White Papers

White Papers

Un whitepaper que resume los descubrimientos realizados durante los últimos dos años por el equipo de  investigadores de ESET Latinoamérica de los distintos engaños propagados a través de WhatsApp.

El ransomware, en sus variantes criptográfico y de bloqueo de pantalla, es un problema creciente para los usuarios de dispositivos móviles. En este paper observamos las detecciones de ESET para ver cuánto se extendió la amenaza, detallamos ejemplos resonantes en los últimos tres años y ofrecemos sugerencias para los usuarios.

¿Cómo hace una amenaza para generar bitcoins usando los recursos del equipo víctima? ¿A dónde van las ganancias? El equipo de investigación de ESET Latinoamérica acaba de publicar un interesante artículo analizando el accionar de un bitcoin miner en la región. Se trata de una amenaza que afecta casi de manera exclusiva a Perú y robó más de 138 bitcoins en su período de mayor actividad.

Operación Groundbait es una campaña activa de espionaje cibernético en Ucrania, posiblemente con motivos políticos. Sus objetivos principales son los separatistas que operan contra el gobierno, funcionarios públicos, políticos y periodistas, entre otros.

Este paper presenta los descubrimientos de ESET basados en la investigación de la familia de malware Prikormka, activa desde al menos el año 2008.

Este es un repaso de las vulnerabilidades en los navegadores web Internet Explorer y Edge para las que se emitieron revisiones en 2015, destacando aquellas que fueron explotadas antes de que hubiera un parche disponible. Además, analizamos las nuevas funcionalidades de seguridad de Google Chrome y Microsoft Edge, los exploits de Hacking Team y las nuevas características de EMET de Microsoft.

 

La Operación Potao Express se trata de un APT (amenaza avanzada persistente) que tenía como objetivos a entidades gubernamentales y militares de Ucrania. Esta operación de espionaje se desarrolló durante años y en diferentes campañas de propagación, inclusive utilizando una version troyanizada del software de cifrado TrueCrypt que elegía si infectar o no a usuarios basándose en los intereses de los creadores del malware.

Hemos logrado desmantelar una botnet dedicada al robo de información que afectaba en el 98% de los casos a usuarios latinoamericanos. Analizamos a Operación Liberpy en profundidad: sus acciones, campañas de propagación y técnicas de persistencia, así como estadísticas de los países afectados.

Ataques 0-day, exploits para ataques dirigidos y el aumento en vulnerabilidades en Internet Explorer (IE) fueron característicos en 2014. También analizamos las técnicas de mitigación de exploits para usuarios de Windows y explicamos por qué no es tan fácil proteger el sistema operativo como parecería a primera vista.

Presentamos nuestros descubrimientos sobre las versiones recientes de TorrentLocker, con detalles técnicos sobre el cifrado que utiliza el ransomware y como referencia para la investigación futura sobre esta amenaza y el ransomware en general.

A lo largo del presente artículo, se repasarán cada una de las etapas de este ataque tratando de entender cuáles fueron las características que lograron saltar las barreras de protección de empresas, y remarcar una vez más que la combinación de técnicas de Ingeniería Social y códigos maliciosos pueden dejar vulnerables a los usuarios.

El malware ha evolucionado y, en la actualidad, busca robar información de la víctima con el mayor sigilo posible, de tal modo que el usuario no advierta que su equipo está infectado. En esta investigación, hemos identificado una amenaza particular que apela a tácticas combinadas de spam para su propagación y la utilización de navegadores y plugins correspondientes para llevar a cabo las acciones maliciosas. Finalmente, el malware bajo análisis aprovecha un servidor gubernamental de Brasil para enviar la información robada.

La doble autenticación se trata de un sistema que además de requerir una autenticación simple, como por ejemplo, nombre de usuario y contraseña; solicita el ingreso de un segundo mecanismo, como un código de identificación. Generalmente, este código se envía a un dispositivo del usuario, como un teléfono celular, para que luego, pueda ingresarlo para poder validarse en el equipo. En este sentido, y considerando que la doble autenticación es significativamente más segura que la simple, ¿se tratará del fin de las contraseñas tal y como se conocen en la actualidad?

El fenómeno de que los empleados de una empresa utilicen sus propios dispositivos para cumplir con las tareas diarias del trabajo se ha consolidado en los últimos meses y hoy se conoce como la tendencia BYOD (por las palabras en inglés Bring Your Own Device). La gran dependencia que se ha desarrollado por la conectividad y el acceso a la información en cualquier lugar y momento, combinado con los cada vez más livianos y portables dispositivos personales, ha dado un gran impulso a este fenómeno.

En el último tiempo, se ha venido observando un aumento en la cantidad de familias de códigos maliciosos diseñados para plataformas móviles, especialmente para el sistema operativo Android. Los troyanos SMS son una categoría de códigos maliciosos para teléfonos móviles cuyo objetivo principal es suscribir a la víctima a números de mensajería Premium. Por otro lado, los troyanos SMS son una de las categorías de códigos maliciosos para teléfonos móviles más antigua, cuyas primeras apariciones datan de 2004.

Flashback es una amenaza dirigida a la plataforma OS X detectada por primera vez en la primavera de 2011. Tras haber pasado inadvertida por varios meses, Flashback atrajo la atención general en abril de 2012, cuando logró infectar más de 500.000 equipos. ¿Cómo es posible que la tasa de infección haya sido tan elevada? ¿Las técnicas de ofuscación de Flashback son tan complejas como las generalmente asociadas a malware para Windows? ¿Cuál es la intención del perpetrador?

Integrantes del  Laboratorio de Análisis de Malware de ESET Latinoamérica notaron un importante incremento en las tasas de detección de un código malicioso particularmente en un país de Latinoamérica. Éste es un patrón de propagación poco frecuente, viéndose la gran mayoría de las veces porcentajes de detección similares en muchos países. Sumado a ello, se trata de una detección un tanto particular: ACAD/Medre, una firma creada para un archivo del popular software de diseño, Autocad.
A partir de estos datos, se procedió a analizar la muestra en cuestión, identificando un ataque de espionaje industrial diseñado exclusivamente para robar diseños, mapas y planos; y aparentemente dirigido para robar información de instituciones y empresas del Perú.

El uso de dispositivos móviles se encuentra en aumento desde hace años y, con la aparición de los smartphones, las capacidades de estas terminales han crecido de manera exponencial. Según el estudios de IDC, en el primer trimestre del 2011 se vendieron 371.8 millones de unidades, lo que significa un crecimiento de un 20% respecto al mismo período del 2010 (310.5 millones). En lo que respecta a la región de Latinoamérica, la relación entre la cantidad de smartphones y los dispositivos móviles tradicionales ya no es tan amplia, y por ello ha aumentado la cantidad de conexiones a redes 3G.
Este cambio permite a los usuarios contar con una conexión a Internet las 24 horas del día, como así también que transporten con ellos una gran cantidad de información en sus bolsillos, que años atrás no solían hacer. Todas las virtudes que ofrecen estas plataformas también traen aparejados ciertos riesgos, no solo relacionados con los códigos maliciosos, sino también al robo de información o la pérdida del equipo.