El objetivo de todos los cibercriminales es
difundir sus virus, gusanos y troyanos a través de tantas computadoras y
teléfonos móviles como les sea posible. Esto tarea maliciosa se puede lograr de
dos maneras:
·
Mediante
técnicas de Ingeniería Social
·
Infectando un
sistema sin que el usuario lo sepa.
Muchas veces, estos métodos se emplean
simultáneamente y, por lo general, incluyen distintos procesos para eludir los
programas antivirus.
Ingeniería Social
La ingeniería social involucra una serie de técnicas utilizadas para que los usuarios desprevenidos ejecuten archivos infectados o abran enlaces a sitios web comprometidos. Este método es empleado por numerosos gusanos de correo electrónico (Email-worms) y otros tipos de malware.
La ingeniería social involucra una serie de técnicas utilizadas para que los usuarios desprevenidos ejecuten archivos infectados o abran enlaces a sitios web comprometidos. Este método es empleado por numerosos gusanos de correo electrónico (Email-worms) y otros tipos de malware.
La tarea de los hackers y creadores de virus es
convencer a los usuarios que hagan por si mismos clic a un enlace o abran un
archivo infectado. Un ejemplo clásico de este género es el gusano “Love
Letter”, que creó una verdadera avalancha de infecciones en mayo de 2000. Según
Computer Economics, “Love Letter” sigue siendo el malware más devastador de la
historia, en términos de daños financieros. Éste era el mensaje que este gusano
mostraba a los usuarios:
Lamentablemente, el “mensaje de amor” fue abierto
por una enorme cantidad de personas. Y esto llevó a que decenas de servidores
corporativos de correo electrónico colapsaran, debido a que el gusano se
enviaba automáticamente a todos los contactos de la libreta de direcciones del
usuario que abría el archivo VBS adjunto.
El gusano de correo electrónico “Mydoom”, que
apareció en Internet en enero de 2004, utilizaba textos que imitaban mensajes
técnicos emitidos por el servidor de emails.
El gusano “Swen” se hizo pasar por un mensaje de
Microsoft y disfrazándose de un parche que eliminaba ciertas vulnerabilidades
de Windows. No es de extrañar que la gente lo tomara en serio y tratara de
instalar este falso parche.
A veces, las cosas excepcionales ocurren. Un evento
de esta naturaleza tuvo lugar en noviembre de 2005. Una versión del gusano
“Sober” informó a los usuarios que la policía alemana estaba investigando a las
personas que habían visitado sitios web ilegales. Este mensaje fue leído por un
hombre que visitaba con frecuencia sitios de pornografía infantil.
Sorprendentemente, el usuario creyó que el mensaje era auténtico y se entregó a
la policía por su propia voluntad.
Los enlaces a sitios infectados y archivos ocultos
dentro de correos electrónicos se han vuelto muy populares en los últimos
tiempos, debido a que las plataformas utilizadas para difundir estos mensajes
son ampliamente utilizadas: emails, sistemas de mensajería instantánea, salas
de chat IRC en Internet, etc. Los virus móviles, en tanto, se entregan a través
de mensajes SMS. Los mensajes infectados suelen contener textos atractivos que
animan a los usuarios desprevenidos a hacer clic en los enlaces. Este método de
penetración del sistema es el más popular y eficaz, ya que permite que el
malware pueda evadir los filtros antivirus del servidor.
Las redes P2P también son utilizadas con bastante
frecuencia. Un gusano o un troyano pueden aparecer en una red P2P utilizando un
nombre diseñado para llamar la atención, por ejemplo:
·
AIM & AOL
Password Hacker.exe
·
Microsoft CD Key
Generator.exe
·
PornStar3D.exe
·
play station
emulator crack.exe
Cuando realizan una búsqueda de programas, los
usuarios de redes P2P ven estos nombres, descargan los archivos y los ejecutan.
Otro truco consiste en ofrecer a las víctimas
utilidades gratuitas o guías para acceder a los sistemas de pago electrónico.
Por ejemplo, a un usuario se le ofrece la posibilidad de obtener libre acceso a
Internet / celular, o la posibilidad de descargar un generador de números de
tarjetas de crédito, o aumentar su propio saldo de su cuenta en línea.
Naturalmente, la víctima de una estafa de este tipo no podrá denunciar este
delito con la policía, dado que sus propias intenciones eran ilegales en
principio. Los ciberdelincuentes son conscientes de esto y se aprovechan de esta
situación en gran medida.
Un estafador anónimo ruso intentó algo inusual en
2005-2006. Envió un troyano a algunas direcciones del sitio “job.ru”, que se
especializaba en la contratación de personal. Algunas personas que cargaban sus
currículums en este sitio, recibían ‘ofertas de trabajo’ que incluían el
troyano. Curiosamente, el ataque estaba dirigido principalmente a direcciones
de correo electrónico corporativo. Lo más probable es que los ciberdelincuentes
supieran que el personal que recibía el troyano no querría decirles a sus actuales
empleadores que los habían infectado mientras buscaban un empleo alternativo. Y
tenían razón. A los especialistas de Kaspersky Lab les tomó más de medio año
descubrir cómo había logrado este troyano infiltrarse en los equipos de los
usuarios.
Hubo algunos casos exóticos en los que varios
usuarios recibieron un correo electrónico falso de su banco pidiéndoles que
confirmen sus claves de acceso. Lo que ocurría en realidad era que, sin
saberlo, los usuarios le estaban enviando sus credenciales a un estafador. El
procedimiento que cada persona debía seguir para entregar las claves era tan
complicado como ridículo: imprimir un documento, rellenar el formulario y
enviarlo por fax al número de teléfono indicado.
Otro caso inusual sucedió en Japón en el otoño de
2005, cuando criminales cibernéticos utilizaron un servicio de entregas a
domicilio para distribuir CDs infectados con un troyano spyware. Los discos se
entregaban a los clientes de un banco japonés, cuyas direcciones habían sido
robadas de la base de datos del banco.
Técnicas de implementación
Los cibercriminales utilizan distintas técnicas para introducir códigos maliciosos en un sistema. La más común es la explotación de vulnerabilidades en las funciones de seguridad del sistema operativo (o software). Las vulnerabilidades permiten que un Net-Worm o un troyano se infiltren en la máquina de la víctima y se ejecuten.
Los cibercriminales utilizan distintas técnicas para introducir códigos maliciosos en un sistema. La más común es la explotación de vulnerabilidades en las funciones de seguridad del sistema operativo (o software). Las vulnerabilidades permiten que un Net-Worm o un troyano se infiltren en la máquina de la víctima y se ejecuten.
De hecho, las vulnerabilidades son errores en los
códigos o en las lógicas de funcionamiento de los distintos programas. Los
sistemas operativos actuales y las aplicaciones son complejas en su estructura
y tienen una amplia funcionalidad, lo que hace que sea casi imposible evitar
errores en su diseño. Esta circunstancia es activamente explotada por los
escritores de virus y los cibercriminales.
Un ejemplo son los gusanos de correo “Nimda” y “Aliz”, que explotaban vulnerabilidades de Outlook. Con el fin de iniciar el archivo del gusano, sólo bastaba con abrir el mensaje infectado, o poner el cursor sobre él en la ventana de vista previa.
Un ejemplo son los gusanos de correo “Nimda” y “Aliz”, que explotaban vulnerabilidades de Outlook. Con el fin de iniciar el archivo del gusano, sólo bastaba con abrir el mensaje infectado, o poner el cursor sobre él en la ventana de vista previa.
Los programas maliciosos también explotan
activamente vulnerabilidades en los componentes de red de los sistemas
operativos. Esta técnica fue utilizada por “CodeRed”, “Sasser”, “Slammer”,
“Lovesan (Blaster)” y otros gusanos que trabajaban bajo el sistema operativo
Windows. Linux se vio afectado también por los gusanos “Ramen” y “Slapper”, que
penetraban las computadoras a través de vulnerabilidades presentes en este
sistema operativo y sus aplicaciones.
La implementación de un código malicioso a través
de páginas web se ha convertido recientemente en una de las técnicas de
infección más populares. Esta técnica aprovecha las vulnerabilidades presentes
en los navegadores de Internet. Los hackers plantan en el sitio un archivo
infectado y un programa de script que explota las vulnerabilidades del
navegador. Cuando un usuario ingresa en la página infectada, el programa script
descarga el archivo infectado a la computadora del usuario a través de la
vulnerabilidad y lo ejecuta.
Para infectar tantas máquinas como le sea posible,
es necesario convencer a un gran número de usuarios para que visiten la página
web. Esto puede lograrse por diferentes medios, por ejemplo mediante el envío
de mensajes de spam que contengan la dirección de la página infectada, o
enviando enlaces a través de sistemas de mensajería instantánea. A veces, los
estafadores incluso utilizan los motores de búsqueda para estos fines. El texto
colocado en una página infectada es procesado por los motores de búsqueda y el
enlace a esta página se incluye entonces junto con los demás resultados de
búsqueda.
Otro tipo de malware especializado son los troyanos
pequeños diseñados para descargar y ejecutar troyanos más grandes. Éstos entran
en la computadora de un usuario, por ejemplo a través de una vulnerabilidad del
sistema, y luego descargan e instalan otros componentes maliciosos desde
Internet. Estos troyanos suelen cambiar las configuraciones del navegador con
el fin de facilitar el camino de otros troyanos.
Una vez descubiertas, las vulnerabilidades son rápidamente
corregidas por las empresas desarrolladoras de software. Sin embargo,
rápidamente nuevas vulnerabilidades aparecen y tanto los hackers como los
creadores de virus comienzan a explotar estas nuevas fallas casi de inmediato.
Con el fin de incrementar la cantidad de equipos infectados, muchos troyanos de
la categoría “bots” utilizan nuevas vulnerabilidades cada vez que éstas son
identificadas. Asimismo, las vulnerabilidades de programas ampliamente
utilizados como por ejemplo Microsoft Office® se aprovechan a menudo para
introducir nuevos troyanos.
Por desgracia, el período comprendido entre el
descubrimiento de una nueva vulnerabilidad y su explotación por parte de los
gusanos y troyanos es cada vez más corto. Como resultado, los desarrolladores
de software y los fabricantes de antivirus se encuentran constantemente
luchando contra el tiempo. Las compañías deben corregir los errores encontrados
tan pronto como les sea posible, realizar las modificaciones que corrigen el
problema (normalmente conocido como ‘parche’) y distribuirlo a todos sus
usuarios mediante una actualización. A su vez, los fabricantes de antivirus
deben liberar de inmediato una solución que detecte y bloquee todos los
archivos y paquetes de red que se aprovechan de esta vulnerabilidad.
Uso simultáneo de las técnicas de implementación y
los métodos de Ingeniería Social
Muchas veces, los cibercriminales utilizan ambos métodos mencionados de manera simultánea: la ingeniería social, para atraer la atención de una víctima potencial, y los medios técnicos, para aumentar las posibilidades de que un objeto infectado penetre en un sistema.
Muchas veces, los cibercriminales utilizan ambos métodos mencionados de manera simultánea: la ingeniería social, para atraer la atención de una víctima potencial, y los medios técnicos, para aumentar las posibilidades de que un objeto infectado penetre en un sistema.
Por ejemplo, el gusano de correo electrónico “Mi
mail” era distribuido como un archivo adjunto. El correo electrónico contenía
un texto especialmente diseñado para ser atractivo para el usuario con el fin
de ejecutar una copia del gusano desde un archivo ZIP adjunto, los creadores de
este virus explotaron una vulnerabilidad presente en Internet Explorer. Al
abrir el archivo, el gusano creaba una copia de sí mismo en el disco y se
lanzaba sin ningún tipo de advertencias por parte del sistema. Por cierto, este
gusano fue uno de los primeros programas maliciosos diseñados para robar datos
personales de las cuentas de servicios en línea de los usuarios.
Otro ejemplo de este tipo son los correos que
contienen spam con encabezados que dicen “hola” o “mira lo que dicen de ti”.
Este texto usualmente viene acompañado de un enlace a un sitio web. Los
análisis demostraron que varios de estos sitios web contenían una secuencia de
comandos que descargaba el troyano “LdPinch”, diseñado para robar contraseñas
de la computadora mediante la explotación de una vulnerabilidad en Internet
Explorer.
Evadiendo los programas antivirus
El objetivo de los cibercriminales es introducir un código malicioso en las máquinas de sus víctimas. Para lograr su objetivo, deben ya sea obligar al usuario a lanzar un archivo infectado o penetrar en el sistema a través de una vulnerabilidad que evada los sistemas de detección del antivirus. No es de extrañar que los estafadores traten de incluir técnicas de evasión frente a los programas antivirus. De hecho, para lograr este cometido, los criminales utilizan diferentes técnicas. Las más comunes son las siguientes:
El objetivo de los cibercriminales es introducir un código malicioso en las máquinas de sus víctimas. Para lograr su objetivo, deben ya sea obligar al usuario a lanzar un archivo infectado o penetrar en el sistema a través de una vulnerabilidad que evada los sistemas de detección del antivirus. No es de extrañar que los estafadores traten de incluir técnicas de evasión frente a los programas antivirus. De hecho, para lograr este cometido, los criminales utilizan diferentes técnicas. Las más comunes son las siguientes:
·
Programas
empaquetados y cifrados. La mayoría de los gusanos y troyanos actuales
vienen comprimidos y cifrados. Es más, los programadores Black-Hat diseñaron utilerías
especiales capaces de empaquetar y cifrar los archivos al mismo tiempo. Por
ejemplo, todos los archivos de Internet procesados con “CryptExe”, “Exeref”,
“PolyCrypt” y algunas otras utilerías eran maliciosos. Con el fin de detectar
tales gusanos y troyanos, los programas antivirus debían agregar nuevos métodos
de descompresión y decodificación, o contar con una firma diferente para cada
muestra de un programa malicioso. Esto conduce inevitablemente a una
disminución en las tasas de detección, ya que ninguna empresa desarrolladora de
antivirus dispone de cada una de las muestras de todas las piezas de malware
existentes.
·
Códigos Mutantes:
consiste en mezclar el código del troyano con instrucciones de ‘Spam’, lo que
permite alterar la apariencia del malware, al tiempo que conserva su
funcionalidad de troyano. A veces, la mutación ocurre en tiempo real, es decir,
cada vez que el troyano se descarga desde un sitio web infectado. Esto
significa que todos, o casi todos, los troyanos que se descargan en los equipos
de los usuarios son diferentes. El gusano “Warezov”, que causó algunas
infecciones masivas graves en el segundo semestre de 2006, es un ejemplo claro
de esta técnica.
·
Técnicas de
ocultamiento: Las denominadas tecnologías “rootkit” son empleadas por los
troyanos para interceptar y sustituir funciones del sistema que permiten que el
archivo infectado sea invisible tanto para el sistema operativo, como para los
programas antivirus. A veces, incluso las llaves del registro donde se aloja el
troyano están ocultas. Estas técnicas son utilizadas activamente por el troyano
backdoor “HacDef”.
·
Bloqueo de
antivirus y de sus sistemas de actualización de bases de datos. Muchos troyanos
y gusanos de red adoptan medidas especiales para evitar la detección por parte
de los programas antivirus: buscan la presencia de programas de seguridad en la
lista de aplicaciones activas del sistema y tratan de bloquearlos, dañar sus
bases de datos e interrumpir sus procesos de actualización. Los programas
antivirus deben defenderse adecuadamente, asumiendo el control de la integridad
de sus bases de datos y ocultando sus procesos a los troyanos.
·
Disfrazar el código
en un sitio web. Las páginas web que contienen troyanos pronto son
descubiertas por las compañías antivirus, es decir, que los analistas de virus
estudian el contenido de estas páginas y añaden cada nueva versión de los
troyanos a sus bases de datos. Ahora bien, con el fin de evitar el análisis de
los antivirus, una página web puede ser modificada. Así, si la solicitud es
enviada por una compañía antivirus, lo que se descarga es un archivo
inofensivo, en lugar de un troyano.
·
Ataques
“cuantitativos”. Es la creación y distribución de grandes cantidades de
nuevas versiones de troyanos a través de Internet, en un corto período de
tiempo. Como resultado, las compañías antivirus reciben enormes cantidades de
nuevas muestras y necesitan de mucho tiempo y esfuerzo para analizar cada una
de estas muestras, lo cual le da al código malicioso una oportunidad adicional
para penetrar con éxito los equipos de los usuarios.
Estas técnicas son utilizadas por los
ciberdelincuentes para contrarrestar los programas antivirus. Las actividades
de los estafadores crecen cada año. Hoy en día, es posible hablar de una
“carrera tecnológica-armamentística” entre los antivirus y las industrias de
virus. Al mismo tiempo, el número de hackers individuales y grupos criminales
también está creciendo, al igual que su profesionalismo. Todos estos factores
aumentan considerablemente la complejidad y el volumen de trabajo de las
empresas antivirus que buscan desarrollar soluciones de seguridad eficaces.
© 2015 AO Kaspersky Lab.
No hay comentarios.:
Publicar un comentario