La primera red zombie formada con computadoras de Apple

Fue detectada por una empresa de seguridad informática y apodada como "iBot". Afecta únicamente a las Mac y ya fue utilizada para un ataque

Si bien los virus para Mac son una rareza, desde hace tiempo las empresas de seguridad advierten que son cada vez más comunes debido a la constante alza en las ventas de equipos de Apple.

Luego de que en enero se detectara la presencia del troyano OSX.IService, ahora Symantec advierte que existe un intento concreto por crear la primera red de computadoras zombie de equipos de Apple.

El troyano fue distribuido en versiones piratas bajadas de internet de Adobe Creative Suite e iWork 09. Los programas funcionan de manera normal, pero el OSX.IService abre una puerta trasera del sistema, se conecta a la red P2P y así incluye a la máquina infectada a los ataques coordinados contra sitios de internet.

De acuerdo a Mario Ballano Barcena y Alfredo Pesoli, investigadores de Symantec Irlanda, la red compuesta por varios miles de Macs fue utilizada para crear un ataque de negación de servicio en enero de este año.

"El método para infiltrar los sistemas, induciendo al usuario a instalar troyanos ocultos en software gratuito, es muy usado para obtener acceso a un sistema", comenta Kevin Haley, jefe de Symantec Security Response, de acuerdo a DiarioTI.

En otras palabras, los piratas suelen aprovechar las descargas de software desde internet para infiltrar algún tipo de malware en el programa que el usuario desea instalar.

Por lo tanto, los usuarios de Windows o Mac, sin distinciones, pueden ser víctimas de esta práctica.

Una botnet es un grupo de computadoras –llamadas zombies- infectadas con algún malware que pueden ser utilizadas por el creador de la amenaza para algún tipo de acción concreta.

Las más frecuentes son el envío de spam y los ataques de denegación de servicio, que tienen por objeto saturar servidores o sitios webs.

Advierten a usuarios de Mac por reaparición de un troyano

Se trata de una variante de un reconocido virus que ataca al Mac OS que fue enviado a través de sitios web, aparentemente legítimos, que ofrecen software HDTV

La empresa de seguridad informática Sophos fue la encargada de dar el llamado de atención para los usuarios de este sistema operativo.

El troyano en cuestión es el OSX/RSPlug, un viejo reconocido entre los usuarios de Mac ya que viene dando vueltas hace unos años.

Ahora, con una nueva variante, desencadenó el alerta de Sophos. “Existe mucho menos malware diseñado para Mac que para Windows, pero esto no significa que los usuarios de Apple deban mirar para otro lado frente a los ataques de malware", aseguró Graham Cluley, consultor de Tecnología de Sophos.

En igual sentido, agregó que “los usuarios de Mac no son diferentes a los de Windows cuando caen en los trucos de ingeniería social como éste. Ellos tienen la misma probabilidad de caer en la trampa e instalar este programa en sus computadoras cuando creen que acceden a un sitio web legítimo para descargar un software que les ayudará a ver TV en alta definición".

El mismo artículo de Sophos indica que el troyano RSPlug-F modifica las configuraciones DNS en las computadoras Mac, lo que termina llevando al usuario -de manera engañosa- a sitios web que probablemente intentarán robar información personal o bien instalar malware adicional para continuar con la propagación.

Advierten por virus que se activaría el 1º de abril

Se trata de Conficker, gusano informático que logró infectar más de 10 millones de computadoras alrededor del mundo. Se espera que en esa fecha, coincidente con el Día de los Inocentes en varios países, se active una nueva variante

Desde finales del año pasado y con el descubrimiento de una nueva vulnerabilidad critica dentro de los sistemas operativos Windows de Microsoft, el gusano Conficker logró infectar más de 10 millones de sistemas alrededor del mundo. El 1º de abril se espera una nueva oleada de este gusano con motivo del "April fool's day".

Desde mediados de noviembre de 2008, el virus informático conocido mediáticamente como Conficker inició su estrategia de propagación haciendo uso de la vulnerabilidad de Microsoft publicada y solucionada en octubre del mismo año.

Desde las primeras variantes al día de hoy, este gusano logró llamar la atención de los medios y de los usuarios. Microsoft llegó a ofrecer una recompensa de 250 mil dólares para quien aporte datos acerca de los creadores de esta amenaza poco después que el gusano lograse infectar más de diez millones de sistemas en todo el mundo.

Y esto no se termina acá. Los especialistas de Trend Micro informaron acerca de una nueva variante de este gusano que activaría una rutina de infección masiva el 1 de abril con motivo del "April fool's day".

Para esta fecha, en donde muchos países acostumbran hacer algún tipo de broma con alusión al "día de los tontos", la variante más reciente de Conficker realizará una búsqueda de nuevo código malicioso en la web, consultando más de 500 sitios con nombres generados aleatoriamente en base a una posibilidad de 50 mil sitios.

Esto implica que las posibilidades de bloquear la descarga de un nuevo código son virtualmente imposibles para un administrador.

Adicionalmente, el nivel de sofisticación de esta nueva variante se ve incrementado al incorporar dentro de su “carga maliciosa” la posibilidad de deshabilitar softwares de protección antivirus así como también otras herramientas de seguridad.

Uno de cada 100 usuarios estuvo expuesto al robo de identidad durante el año pasado

El 35% de esas computadoras tenían un antivirus actualizado. Los ataques de ese tipo subieron 800% en seis meses y se espera que sigan creciendo sin dar chances de respuesta a los antivirus

Panda Security anunció que un 1,07% de todos los usuarios de internet a nivel mundial estuvo expuesto de forma activa al robo de identidad, según los análisis efectuados en 67 millones de computadoras en 2008.

Extrapolando los resultados obtenidos por ActiveScan, el servicio de análisis online de Panda Security, casi 11 millones de usuarios en todo el mundo se vieron infectados con malware activo para el robo de identidad.

Por malware activo debe entenderse a programas malignos cargados en la memoria de la PC y ejecutándose como un proceso en el momento del análisis.

Los usuarios que hayan estado usando PC infectadas con este tipo de malware y que hayan empleado servicios online para hacer compras, banca por internet, redes sociales, etc., han sufrido el robo de su identidad de una forma u otra.

Según un estudio publicado por una firma independiente, el costo medio por robo de identidad en los EEUU es u$s496.

El 35% de las PC infectadas con malware destinado al robo de identidad tenía instalado un antivirus actualizado. Los laboratorios antivirus están recibiendo una cantidad ingente de muestras nuevas cada día (30 mil según los datos de PandaLabs), lo que provoca que las empresas antivirus no puedan ofrecer niveles adecuados de protección a sus usuarios, y que estos se vean infectados sin su conocimiento.

El número de PC infectadas con malware bancario y de robo de identidad aumentó en un 800% en la segunda mitad de 2008 en comparación con los seis primeros meses del año pasado. Y la tendencia se mantiene en los primeros dos meses de este año.

Según Luis Corrons, director técnico de PandaLabs: "En el año 2009 esperamos que la cantidad de malware de este tipo aumente en un 336% cada mes, sobre todo si tenemos en cuenta el gran negocio que existe detrás de este tipo de ciberdelito".

Las principales familias de troyanos bancarios que están afectando a los usuarios son las siguientes:
Trj/Cimuz
Trj/Sinowal
Trj/Bankolimb
Trj/Torpig
Trj/Goldun
Trj/Dumador
Trj/Spyforms
Trj/Bandiv
Trj/SilentBanker
Trj/PowerGrabber
Trj/Bankpatch
Trj/Briz
Trj/Snatch
Trj/Nuklus
Trj/Banker

El origen más común de estos troyanos bancarios es China y Rusia, aunque Corea y Brasil también suelen ser origen habitual de este tipo de amenaza.

En cuanto a códigos maliciosos distintos de los troyanos bancarios pero empleados también para el robo de identidad, los más destacados son:
Trj/Lineage
W32/Lineage.worm
Trj/Legmir
Trj/Wow
W32/Wow.worm
Trj/MSNPassword
Trj/PassStealer
Trj/QQPass

Un virus con las "viejas mañas"

Circula el llamado Sality.AO, que unifica las características de los viejos virus -aquellos cuyo único fin era dañar el mayor número de computadoras posibles para dar fama a su creador- con el objetivo de los nuevos ejemplares de malware, o sea, proporcionar beneficios económicos

Panda Security informó sobre un crecimiento en el número de infecciones provocadas por este ejemplar en los últimos días, así como la aparición de nuevas variantes que emplean la misma técnica, por lo que aconseja aumentar las precauciones ante un posible ataque masivo.

Sality.AO utiliza técnicas que hace años que no se veían como EPO o Cavity. Ambas son técnicas relacionadas con el modo en que se lleva a cabo la modificación del fichero original para infectarlo, haciendo más difícil de detectar esa modificación así como la posterior desinfección.

La técnica EPO permite la ejecución de parte del fichero legal antes de que comience la infección, lo que dificulta la detección del ejemplar.

Por su parte, la técnica Cavity consiste en la utilización de los espacios en blanco del código del fichero legal para insertar el código malicioso del virus, lo que, además de hacerle más difícil de localizar dificulta enormemente su desinfección.

Estas técnicas están muy alejadas de las que se pueden lograr con las herramientas de creación automática de malware, causantes del gran aumento de amenazas en los últimos años, y requieren técnicas más artesanales y un gran conocimiento de programación de códigos maliciosos.

A estas técnicas relacionadas con los primeros ejemplares de malware, Sality.AO añade funcionalidades del nuevo malware como la posibilidad de conectarse a un canal IRC para recibir órdenes de su creador y poder tomar el control de la máquina y convertirla en una computadora zombie.

A través de estas computadoras zombies se llevan a cabo acciones como el envío de spam, la distribución de malware, ataques de denegación de servicio, etc.

Igualmente, no se limita a la infección de ficheros como los viejos ejemplares de virus, sino que también busca distribuirse a través de la web como los ejemplares más novedosos.

Para ello, infecta los archivos PHP, ASP y .HTML que encuentre en el equipo con un iFrame. Debido a esto, cuando alguno de esos ficheros es ejecutado el navegador es redirigido, sin que el usuario se dé cuenta, a una página maliciosa en la que se lanza un exploit contra el equipo con el fin de descargar en él nuevos ejemplares de malware.

Pero la amenaza no termina ahí. Si alguno de esos ficheros infectados son subidos a una página web –y las extensiones de los archivos infectados son las típicas de archivos que se suben a la web-, los usuarios que los descarguen desde ellas o que visiten las páginas formadas por esos códigos quedarán infectados igualmente.

El archivo que se descarga a través de esta técnica es lo que PandaLabs denomina un malware doble ya que es una mezcla de funcionalidades de troyano y de virus.

El troyano, además, cuenta con funcionalidades downloader para seguir descargando nuevos ejemplares de malware en el equipo. Las URLs de descarga que utiliza este downloader aún no estaban operativas en el momento del análisis de PandaLabs, pero podrían activarse cuando el número de computadoras infectados con este ejemplar vayan aumentando, según el laboratorio de Panda Security.

Troyanos, los que más infecciones causan

Asimismo, el 63,12% de los nuevos códigos maliciosos que aparecieron durante el segundo trimestre de 2008 eran de ese tipo. El adware, con un 22,4% del total, es el segundo tipo de malware con más nuevos ejemplares creados.

“Hoy por hoy es difícil que un solo troyano infecte un gran número de computadoras, porque esto llamaría la atención y pondría en peligro la actividad de los ciberdelincuentes. Por eso, estos prefieren crear un gran número de troyanos distintos, que afecten a usuarios muy concretos de un servicio, utilidad, etc., en lugar de difundir masivamente un sólo ejemplar”, explica Luis Corrons, director técnico de PandaLabs, que añade: “Por eso, los troyanos son trimestre tras trimestre el tipo de malware con mayor número de nuevos ejemplares”.

En lo que se refiere a ejemplares concretos, el gusano Bagle.RP fue el que más equipos infectó, seguido por los también gusanos Puce.E y Bagle.SP.

Por tipo de malware, los troyanos fueron los que más infecciones causaron en el segundo trimestre con un 28,70% del total, después de haber cedido su puesto al adware durante los tres primeros meses del año. Éste estuvo presente en el 22,03% de las máquinas infectadas, y los gusanos, tercer tipo que más infecciones causó, en el 13,52%.

“Aunque los troyanos son el tipo de malware que más máquinas infectan, lo hacen con miles de variantes distintas. Los gusanos, sin embargo, funcionan de manera distinta y un solo ejemplar puede infectar miles de máquinas. De ahí que la mayoría de las veces, el ejemplar más presente en las computadoras de los usuarios sea un gusano”, afirmó Corrons.

Troyanos bancarios
Dentro de los códigos maliciosos de tipo troyano, aquellos dedicados a afectar a entidades bancarias, plataformas de pago, etc. son los más peligrosos. Es lo que se conoce como troyanos bancarios.

Según el informe de PandaLabs del segundo trimestre del 2008, Sinowal, Banbra y Bancos serían las tres familias de troyanos bancarios más activas.

Otras familias, como Dumador, SpyForms, Bandiv, PowerGrabber y Bankpatch mantienen también un número alto de ejemplares aparecidos, mientras que Briz, Snatch y Nuklus se presentan como las familias con un menor número de ejemplares nuevos aparecidos.

“Este tipo de malware está provocando grandes pérdidas a los usuarios de todo el mundo, debido, sobre todo, al incremento del uso de la banca online. En 2006, sólo en los EEUU, había ya más de 44 millones de usuarios de banca online. Esto supone un enorme volumen de víctimas potenciales para los ciberdelincuentes”, comenta Corrons, que añade: “Sólo con robar u$s100 a un 1% de ellos, los ciberdelincuentes se harían con un botín de u$s44 millones. Y esta estimación es muy positiva. La realidad, podría ser peor”.