Barómetro ESET NOD32 de seguridad: El Mundial de Fútbol y los primeros ataques de ransomware a Android centran las amenazas en junio

Madrid, 1 de julio de 2014 – Junio estuvo marcado por el comienzo del Mundial de Fútbol en Brasil y los delincuentes no quisieron perderse la cita, por lo que prepararon todo tipo de engaños y amenazas con los que engatusar a los usuarios más desprevenidos. Además de los correos electrónicos con falsas loterías del Mundial o reventa de entradas que vimos en meses pasados, durante junio observamos también nuevas estrategias utilizadas por los delincuentes.

De todos es sabido que el mayor atractivo para los aficionados del fútbol es disfrutar de las jugadas de su equipo con sus amigos alrededor de un televisor. No obstante, a veces es difícil ver un partido en concreto si no lo emiten en abierto y se empiezan a buscar alternativas en páginas web. Conocedores de esto, los delincuentes han estado preparando varias webs fraudulentas desde donde supuestamente se pueden ver todos los partidos del Mundial pero que en realidad descargan un molesto spyware.

Anonymous tampoco quiso faltar a la cita mundialista y ya desde antes de la inauguración comenzó una campaña contra decenas de sitios web relacionados de alguna forma con la celebración de este evento deportivo. Esta campaña incluía tanto ataques de denegación de servicio distribuidos (DDoS), que dejó inoperativas durante varias horas muchas de las webs atacadas, como la modificación de las webs en forma de defacements (cambios intencionados y realizados por terceros en webs con fallos de seguridad). Se espera que estas protestas se sigan produciendo durante toda la duración del Mundial.

Los ataques se han trasladado incluso al Mundial virtual que celebran cada día en sus casas miles de jugadores en sus videoconsolas y ordenadores. El popular videojuego FIFA 14 incluye un modo conocido como Ultimate Team que causa furor entre los aficionados a este juego. Durante el Mundial estamos viendo cómo los delincuentes intentan atraer a estos jugadores a sitios webs fraudulentos para que introduzcan sus credenciales de acceso con la falsa promesa de proporcionarles alguno de los mejores jugadores disponibles para su equipo de ensueño virtual.

Primeros ataques de ransomware en Android

En junio también hemos visto cómo la amenaza del ransomware ha empezado a dar sus primeros pasos en el sistema operativo Android. A principios de mes analizábamos una de las primeras muestras detectadas de este tipo de malware que además cifra ficheros en el dispositivo infectado, solicitando el pago de un rescate para desbloquear el terminal y descifrar los archivos del usuario.

Sólo un par de semanas después volvíamos a analizar variantes de este tipo de amenaza con nuevas funcionalidades que estaban empezando a utilizar un sistema de distribución similar al utilizado durante bastante tiempo en sistemas de sobremesa. Mediante la descarga de aplicaciones maliciosas procedentes de webs con contenido para adultos o falsos juegos, los delincuentes son capaces de instalar nuevas variantes de sus creaciones en los terminales previamente infectados, variantes que incluyen funcionalidades como la utilización de la red Tor o diferentes pantallas de bloqueo del dispositivo.

Según Josep Albors, director de comunicación y del laboratorio de ESET España, “estamos viendo que los delincuentes realizan cada vez más esfuerzos en migrar este tipo de amenazas que tantos beneficios les han reportado en sistemas Windows a sistemas utilizados en dispositivos móviles como Android”. Asimismo, comenta que “lo que estamos viendo ahora son las primeras pruebas de concepto, aún con errores considerables, pero no dudamos que en pocos meses o incluso semanas veremos amenazas de este tipo mucho más elaboradas a las que tendremos que hacer frente”.

Por su parte, Google realizó cambios importantes en el funcionamiento de los permisos que solicitan las aplicaciones al usuario en su sistema operativo Android cuando se instalan. Agrupando los 143 permisos posibles en 13 categorías, se intenta hacer más sencilla la tarea de reconocimiento y aprobación de permisos por parte del usuario. Sin embargo, el hecho de que aceptar una categoría otorgue la aprobación de todos los permisos que incluye puede hacer más difícil la identificación de aplicaciones maliciosas, ya que un atacante puede camuflar un permiso no deseado entre el resto de permisos contenidos en esa categoría.

El mes pasado también celebramos una conmemoración especial. Nada menos que el décimo aniversario del descubrimiento de la primera amenaza para teléfonos móviles, el gusano Carib/Caribe. Esta prueba de concepto fue obra de un investigador español perteneciente a un prestigioso grupo de creadores de virus sin finalidad delictiva que demostró lo que hasta ese momento habían sido solo conjeturas: la posibilidad de crear un código malicioso que afectase a teléfonos móviles.

Novedades en los troyanos Zeus y Cryptolocker

La familia de malware Zeus y sus derivados también han tenido un importante protagonismo en las últimas semanas. A principios de mes conocíamos la noticia ofrecida por el Departamento de Justicia de Estados Unidos anunciando que, gracias a esfuerzos internacionales, se había conseguido desbaratar la botnet GameOver Zeus y la infraestructura detrás del ransomware Cryptolocker.

No obstante, a pesar de este logro, Zeus y sus variantes o imitadores siguen dando que hablar y así se demostró con el descubrimiento a mediados de mes de Dyreza, un troyano bancario capaz de saltarse el protocolo SSL para simular conexiones seguras en webs de entidades financieras. De esta forma, este troyano consigue interceptar el tráfico entre la máquina infectada y la web a la que se está conectando, independientemente de si utilizamos Internet Explorer, Google Chrome o Mozilla Firefox.

Otro claro ejemplo de que Zeus se resiste a morir es que también se han detectado en los laboratorios de ESET varias muestras de correos electrónicos con falsas facturas comprimidas con contraseña. Esta técnica sencilla busca eludir los filtros antispam y antivirus, y puede ocasionar que un usuario descuidado infecte su sistema. A pesar de lo simple de esta estrategia no dudamos en afirmar que si los delincuentes la siguen utilizando es porque aún funciona.

Fallos en Tweetdeck

Con respecto a vulnerabilidades destacables durante el pasado mes, muy probablemente la que más repercusión obtuvo fue la aprovechada por varios usuarios en la popular aplicación de gestión de cuentas y listas de Twitter, Tweetdeck. Bastaron unas pocas horas para que miles de usuarios en todo el mundo empezaran a ver ventanas emergentes en su aplicación simplemente al visualizar tweets de otros usuarios que contenían código y que Tweetdeck ejecutaba cuando no debería.

Este incidente se saldó como una anécdota, pero podría haber sido mucho más grave si la respuesta de los desarrolladores no hubiera sido rápida y si alguien hubiese decidido aprovechar esta nueva “característica” para obligar a todos los que visualizasen un tweet especialmente modificado a que accedieran a la descarga de un código malicioso.

Otra herramienta muy utilizada y que vio comprometida su seguridad fue el complemento All in One SEO Pack de Wordpress. La empresa responsable de este complemento tuvo que lanzar una actualización para corregir una vulnerabilidad que permitía escalar privilegios a un usuario sin derechos de administrador, pudiendo así llegar a cambiar parámetros como el título de un post, su descripción o las etiquetas utilizadas, algo que haría descender su posicionamiento en los motores en búsqueda y, en consecuencia, la cantidad de visitas recibidas.

El Internet de las cosas y las noticias de actualidad, fuente de amenazas

El Internet de las cosas sigue dando de que hablar en cuanto a seguridad y uno de sus dispositivos más representativos, las SmartTV, demuestran que aún están lejos de alcanzar una seguridad adecuada. Una de las características más interesantes de estos televisores es la posibilidad de utilizar aplicaciones interactivas. Sin embargo, una mala implantación de estas características permite que muchas de las SmartTV que hay actualmente puedan ser susceptibles a ataques como el robo de credenciales.

Una de las noticias más destacables del mes y de lo que llevamos de año ha sido, sin duda, la abdicación del Rey Juan Carlos I en favor de su hijo Felipe VI. Sabedores de la relevancia de esta noticia, los delincuentes no han perdido el tiempo y la han aprovechado, por ejemplo, para mostrar la imagen del nuevo rey en los casos más recientes del ransomware conocido popularmente como “Virus de la Policía”.

El phishing sigue intentando engañar a los usuarios de banca online con diferentes resultados. Por un lado tenemos a delincuentes que preparan webs prácticamente idénticas a las originales y las propagan en correos electrónicos bien redactados como el caso que analizamos y que suplantaba a Bankia.

En el otro lado tenemos a aquellos delincuentes que no se esmeran y que dedican poco esfuerzo confiando en que algún incauto picará. También analizamos casos de este estilo en las últimas semanas, como el de una campaña de phishing que intentaba suplantar a la entidad Cajamar con poco éxito.

El mes pasado también se descubrió un fallo en la biblioteca para comunicaciones seguras GnuTLS. Esta biblioteca es utilizada en varios de los sistemas GNU/Linux más populares como Ubuntu, Red Hat o Fedora y permite que estos sistemas dispongan de una forma segura de comunicarse en un medio inseguro. El fallo descubierto y resuelto permitiría que se truncara la comunicación cliente – servidor, provocando un desbordamiento de memoria y pudiendo llegar a ejecutar código de forma remota.

La privacidad de los usuarios volvió a estar de actualidad con nuevas filtraciones de documentos de Snowden que demostraron que, para las agencias de espionaje gubernamentales como la NSA, nuestra imagen es igual de importante que la información que compartimos en Internet. El uso de tecnologías avanzadas de reconocimiento facial permite que, a partir de fotografías como los populares “selfies”, se pueda generar una base de datos a nivel mundial con la que contrastar información y reconocer a un individuo en segundos allá donde esté.

Más información sobre estas y otras amenazas en el Blog de Laboratorio de ESET España.