Trivia 18 - Almacenamiento de códigos maliciosos

Uno de los recursos más interesantes en Internet, es ofrecer la posibilidad de almacenar archivos de manera gratuita y en línea: según lo cual, populares sitios web como 4Shared, Rapidshare, Megaupload y Box, entre otros, prestan una determinada cantidad de espacio para que los usuarios puedan realizar copias de seguridad y distribuir sus archivos a través de una dirección URL que luego pueden difundir mediante diferentes canales de comunicación.

Si bien estos servicios, legítimos y legales, constituyen una fuente de almacenamiento ampliamente utilizada para los fines mencionados, también conllevan el riesgo de que, de la misma manera en que un usuario almacena sus archivos para disponer de ellos en todo momento y desde cualquier lugar, otros pueden alojar diferentes códigos maliciosos para su propagación.

La peligrosidad de esta técnica de infección radica en que quienes se encargan de propagar el malware, recurren a metodologías de Ingeniería Social como la doble extensión y el cambio de íconos, entre otros para lograr que el usuario desprevenido no advierta el engaño transformando así a sitios legítimos en peligros latentes.

En este sentido, cabe aclarar que no se pone en tela de juicio la legitimidad del sitio web, los servicios ofrecidos ni otros aspectos como el derecho de autor y la piratería informática en relación al contenido que se aloja en ellos, sino que se pretende advertir sobre el riesgo que representan para los usuarios menos experimentados.

Entre otra de sus posibilidades, la mayoría de estos servicios ofrecen la exploración del archivo a descargar a través de un programa de seguridad antivirus; sin embargo, constantemente surgen nuevos códigos maliciosos que pueden no ser detectados por el programa antivirus y, cuando esto sucede, se compromete de igual manera al equipo del usuario. En la siguiente imagen se puede ver una supuesta actualización de ESET NOD32 que en realidad termina descargando un programa dañino.



Relación del malware con sitios de almacenamiento

Por un lado, como se observa en la imagen, los diseminadores de malware utilizan nombres llamativos y muy buscados en Internet como, keygen, crack, warez y hack, entre otros, para renombrar el malware. De esta manera, el usuario descarga el código malicioso suponiendo que realmente se trata del archivo que busca.

También es muy común que recurran a nombres relacionados a herramientas de seguridad donde la paradoja es que, en la mayoría de los casos, el usuario no accede a la herramienta de seguridad sino que descarga un malware.

Otra de las metodologías de engaño que utilizan para este tipo de sitios web, se basa en comprimir el código malicioso con alguna aplicación conocida (como WinRAR o WinZip), cambiar el nombre del archivo y establecer una contraseña para evitar ser detectado por el programa antivirus que el mismo sitio web suele incorporar como protección. La contraseña luego es dejada a la vista de los usuarios a través de los comentarios.

Medidas preventivas

Con la intención de prevenir caer en la trampa de personas malintencionadas que aprovechan recursos legítimos para propagar malware, se pueden adoptar algunos buenos hábitos de navegación. A modo de consejo, existen algunas prácticas adecuadas:

• Instalación y actualización de un programa antivirus con capacidades de detección proactiva, como ESET NOD32 o ESET Smart Security, de códigos maliciosos tanto conocidos como desconocidos.
• No confiar plenamente en los anuncios de sitios web sobre la exploración antivirus del archivo a descargar, ya que existe la posibilidad de que esa leyenda también sea falsa.
• Configurar el antivirus de manera tal que permita detectar y bloquear códigos maliciosos en el momento en que se accede al archivo sin importar el protocolo que se utilice (FTP, HTTP, etc.).
• Leer los comentarios que dejaron otros usuarios que procedieron a la descarga del archivo. Muchas veces son los mismos usuarios los que alertan comentando si tal archivo es peligroso.

Como se puede apreciar, no existe un medio que sea completamente seguro, sin importar que el sitio web sea legal ya que, como se demostró en este artículo, un medio legítimo puede ser aprovechado con fines maliciosos sin la necesidad de explotar alguna vulnerabilidad en el mismo.

Por tal motivo, es fundamental tomar consciencia sobre los riesgos directos o indirectamente asociados a este tipo de servicios y extremar las medidas de seguridad necesarias para mitigar el accionar de códigos maliciosos. Además, es importante que los usuarios se capaciten en seguridad informática a través de recursos educativos desarrollados por especialistas en la materia y prestar atención en todo momento para no caer en la trampa de personas malintencionadas.


sacado de eset-la.com

Trivia No. 17 - Malware para sistemas operativos GNU/Linux y Mac OS

Uno de los principales problemas en seguridad de la información para cualquier organización y usuario hogareño se encuentra constituido por los códigos maliciosos que, a lo largo del tiempo, han ido evolucionando en cuanto a sus diversos métodos de propagación e infección, ampliando el horizonte de ataque hacia diferentes sistemas operativos.

En este sentido, la masividad de uso es uno de los factores que determina cuál es el sistema operativo (SO) más atacado por el malware debido a los objetivos económicos que persigue su desarrollo. De aquí se desprende la razón por la cual los SO más vulnerados son aquellos que se basan en plataformas Microsoft (familia Windows).

Sin embargo, en los últimos años se ha manifestado un importante crecimiento a nivel global en cuanto al uso de sistemas operativos GNU/Linux y Mac OS, ambos basados en plataformas *NIX, arrastrando la problemática generada por códigos maliciosos diseñados exclusivamente para atacar y funcionar en estas plataformas.

Por otro lado, y si bien es cierto que la gran mayoría de usuarios finales utiliza plataformas Microsoft, también es cierto que tanto GNU/Linux como Mac OS poseen actualmente un mayor porcentaje de adeptos, lo que provoca en los atacantes cierta ambición por buscar y aprovechar debilidades en estos sistemas operativos que permitan comprometerlos a través de diferentes amenazas, siendo el malware uno de los mayores problemas. Aún así, esto no significa que el desarrollo de malware para la familia de sistemas operativos de Microsoft dejará de ser masivo.

Desde un punto de vista histórico, se encuentran claras referencias en cuanto al desarrollo de amenazas de este estilo para plataformas *NIX. El primer gusano en la historia del malware fue conocido como el gusano de Morris (en alusión a su creador Robert Tappan Morris) y su propagación se produjo al explotar una vulnerabilidad en el programa Sendmail, implementado bajo UNIX en noviembre de 1988.

Durante el 2009, sigue apareciendo malware para GNU/Linux como, por ejemplo, el gusano detectado por ESET NOD32 bajo el nombre de Linux/PsyBot.A, capaz de infectar módems y routers ADSL que implementen este sistema operativo y convertir a cada uno de ellos en parte de una botnet llamada psyb0t -orientada a llevar a cabo ataques de Denegación de Servicio Distribuido (DDoS - Distributed Denial Of Service).

En la siguiente captura, se muestran los resultados del análisis y detección de diferentes códigos maliciosos en un servidor de archivos bajo GNU/Linux que ha sido explorado con la solución de seguridad de ESET para estas plataformas.



Los códigos maliciosos detectados son:

• Linux/Hacktop troyano
• Linux/Rootkit.Agent.N troyano
• Linux/Rootkit.Agent.Q troyano
• Linux/Sysniff troyano
• Linux/Lion gusano

Con relación a los antecedentes de malware para plataformas de Apple, durante 1982 apareció Elk Cloner, un virus diseñado para sistemas Apple II. Unos años después, más precisamente en 1988, aparece otro virus llamado MacMag capaz de infectar plataformas Macintosh.

Casos más recientes como Leap, un virus descubierto en el 2006 que se propaga a través del programa de mensajería instantánea iChat; iService, un troyano aparecido durante el 2009 encargado de dar origen a la primera botnet para Mac OS y DNSChanger, un troyano orientado a modificar los DNS del sistema, demuestran que en ningún momento se dejó de pensar en la creación de malware para estos sistemas.

Actualmente, existe una amplia variedad de códigos maliciosos para plataformas GNU/Linux y Mac OS y, aunque la proporción es mucho menor en comparación con el malware que existe para sistemas operativos Microsoft, se desmitifica la creencia en cuanto a la inexistencia de códigos maliciosos para estos sistemas operativos.

Por otro lado, también existen pruebas de concepto con desarrollo de códigos maliciosos capaces de funcionar en diferentes sistemas operativos dependiendo de la plataforma en la cual se ejecute, denominados malware multi-plataformas. Un ejemplo de este tipo de amenazas fue Badbunny, un virus diseñado para ejecutarse por igual en sistemas Windows, GNU/Linux y Mac OS.

Los sistemas operativos GNU/Linux y Mac OS no se encuentran exentos de los riesgos aparejados por el accionar del malware actual, por lo que resulta factible predecir que serán blanco de mayores ataques a medida que sean cada vez más comunes en los equipos de usuarios y corporaciones de modo que se eleve el nivel de interés de los creadores de malware por estas plataformas cuando alcancen el nivel de masividad deseado para hacer dinero a través de la propagación de sus creaciones.

En consecuencia, es sumamente necesario que los usuarios de estas plataformas tengan en cuenta los mismos consejos y buenas prácticas de prevención sugeridos para los usuarios de Windows ya que el desarrollo de códigos maliciosos para otras plataformas constituye un problema real a nivel mundial.

sacado de eset-la.com