El troyano Duqu al descubierto
El troyano Duqu ha traído de cabeza a varias compañías de seguridad dado que podría ser muy peligroso, algunos lo denominan Stuxnet 2.0. Un grupo de programadores y analistas de seguridad han conseguido descifrar el lenguaje de programación del mismo, lo que permitirá crear técnicas que permitan el control del mismo y evitar su expansión.
Este malware es una variante del arma cibernética destinada a retrasar la capacidad de Irán para fabricar bombas nucleares, Stuxnet.
El anuncio de que el troyano Duqu estaba desarrollado en un lenguaje de programación ‘desconocido’ desató una tormenta de especulaciones entre expertos en malware y programadores de todo el mundo.
Después de aislar y analizar el troyano y tras la colaboración y sugerencias de centenares de programadores, los analistas de Kaspersky Lab dicen haber resuelto que el lenguaje no es nuevo aunque contaba con un alto grado de optimización y personalización, sin rastro de cualquier firma indicadora que pudiera dar pistas en el código de ensamblador que pudieran ser leídos como una huella digital.
Así, Duqu estaría escrito en lenguaje ‘C’ y compilado con el Visual Studio 2008 de Microsoft, aunque incluiría una extensión personalizada conocida como “OO C” para combinar programación orientada a objetos con C.
Por el lenguaje empleado, los investigadores aseguran que Duqu fue escrito por un programador o equipo profesional de la ‘vieja escuela’ que no confían en compiladores como C++. Además, C, es altamente portable a otras plataformas, un plus para un troyano malicioso.
Es seguro que fue realizado ‘por encargo’ con equipos distintos para su creación e infección aunque se desconoce su país de origen y su objetivo concreto. Se sigue pensando que en origen estaba destinado a robar información de infraestructura crítica, tales como centrales eléctricas, refinerías y oleoductos, utilizando una red de miles de ordenadores infectados, aprovechando una vulnerabilidad en sistemas Windows.
El análisis del código de Duqu parece descartar como creían los investigadores relación con Stuxnet a pesar de sus coincidencias. Y es un alivio porque se considera a éste como “el arma cibernética más sofisticada jamás creada”, seguramente en Israel, para piratear, sabotear y retrasar la capacidad de Irán para fabricar bombas atómicas. Un virus que llegó a infectar miles de equipos en 155 países.
Fileless el nuevo malware que ataca la RAM en Windows y Mac
El malware Fileless o Trojan-Spy.Win32.Lurk, explota una vulnerabilidad Java (CVE-2011-3544) como parte de una serie de ataques que han empezado a tener lugar recientemente.
Llama la atención que Fileless inyecta una dll (dynamic link library) cifrada de la web directamente en la memoria del proceso javaw.exe de forma que no crea nuevos archivos en el disco duro cuando infectan los ordenadores a los que ataca. Además al ejecutarse dentro de un proceso considerado como de confianza, su detección es muy difícil para la mayoría de soluciones antivirus.
Una vez que el malware Fileless se instala en el sistema, ataca al control de cuentas de usuarios de Windows para instalar el troyano Lurk y hacer que el sistema forme parte de una red ordenadores “zombie” o Botnet.
Hasta el momento el único método conocido para la propagación de Fileless ha sido a través de banners de varios sitios entre los que destaca la versión online de un popular periodico ruso y otras agencia del mismo país. No obstante los investigadores señalan la posibilidad de que esta amenaza se extienda a otros países.
Respecto a la protección contra esta amenaza, es altamente recomendable que todos los usuarios instalen un parche que cierra la vulnerabilidad CVE-2011-3544 en Java. Ésta esactualmente la única forma segura de prevenir la infección.
Fileless afecta a usuarios de sistemas Windows y Mac OS X. Interesados pueden encontrar completa información sobre este nuevo malware desde la página del investigador de Kaspersky que ha dado a conocer la noticia.
Exploit para escritorio remoto de Windows filtrado por partners de Microsoft
Un exploit preparado por la propia Microsoft como prueba de concepto para sacar partido a una vulnerabilidad RDP de Windows ha acabado en Internet. La compañía mostró ese código a las compañías del Microsoft Active Protections Program (MAPP).
Las comunidades de investigación de seguridad han sido un hervidero las últimas horas tras conocerse que el código de una prueba de concepto interno de Microsoft sobre la vulnerabilidad crítica del escritorio escritorio ha sido filtrada en un sitio web chino.
Lo peor de la noticia es que se trata de una copia exacta de la información que Microsoft envió a los miembros de su selectivo Microsoft Active Protections Program (MAPP), un programa creado hace cuatro años y en el que participan grandes firmas de seguridad con el fin de adelantarse con la creación de firmas de virus u otras herramientas a la publicación de parches de seguridad.
Microsoft ha confirmado la filtración de la prueba de concepto (POC) y dice “estar investigando activamente la divulgación de estos detalles y tomará las medidas necesarias para proteger a los clientes y asegurar que la información confidencial que compartimos es protegida de acuerdo a nuestros contratos, y requisitos del programa”.
Filtración, muy grave, que puede haber llegado de manera accidental o deliberada seguramente desde el MAPP y cuyo código será aprovechado para los ciberdelincuentes para crear exploits maliciosos. Si Microsoft recomendó encarecidamente la actualización de los equipos al tener la previsión de que llegarían exploits en 30 días, ahora, con la prueba de concepto filtrada, la necesidad de actualización es aún mayor.
Sobre el parche ‘crítico’ (MS12-020), ya te contamos que resolvía dos vulnerabilidades que afectan al escritorio remoto de todos los sistemas Windows. La más grave de estas vulnerabilidades permitiría la ejecución remota de código si un atacante envía una secuencia de paquetes RDP a un sistema afectado. Aunque de forma predeterminada, el protocolo de Escritorio remoto (RDP) no está habilitado en Windows, su activación es trivial y común por usuarios avanzados, profesionales y empresas.
Aparece un nuevo troyano para Windows de 64-bit
Los escritores de malware, que parecían centrados en Windows de 32-bit, están adaptando sus creaciones para que también funcionen en sistemas de 64-bit.
Symantec ha advertido de un nuevo troyano para Windows 7 capaz de elevar los privilegios de cualquier proceso restringido a nivel de administrador, sin permiso del usuario.
Las últimas versiones parcheadas de Windows 7 son vulnerables al troyano backdoor.Conpee, asegura Mircea Ciubotariu, investigador de seguridad de Symantec, en el blog de la compañía.
El nuevo troyano afecta tanto a la versión de 32-bit como a la de 64-bit de Windows 7, lo que pone de manifiesto que los creadores de malware están rediseñando su software para superar las características de seguridad de las ediciones de 64-bit de Windows, dice Ciubotariu.
La versión de 64-bit de Windows 7 y Vista incluye Kernel Mode Code Signing y Kernel Patch Protection, diseñados para hacer que sean menos vulnerables al malware. Pero tanto backdoor.Conpee como el recientemente descubierto Backdoor.Hackersdoor han sido capaces de infectar sistemas de 64-bit.
El troyano Hackersdoor es capaz de supercar el sistema de firmas de Windows de 64-bit utilizando certificados robados. Symantec detectó este tipo de infección en diciembre de 2011 y aunque parece que su crecimiento es modesto, sí que se percibe que los creadores de malware están utilizándolos.
Microsoft recomienda instalar uno de sus últimos boletines de seguridad de inmediato
Microsoft comunicó que recomienda ampliamente a sus usuarios que instalen uno de los últimos parches de seguridad para Windows que publicó. El problema, relacionado con la función de escritorio remoto de Windows, podría permitir a atacantes externos ejecutar código de forma remota y la compañía piensa que podrían aparecer herramientas para ello antes de 30 días.
Aunque parecía que el boletín de este mes de marzo no contenía grandes correcciones, solo había 6 parches y uno era crítico, Microsoft sorprendió fomentando la aplicación del boletín más destacado. La compañía ya había calificado como crítico a la actualización en cuestión, pero ha querido dar más datos e incentivar entre los usuarios que se instale la solución lo antes posible.
Se trata del boletín MS12-020, que resolvía un incidente con el sistema de escritorio remoto de los sistemas Windows. La compañía informó que el boletín resolvía dos vulnerabilidades que habían sido puestas en su conocimiento a través de fuentes privadas. Los hackers podrían conseguir ejecutar código de forma remota gracias a estas vulnerabilidades y por ello Microsoft puso la etiqueta de Crítico al problema.
Dada la gravedad y peligrosidad del problema, Microsoft acompañó el aviso en su centro de información habitual con un comunicado que amplía la información específica. Según la compañía se recomienda la actualización inmediata y la aplicación del parche lanzado. Microsoft ha explicado que temen que dado el peligro potencial de la vulnerabilidad, los hackers se vean atraídos para aprovecharla. De esta forma, Microsoft ha asegurado que creen que aparecerán exploit en los próximos 30 días que intentarán aprovechar esta vulnerabilidad.
Que el aviso de la falla haya llegado a través de una fuente anónima hizo que Microsoft alertara personalmente a los usuarios. En otras ocasiones, cuando es la compañía la que identifica el problema, Microsoft tiene más control sobre la falla y no hay un riesgo tan elevado de que hackers tengan conocimiento. En este caso Microsoft no puede garantizar que esto sea así y por ello recomienda la actualización inmediata.
Pese a que lo mejor es actualizar lo antes posible, Microsoft reconoció que son conscientes de que determinados clientes deben programar las actualizaciones de sus sistemas. En dichos casos, la compañía recomienda hacerlo lo antes posible y estar alerta ante cualquier irregularidad. Por el momento Microsoft no ha detectado casos en los que se haya aprovechado el fallo, pero la compañía considera que es cuestión de tiempo.
Las actualizaciones mensuales de Microsoft suelen corregir distintas fallas y vulnerabilidades en sus servicios. La compañía desarrolló un sistema de clasificación de los parches de seguridad que lanza para informar a los usuarios sobre la gravedad de cada incidente y sobre la necesidad, mayor o menor, de aplicar la actualización. De esta forma, en función de la peligrosidad de las incidencias Microsoft valora la rapidez con que se deben aplicar los boletines de seguridad.
Bitdefender alerta sobre otro malware que bloquea el PC y trata de vender una aplicación para recuperar el control
El malware hace creer que un problema en el disco impide acceder a los archicos y ofrece, por 80 dólares, una aplicación para solucionar el problema.
Detectado por Bitdefender como Trojan.HiddenFilesFraud.A, el malware está diseñado para que los usuarios compren una falsa herramienta de reparación para solucionar un problema en el disco duro que, en realidad, no existe.
El fraude comienza cuando aparece en el ordenador infectado un mensaje de alerta diciéndo que su equipo tiene varios problemas y que todos los datos que almacena en su disco duro podrían perderse.
En un intento por provocar una mayor confusión, el malware oculta de inmediato todas las carpetas y los archivos que encuentre en la máquina del usuario. Además, algunos atajos de teclado también se desactivan, esto da al usuario la sensación de que él ya no tiene el control de su sistema.
Por desgracia, el usuario no es capaz de ver los archivos ocultos, ni ponerlos como visibles desde el Explorador de Windows, debido a la intervención de Win32.Brontok.AP, un troyano que el primer malware descarga en el sistema con este propósito.
El Trojan.HiddenFilesFraud.A muestra varias ventanas de error que informan al usuario de que hay un fallo crítico en el disco duro; un mensaje muy que aparentemente llega desde el propio sistema operativo y que, por ello, suele darse como bueno.
El Trojan.HiddenFilesFraud.A muestra varias ventanas de error que informan al usuario de que hay un fallo crítico en el disco.
Esta amenaza se instala en el PC debido a la acción de otro malware, un gusano de alto riesgo llamado Win32.Brontok.AP. Esta amenaza utiliza las unidades extraíbles para propagarse. Se copia en todas las carpetas de la memoria infectada con el nombre de dicha carpeta y añade una extensión. Exe que permanece oculto para los usuarios. Cuando el usuario intenta abrir la carpeta, ejecuta el gusano y luego este lanza la otra amenaza. Se trata pues, de un ataque por varios frentes.
“El enfoque de ocultar algunas carpetas o archivos no es nuevo en el mundo de la ciberdelincuencia, pero ocultar todas las carpetas y luego ofrecer una herramienta de la reparación es un ejemplo más de la astucia a la que ha llegado la ingeniería del malware”, explica Catalin Cosoi, Chief Security Researcher de Bitdefender.
“Es importante que los usuarios analicen sus unidades extraíbles, como memorias USBs o móviles, antes de conectarlos a un ordenador. Igualmente, es aconsejable que no instalen ninguna aplicación que se les ofrece por Internet con mensajes alarmantes y sin que ellos la estuviesen buscando”.
Descubren un nuevo y desconocido lenguaje de programación empleado en la creación de Duqu
Este nuevo lenguaje de programación demuestra la alta cualificación de los desarrolladores implicados, así como los importantes recursos financieros y laborales movilizados para garantizar la ejecución del proyecto.
Expertos anti-malware de Kaspersky Lab han descubierto que parte del sofisticado Troyano Duqu, cuyos creadores son los mismos que los del gusano Stuxnet, se escribió en un lenguaje de programación hasta ahora desconocido.
La finalidad principal de Duqu era actuar como backdoor en el sistema para facilitar el robo de información privada y se detectó por primera vez en septiembre de 2011, pero según datos de Kaspersky Lab, su primer rastro relacionado con el malware se remonta a agosto de 2007. Los expertos de la compañía han captado más de una docena de incidentes que involucran a Duqu, y la gran mayoría de las víctimas están localizadas en Irán. Un análisis de sus actividades muestra que el principal objetivo de los ataques era robar información sobre los sistemas de control utilizados en varias industrias, así como la recogida de información acerca de las relaciones comerciales de una amplia gama de organizaciones iraníes
El gran misterio sin resolver del troyano Duqu se refiere a cómo el programa malicioso se comunicaba con sus servidores de Comando y Control (C&C) una vez que infectaban la máquina de la víctima. El módulo de Duqu responsable de la interacción con el servidor C&C es parte de su Payload DLL (efecto producido por el virus).
Después de un análisis exhaustivo del Payload DLL, los expertos de Kaspersky Lab han descubierto que la sección específica interna que se comunica exclusivamente con el C&C, ha sido escrita en un lenguaje de programación desconocido. Los expertos de Kaspersky Lab han nombrado a esta sección se desconocida ” Duqu Framework”.
A diferencia del resto de Duqu, Duqu Framework no está escrito en C++ y no está compilado con Microsoft Visual C++ 2008. Es posible que sus autores utilicen un in-house framework para generar un código C intermedio, o que empleen otro lenguaje de programación completamente diferente. Sin embargo, los investigadores de Kaspersky Lab han confirmado que el lenguaje está orientado a objetos y realiza su propio conjunto de actividades relacionadas y adecuadas para aplicaciones de red.
El lenguaje de Duqu Framework es altamente especializado. Permite que el Payload DLL opere de forma independiente al resto de módulos Duqu y lo conecta a su C&C a través de varias vías, incluyendo Windows HTTP, conexiones de red y servidores proxy. También permite que Payload DLL procese peticiones HTTP del servidor de C&C directamente, transmitiendo copias de forma sigilosa de la información robada de la máquina infectada a la de C&C. Incluso puede distribuir carga maliciosa adicional a otras máquinas en la red, lo cual crea un entorno controlado y una discreta forma de propagación de infecciones a otros equipos.
“Dado el tamaño del proyecto Duqu, es posible que un equipo completamente diferente fuese responsable de crear Duqu Framework”, afirma Alexander Gostev, experto jefe de seguridad de Kaspersky Lab. “Con el altísimo nivel de personalización y exclusividad utilizado para crear el lenguaje de programación, es posible que se haya hecho no sólo para evitar que detectaran la operación de ciber-espionaje y las interacciones con el C&C, sino también para separar otros equipos internos de Duqu que han sido los responsables de escribir las partes adicionales del programa malicioso”.
De acuerdo con Alexander Gostev, la creación de un lenguaje de programación dedicado demuestra lo altamente cualificados que están los desarrolladores que trabajan en el proyecto, así como los importantes recursos financieros y laborales movilizados para garantizar la ejecución del proyecto.
A Kaspersky Lab le gustaría hacer un llamamiento a toda la comunidad de programadores por si alguien reconoce al nuevo framework, herramientas o lenguaje de programación que pueda generar construcciones similares de código. Para ello pueden contactar con los expertos se la compañía para poder solucionar este profundo misterio de la saga Duqu ( stopduqu@kaspersky.com ).
La versión completa del análisis del Duqu Framework de Igor Soumenkov y Raiu Costin se puede encontrar en Securelist www.securelist.com
Nuevo troyano aprovecha vulnerabilidad de windows para permanecer oculto y activo
Bitdefender ha localizado un nuevo troyano que aprovecha una vulnerabilidad en Windows para permanecer oculto y activo en los ordenadores infectados.
En concreto, este troyano, denominado Trojan.Dropper.UAJ modifica una librería de código vital (comres.dll) obligando a todas las aplicaciones que necesitan comres.dll a ejecutar también esta amenaza.
Lo novedoso de este troyano es el hecho de que toma el archivo comres.dll original, lo modifica y luego lo guarda en su directorio original.
La modificación de la DLL incluye código que puede agregar o eliminar usuarios, cambiar contraseñas, añadir o eliminar los privilegios de usuario, y ejecutar archivos.
Con esta modificación, los ciberdelincuentes consiguen que la parte maliciosa del archivo se ejecute al mismo tiempo y siempre que se ponga en marcha la DLL original.
La táctica usada hasta la aparición de este troyano tan innovador era más simple: el malware se copiaba en el mismo lugar y con el mismo nombre que la DLL original, sustituyéndola, pero de esta manera eran más fáciles de detectar.
Con la modificación de la DLL original y su posterior restitución a su lugar de origen, este troyano puede ocultarse mejor.
“Los ciberdelincuentes eligieron el archivo comres.dll, porque es ampliamente utilizado por la mayoría de los navegadores de Internet, y en algunas aplicaciones o herramientas de comunicación en red, lo que lo hace muy popular y, básicamente, indispensable para el sistema operativo”, explica Catalin Cosoi, Chief Security Researcher de Bitdefender.
Trojan.Dropper.UAJ es capaz de ejecutarse en Windows 7, Windows Vista, Windows, Windows 2003, Windows 2000 y Windows NT en entornos de 32 y 64 bits.
El Inteco publica 12 virus y 80 vulnerabilidades en la última semana
El Instituto alerta además de nuevas modalidades de estafa a través del Market de Android.
El Centro de Respuesta a Incidentes de Seguridad del Instituto Nacional de Tecnologías de la Comunicación (Inteco-CERT) ha catalogado esta semana el virus DNS Changer, un troyano que afecta a Windows modificando, en el equipo atacado, su configuración de DNS (siglas en inglés de Domain Name System), servicio de internet que convierte los nombres de dominio amigables en direcciones IP numéricas que los ordenadores usan para comunicarse entre ellos.
De este modo, cuando se introduce un nombre de dominio en el navegador, por ejemplo www.inteco.es, el equipo contacta con un servidor DNS para determinar la dirección IP del sitio web. El troyano catalogado cambia esta configuración para, en vez de dirigirle al sitio debido, le lleve a un sitio web fraudulento. Para evitar esto, el usuario deberá reconfigurar correctamente el DNS de su equipo. Éste es uno de los 12 virus publicados en los últimos siete días por Inteco-CERT, unido a 80 vulnerabilidades.
Por otro lado, el incremento de aplicaciones subidas al Market de Android, unido a la popularidad del sistema operativo de Google en los terminales móviles, ha hecho también que crezcan las aplicaciones maliciosas así como las técnicas de ingeniería social para infectar a los usuarios. Una de estas modalidades consiste en registrase en el Market utilizando nombres parecidos a los autores/desarrolladores de cierto prestigio para, de esta forma, ganarse la confianza de los usuarios a la hora de descargar aplicaciones.
Por todo ello, el Inteco-CERT en su boletín semanal recomienda a los usuarios observar la procedencia de la aplicación así como la puntuación y los comentarios de los usuarios e investigar otras fuentes independientes del Market.
Denegación de servicio en Samba
Se ha anunciado una vulnerabilidad en Samba que podría permitir a un atacante provocar una denegación de servicio.
Samba es una implementación libre del protocolo decompartición de archivos Microsoft para sistemas de UNIX. De esta manera equipos con sistemas GNU/Linux, MacOS o Unix en general pueden formar parte de la red de directorios compartidos de Windows.
