la tendencia BYOD (por las palabras en inglés Bring Your Own Device). La gran dependencia que se ha desarrollado por la conectividad y el acceso a la información en cualquier lugar y momento, combinado con los cada vez más livianos y portables dispositivos personales, ha dado un gran impulso a este fenómeno.

En el último tiempo, se ha venido observando un aumento en la cantidad de familias de códigos maliciosos diseñados para plataformas móviles, especialmente para el sistema operativo Android. Los troyanos SMS son una categoría de códigos maliciosos para teléfonos móviles cuyo objetivo principal es suscribir a la víctima a números de mensajería Premium. Por otro lado, los troyanos SMS son una de las categorías de códigos maliciosos para teléfonos móviles más antigua, cuyas primeras apariciones datan de 2004.

Flashback es una amenaza dirigida a la plataforma OS X detectada por primera vez en la primavera de 2011. Tras haber pasado inadvertida por varios meses, Flashback atrajo la atención general en abril de 2012, cuando logró infectar más de 500.000 equipos. ¿Cómo es posible que la tasa de infección haya sido tan elevada? ¿Las técnicas de ofuscación de Flashback son tan complejas como las generalmente asociadas a malware para Windows? ¿Cuál es la intención del perpetrador?

Integrantes del  Laboratorio de Análisis de Malware de ESET Latinoamérica notaron un importante incremento en las tasas de detección de un código malicioso particularmente en un país de Latinoamérica. Éste es un patrón de propagación poco frecuente, viéndose la gran mayoría de las veces porcentajes de detección similares en muchos países. Sumado a ello, se trata de una detección un tanto particular: ACAD/Medre, una firma creada para un archivo del popular software de diseño, Autocad.
A partir de estos datos, se procedió a analizar la muestra en cuestión, identificando un ataque de espionaje industrial diseñado exclusivamente para robar diseños, mapas y planos; y aparentemente dirigido para robar información de instituciones y empresas del Perú.

El uso de dispositivos móviles se encuentra en aumento desde hace años y, con la aparición de los smartphones, las capacidades de estas terminales han crecido de manera exponencial. Según el estudios de IDC, en el primer trimestre del 2011 se vendieron 371.8 millones de unidades, lo que significa un crecimiento de un 20% respecto al mismo período del 2010 (310.5 millones). En lo que respecta a la región de Latinoamérica, la relación entre la cantidad de smartphones y los dispositivos móviles tradicionales ya no es tan amplia, y por ello ha aumentado la cantidad de conexiones a redes 3G.
Este cambio permite a los usuarios contar con una conexión a Internet las 24 horas del día, como así también que transporten con ellos una gran cantidad de información en sus bolsillos, que años atrás no solían hacer. Todas las virtudes que ofrecen estas plataformas también traen aparejados ciertos riesgos, no solo relacionados con los códigos maliciosos, sino también al robo de información o la pérdida del equipo.

Desde el Laboratorio de Análisis de malware de ESET Latinoamérica investigamos  y analizamos diariamente cuáles son las tendencias en relación al desarrollo de amenazas y códigos maliciosos en la región.  Como resultado de este trabajo  se realizó la investigación de Dorkbot, un código malicioso que, en el último tiempo, ha alcanzado el  mayor índice de detección en Latinoamérica. El mismo se propaga a través de enlaces en Internet y, luego de comprometer el sistema, infecta los dispositivos de almacenamiento extraíbles que se conecten a éste.  Entre sus principales funcionalidades, cuenta con características que le permiten convertir el equipo infectado en parte de una red de equipos zombis (botnet).