Aquí están, estas son las
cinco amenazas informáticas de las cuales debe cuidarse este año
América latina dejó de ser
un área “de paso” para las actividades ciberdelictivas que se desarrollan y
gestionan desde el otro lado del mundo. Aprovechan vulnerabilidades de los
sistemas y la ingenuidad de los usuarios con estafas sencillas
América latina ya no es un escenario marginal para la
delincuencia informática. Aunque, por ahora, la producción local de virus y
códigos maliciosos es escasa, comparada con las grandes usinas de programas
utilizados por los ciberdelincuentes, existen amenazas concretas para los
usuarios de computadoras y teléfonos móviles inteligentes latinoamericanos.
Un informe de la empresa de seguridad informática Kaspersky destaca que la región dejó de ser un
área “de paso” para las actividades ciberdelictivas que se desarrollan y
gestionan desde el otro lado del mundo.
Desde hace varios años, los cibercriminales latinoamericanos se dedican a
replicar el modelo de negocio clandestino y fraudulento en una zona aún no
madura, en términos de legislación contra el cibercrimen.
Evidencias concretas de esta situación son los paquetes de crimeware S.A.P.Z., de
origen peruano, y vOlk de origen mexicano.
En el caso de vOlk, responsable de casi el 90% de las estrategias de
ataques de phishing en países como México,
Perú, Colombia, Venezuela, Bolivia, Chile y la Argentina, se
estima una fuerte demanda sobre la venta del crimeware durante el 2012.
Actualmente, la versión 4 de vOlk (última exitente) posee un fuerte
impacto contra entidades financieras de América latina, intentando “reclutar”
computadoras infectadas sólo en esta región y robar datos financieros de
importantes entidades bancarias, siempre bajo la influencia de estrategias de
ingeniería social de los ciberdelincuentes, quienes buscan intensificar y
efectivizar constantemente sus tácticas.
Si bien el empleo de vOlk se limita a afectar a usuarios de América
latina, algunas estrategias se encuentran dirigidas a ciertos países en
particular, con maniobras de engaños personalizadas y adaptadas a los recursos
falsificados del país objetivo.
Es así como en la Argentina, durante estos intentos de engaño, fusionan la
complejidad e impacto que representa todo proceso de infección con la
ingeniería social.
Ésta la aplican directamente al malware y a la generación de páginas web
maliciosas para el ciclo de propagación, empleando nombres relacionados con
importantes corporaciones posicionadas en países de la región.
Aquí, cinco
“ejemplares” de estas amenazas informáticas que circulan desde hace algunas
semanas por latinoamérica:
Vulnerabilidad en Windows
Un nuevo troyano aprovecha una vulnerabilidad en Windows para permanecer
oculto y activo en las computadoras infectadas.
Denominado Trojan.Dropper.UAJ,
modifica una librería de código vital (comres.dll) obligando a todas las
aplicaciones que necesitan comres.dll a ejecutar también esta amenaza.
Lo novedoso de este troyano es el hecho de que toma el archivo comres.dll
original, lo modifica y luego lo guarda en su directorio original.
La modificación de la DLL incluye un código que puede agregar o eliminar
usuarios, cambiar contraseñas, añadir o eliminar los privilegios de usuario, y
ejecutar archivos.
Con esta modificación, los ciberdelincuentes consiguen que la parte maliciosa
del archivo se ejecute al mismo tiempo y siempre que se ponga en marcha la DLL
original.
La táctica usada hasta la aparición de este troyano innovador es más
simple: el malware se copia en el mismo lugar y con el mismo nombre que la DLL
original, sustituyéndola, pero de esta manera eran más fáciles de
detectar.
Con la modificación de la DLL original y su posterior restitución a su
lugar de origen, este troyano puede ocultarse mejor.
“Los ciberdelincuentes eligieron el archivo comres.dll, porque es
ampliamente utilizado por la mayoría de los navegadores de Internet, y en
algunas aplicaciones o herramientas de comunicación en red, lo que lo hace muy
popular y, básicamente, indispensable para el sistema operativo”, explicó Catalin Cosoi, Chief Security
Researcher de la empresa Bitdefender.
Trojan.Dropper.UAJ es capaz de ejecutarse en los siguientes operativos
Windows: 7, Vista, 2003, 2000 y NT en entornos de 32 y 64 bits.
El rey de las redes robot
En los últimos días, se está propagando el bot Ainslot.L,
según informó la empresa Panda
Security.
Este malware está diseñado para registrar todas las acciones del usuario,
descargar otros ejemplares de malware y controlar el sistema.
Además, hace
funciones de troyano bancario, robando las credenciales de
determinadas entidades financieras.
Una de sus particularidades es que analiza el equipo en busca de otros
bots pertenecientes a otras redes y los elimina, de tal forma que sea el único
que ocupe el sistema.
“Nos ha llamado mucho la atención el hecho de que Ainslot.L desinfecte la
PC de otros bots que puedan haberlo infectado con anterioridad”, comentó Luis Corrons, director técnico
de PandaLabs.
Este bot elimina a sus competidores de tal forma que el equipo del usuario
esté completamente a su merced. “Recuerda un poco a la famosa saga de ‘Los
Inmortales’, sólo puede quedar uno”, señaló.
Ainslot.L llega a través de un correo fraudulento que simula proceder de
la tienda de ropa inglesaCult.
En este correo, muy bien redactado, se le hace creer al usuario que ha
realizado una compra en Cult de cerca de 200 libras esterlinas y que se le
cargará dicha cantidad a su tarjeta de crédito.
Incluye un link para revisar el pedido que conduce a la descarga del bot
en la computadora.
“No estamos acostumbrados a recibir correos electrónicos fraudulentos tan
bien redactados y tan creíbles”, admitió Corrons.
“En este ataque, los ciberdelincuentes han cuidado al máximo la apariencia
del correo electrónico, de tal forma que el número de víctimas que puedan caer
en el engaño sea alto”, advirtió.
Tarjetas de regalos tramposas
Una nueva estafa en Facebook utiliza como cebo unas supuestas
tarjetas de regalo con 200 dólares para comprar en el popular sitio web eBay.
Los delincuentes abrieron un evento en la popular red social en la que
ofrecen una tarjeta regalo de 200 dólares para gastar en eBay a los 10.000
primeros usuarios en inscribirse al evento.
Una vez que el usuario entra en la página del evento se explica mejor qué
tiene que hacer para conseguir la tarjeta regalo.
Primero, tiene que usar el botón de “Me gusta” para
unirse al evento, enviar la invitación a otros 50 amigos, ampliando así el
espectro de la amenaza, y, después, compartirla, acrecentando aún más el
alcance de la misma.
El último paso que debe dar el usuario es ir a una URL donde debe reclamar
el premio.
Esta URL, en realidad, conduce a la instalación de la aplicación “WhosStaliking”,
una vieja conocida de los expertos en seguridad y los usuarios de Facebook. La
misma promete decir quiénes son los mayores seguidores en Facebook del usuario
pero para ello, eso sí, antes pedirá acceso para publicar en el nombre del
mismo y acceder a sus datos privados.
La empresa Bitdefender recomienda desconfiar de cebos como tarjetas regalo
y premios en Facebook sin correspondencia fuera de la red social.
Basta con entrar en la web de eBay para comprobar como no publicita tal
promoción en su web corporativa, una acción que la compañía comunicaría dado el
supuesto volumen de la misma: 10.000 tarjetas regalo de 200 dólares son un
total de 2 millones de dólares invertidos en la campaña, un monto lo
suficientemente elevado como para realizar una difusión de la campaña acorde.
Falsos videos de comportamientos heroicos
Otra nueva estafa en Facebook utiliza como cebo falsos videos de
comportamientos heroicos, como la historia de un policía que murió por ayudar a
un ciudadano.
Los falsos videos van acompañados de mensajes que exhortan a verlos con
frases como: “necesitamos más gente como ésta” o “Esto es
un héroe”.
Cuando los usuarios intentan ver el video, se les pide que instalen un
complemento para su navegador (en otra ocasiones es una actualización de
Youtube).
En ambos casos, lo que en realidad están instalando es un código malicioso
que dará acceso a los ciberdelincuentes a la cuenta de Facebook del usuario.
Una vez conseguido el acceso, los ciberdelincuentes, además de hacerse con
todos los datos privados de la víctima, publicarán automáticamente la historia
fraudulenta en el muro de todas las páginas en las que el usuario haya dado un
“Me gusta”. Además, la publicarán varias veces en el muro del usuario.
Adicionalmente, a medida que los amigos del usuario vayan cayendo en la
trampa, y aprovechando la característica de Facebook que indica cuántos amigos
han visto o compartido un mismo contenido, los otros amigos que aún no estén
infectados irán viendo que un mismo link ha sido compartido por varios de sus
contactos lo que, sin duda, les llevará a pensar que es interesante y, por lo
tanto, les hará caer también en la trampa, aumentando así la difusión de la estafa.
Hasta el momento, más de
49.000 usuarios de Facebook han caído en este fraude.
“Los ciberdelincuentes utilizan los propios métodos de viralidad usados
por Facebook para distribuir sus creaciones. Si un usuario ve que muchos de sus
amigos han compartido un link, entenderá que es interesante y hará clic en él,
cayendo así también en la trampa”, explicó Cosoi, de Bitdefender.
“La mejor forma de evitar estas amenazas es desconfiar de las historias
llamativas y sensacionalistas, pues son el cebo más usado por los
ciberdelincuentes. Hasta ahora, sólo habíamos visto cebos con historias
negativas como falsas muertes o desastres naturales. Ahora, comenzamos a ver
historias de heroísmos usadas como cebo. Si funcionan, los ciberdelincuentes
seguirán, sin duda, usándolas”, agregó.
Falso plugin de Google+ Hangouts
Un nuevo ataque informático que consiste en la distribución de malware
usando como cebo una invitación a Google+ Hangouts, un servicio de Google que permite
ver y comentar videos en grupo a través de la red social Google+.
El ataque comienza cuando los usuarios reciben una invitación en sus
correos electrónicos invitándoles a descargarse el plugin de Google+ Hangouts.
En caso de seguir el link, llegarán a una página, que imita a la oficial
de este servicio, y en la que se les mostrará un botón desde el que descargarse
el plugin.
Si lo hacen, en su equipo aparece un archivo con el nombre hangouts.exe,
que aunque hace referencia al servicio, para engañar al usuario, en realidad
esconde un troyano.
En caso de activarlo, el mismo quedará con su computadora comprometida y
sus datos podrán caer en manos de los ciberdelincuentes.
“Es importante que los usuarios recuerden que no deben atender a
solicitudes que les lleguen por correo procedentes de usuarios desconocidos,
por muchas ganas que tengan de probar un servicio o producto”, explicó Cosoi,
de Bitdefender.