Al igual que el phishing, el vishing tiene como objetivo el robo de información sensible. A diferencia del primero, utiliza la metodología VoIP (voz sobre IP) para llevar a cabo su tarea. En este caso, se ha descubierto una campaña que afectaba a entidades bancarias de Estados Unidos, robando una gran cantidad de credenciales bancarias por día.

Investigadores de No tienes permitido ver los links. Registrarse o Entrar a mi cuenta han detectado una campaña de vishing que afectaba usuarios de una entidad financiera de Estados Unidos. Se estima que los cibercriminales robaban información de alrededor de 250 tarjetas bancarias por día. Un análisis más riguroso comprobó que uno de los teléfonos involucrados estaba vinculado con casos de vishing desde Octubre de 2013.

El vishing consiste en el robo de credenciales bancarias utilizando VoIP. En un caso típico, un cibercriminal utilizará llamadas telefónicas o mensajes SMS para hacerse pasar por una entidad bancaria u otra institución importante y llevar a cabo ingeniería social para obtener la información sensible. Luego, esa información podrá ser vendida o utilizada para llevar a cabo acciones fraudulentas.

En este caso puntual, la operación se llevaba a cabo gracias a gateways SMS, encargados de enviar SMS a las víctimas. El mensaje supuestamente los alertaba de la necesidad de reactivación de su tarjeta de crédito, acción que debía llevarse a cabo llamando a un número telefónico. Al efectuar la llamada, los usuarios bancarios ingresarán los datos en un IVR (sistema de respuesta de voz interactiva). Así, los cibercriminales detrás de la campaña tenían en su poder la información robada para hacer con ella lo que desearan.

Para llevar a cabo este tipo de ataques, el atacante debe contar con algún mecanismo para enviar spam, y dirigirlo hacia el Gateway SMS para que lo envíe a los teléfonos de las víctimas. Por otro lado, la víctima que caiga en la trampa llamará hacia un servidor VoIP, que a su vez interactuará con un servidor con software IVR.

Los casos de vishing son costosos para las entidades bancarias por muchos aspectos. Mientras que pueden desembocar en pérdidas monetarias considerables también presentan otras consecuencias no tan tangibles, como afectar el renombre de la entidad financiera o colapsar los servicios de atención al cliente. Por otro lado, las medidas de protección se deben implementar mayoritariamente en las prestadoras de telefonía. De todos modos, el usuario se encuentra provisto de unas de las herramientas más importantes para estar protegido: su criterio. Si la propuesta parece dudosa, es necesario manejarse con cuidado y en todo caso contactarse directamente con el número de atención telefónica oficial de cada entidad.

Saludos!

Fuente: Laboratorios ESET

Al hablar de Tails (siglas de The Amnestic Incognito Live System) resuenan dos palabras: amnesia e incógnito. Basado en Debian, este sistema operativo se encuentra preparado para proveer al usuario una experiencia anónima, que prácticamente no dejará rastros visibles. De acuerdo a Wired, tanto Edward Snowden como Glenn Greenwald lo utilizaron para llevar a cabo sus tan conocidos intercambios de información acerca de la NSA.

Radiografía de Tails

Su funcionamiento es simple: mediante un Live CD o un dispositivo USB puede ejecutarse en cualquier computadora y utilizarse como cualquier otro sistema operativo, sin llevar a cabo una instalación. Al reiniciar el equipo, todo volverá a la normalidad.

A continuación, enumeramos algunas de sus características principales:

• Todas las conexiones a internet están configuradas para llevarse a cabo utilizando Tor (un servicio que permite conectarse a Internet de forma prácticamente anónima). Diseñado en principio por el U.S. Naval Research Laboratory, este proyecto ha tomado bastante repercusión en la actualidad. De aquí viene la palabra incógnito presente en Tails.
• Bloqueo de conexiones automáticas por aplicaciones. Si una aplicación intenta conectarse de forma automática, esa conexión será bloqueada por seguridad.
• Utiliza únicamente la memoria RAM de la computadora anfitriona. De esta forma, hace imposible que mediante un análisis forense del disco rígido de la computadora se pueda llegar a los datos manipulados. De aquí la palabra amnesia.
• Permite eliminar archivos de forma segura. Utilizando Nautilus Wipe, verifica que los datos eliminados sean quitados de memoria.
• Las conversaciones de mensajería instantánea se llevan a cabo de forma cifrada. Para lograr esto, se utiliza OTR, un protocolo que lo hace posible.
• Prioriza la comunicación HTTPS. Para lograrlo utiliza HTTPS Everywhere, un plugin para el navegador Firefox.
• Demás herramientas criptográficas, como por ejemplo cifrado de dispositivos USB con LUKS (el estándar de Linux para llevar a cabo dicha tarea) o de correos y documentos utiliando OpenPGP.

Actualmente Tails se encuentra en la versión 0.23 de forma estable, pero la 1.0 ya se encuentra en estado de release candidate y está en etapa de pruebas.

Descarga: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Saludos!

Adobe lanzó ayer un No tienes permitido ver los links. Registrarse o Entrar a mi cuenta para Adobe Flash, que imposibilita la ejecución del zero-day en Internet Explorer. Fue publicado pocas horas después de que el gobierno de Estados Unidos recomendara a los usuarios de Internet Explorer que cambiaran de navegador, según el No tienes permitido ver los links. Registrarse o Entrar a mi cuenta del United States Computer Emergency Readiness Team (US CERT).

La actualización está disponible para Adobe Flash Player 13.0.0.182 y versiones previas de Windows; Flash Player 13.0.0.201 y versiones previas para Macintosh; y Adobe Flash Player 11.2.202.350 y versiones anteriores para Linux.

Desde el pasado sábado 26 de abril, cuando Microsoft confirmó la existencia de la vulnerabilidad No tienes permitido ver los links. Registrarse o Entrar a mi cuenta en Internet Explorer (Versiones 6 a 11), de seguro estuvo en la mente de varios usuarios una pregunta: ¿recibirán ayuda de Microsoft aquellos que aun utilizan Windows XP?

La respuesta es parcialmente negativa: tras el cierre del soporte técnico para este sitema operativo, quedó claro que no recibirá actualizaciones de seguridad. Sin embargo, sus usuarios pueden mitigar esta vulnerabilidad simplemente utilizando cualquier navegador que no sea Internet Explorerpor ejemplo, Mozilla Firefox o Google Chrome).

La falla básicamente dependía de tres factores:

1) La víctima tenía que estar utilizando Internet Explorer (la mayoría de las campañas activas hasta ayer estaban dirigidas a las versiones más recientes, 10 y 11)

2) Tener el plugin de Adobe Flash

3) El factor humano, ya que el atacante necesitaría hacer uso de Ingeniería Social.

Un atacante podría desencadenar la explotación del ataque a través de una página web maliciosa, a la que la víctima debe acceder con una de las versiones del navegador afectadas. La explotación exitosa de esta vulnerabilidad permitía al atacante ejecutar código arbitrario de forma remota en el navegador, con el fin de obtener los mismos permisos de usuario que la víctima.

Fuente: Laboratorios ESET

Es como dice ANTRAX, esto se debe a que no te van a reconocer la tabla de particiones.
Prueba instalar Linux primero, luego busca guías sobre como instalar Windows 7. Es un tema muy buscado, así que encontrarás información en muchos lugares de diversas fuentes.

Saludos!

Qué sería agregar un comando? Correrlo desde la cmd? Si es así, lo mismo puedes añadir el archivo .bat a la carpeta del sistema y cuando hagas el llamado del archivo te respondera.

Bienvenido Manuee, un placer tenerte con nosotros.
Espero que compartas tus conocimientos, y logres aprender lo que necesites para tus tareas.

Cualquier duda nos lo dices, saludos!

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Siguen apareciendo post mios aca, me encanta chicos. Amo este foro, me encanta aportar cosas que le sirvan a todos.

Quedate tranquilo Ignacio, que donde veamos buena información de seguro aparece acá.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Un poco feo trabajar para Nod32 

Tu crees? Agradescamos que sea la empresa que hace mas sociables con los usuarios, no?

Saludos!

Que en paz descanses, y por supuesto que tengas un bon voyage hacía el más allá.
Un placer haber leido tus post en su momento.

Saludos!

Hacer un análisis de fuzzy hashing para encontrar similitudes entre muestras de códigos maliciosos puede arrojar una gran cantidad de números que evidencian las relaciones entre los archivos. Una forma de visualizar estos datos para obtener información valiosa es a través del uso de grafos.

Vamos a detallar un poco en este post en qué consiste el análisis de grafos, a presentar Gephi una interesante herramienta para este tipo de análisis y el tipo de resultados que podríamos obtener.

La técnica

Los grafos son estructuras que constan de nodos y aristas que los unen. Con esta forma de representar los datos se pueden modelar sistemas relacionados entre si. Dependiendo de las características de las aristas los grafos pueden ser orientados, es decir que las relaciones entre un par de nodos es única.

A partir de un grafo se puede determinar las similitudes que hay entre grupos de nodos, analizando los valores de adyacencias para encontrar posibles agrupamientos. Este tipo de análisis es el que utilizaremos para el caso de encontrar semejanzas entre muestras de códigos maliciosos.

A diferencia de ssdeep,  resulta dar resultados mucho mejores al momento de comparar muestras de malware, al no hacer un análisis secuencial del  código sino un análisis estadístico de mismo.

La herramienta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta es una herramienta libre, que permite generar y analizar el comportamiento de grafos, además de otros análisis de redes y sistemas complejos.

Para generar un nuevo grafo, simplemente debemos identificar los nodos que lo componen y luego las diferentes relaciones entre los mismos.


Una vez se tienen cargados todos los datos, tenemos todo listo para que se genere nuestro grafo, y poder empezar a realizar el análisis.


El primer resultado que obtenemos es bastante confuso. Por lo que debemos empezar a jugar con las opciones de distribución y las herramientas de clustering para encontrar las relaciones que nos puedan ser útiles en el análisis.

Los resultados

Los archivos analizados corresponden a un total de 120 archivos diferentes, pero todos relacionados con la misma muestra, una variante de Win32/LockScreen que fue propagada utilizando un falso video en formato avi.

Si elegimos sdhash para comparar muestras de malware, obtendremos un listado de números con los porcentajes de similitud entre archivos. Cada archivo será un nodo en el grafo y el porcentaje de similitud la arista. De esta forma podemos obtener un grafo como el siguiente:


En este caso resulta interesante, ver como en nuestro grafo se generaron relaciones y similitudes entre algunos grupos de archivos, mientras otros quedaron por fuera de cualquier relación.

Además de los resultados visuales, con Gephi podemos obtener una serie de medidas para evaluar el tipo de gráfico obtenido, como son la densidad del gráfico, la similitud entre los nodos que hacen parte de un mismo cluster y el grado de diferencia con nodos de otros cluster.

Este tipo de análisis permite hacerse con una idea de como deberíamos encarar el análisis de un grupo de muestras. Si bien no nos arrojan información sobre lo que hace cada muestra, como es su comparmiento de red u otra información intrínseca de la muestra, si nos permitirá generalizar esta información para determinar patrones de comportamiento.

Saludos!

Agradecimientos: Camilo Gutiérrez Amaya, Laboratorios ESET

Luego de haber estado reconociendo estructuras comunes en ingeniería reversa (No tienes permitido ver los links. Registrarse o Entrar a mi cuenta y No tienes permitido ver los links. Registrarse o Entrar a mi cuenta) hace algunas semanas, continuaremos con la útil tarea de vislumbrar patrones entre las diversas líneas de código. Hoy es el turno de los bucles, esas estructuras que permiten la ejecución repetida de las instrucciones.

Dado que, al realizar reversing, la cantidad de instrucciones de un programa puede ascender a los cientos de miles, resulta muy poco práctico realizar un análisis instrucción por instrucción. Por eso, se hace necesario lograr cierto nivel de abstracción en el proceso; con un poco de práctica podemos acostumbrarnos a ver un amplio panorama de lo que hace el código, mediante el análisis de grupos de instrucciones en lugar de instrucciones individuales. Asimismo, si pensamos en lenguajes de alto nivel, nos daremos cuenta de que existen estructuras o construcciones que, al ser combinadas, le dan funcionalidad a un programa. Entre esas construcciones encontramos aquellas que rigen el flujo de ejecución, como los condicionales, bucles y demás. Si reconocemos estas estructuras entre el código en ensamblador, estaremos más cerca del lenguaje de alto nivel, con todas las ventajas que esto ofrece.

Para poder reconocer bucles entre las líneas de código en lenguaje ensamblador, primero debemos entender la estructura de un bucle en un lenguaje de alto nivel. Por ello, en la siguiente imagen observamos un programa sencillo con un bucle en C:


El código mostrado imprime por pantalla 9 líneas, desde "Contando 1" hasta "Contando 9". Ahora bien, si nos centramos en el funcionamiento del bucle, podemos bosquejar el siguiente pseudocódigo:

• Asignar a la variable i el valor 1
• Si el valor de i es mayor o igual a 10, ir al paso 6. Si es menor que 10, continuar con el paso 3
• Imprimir por pantalla "Contando i", con el valor actual de i
• Sumar 1 a la variable i
• Ir al paso 2
• Salir del bucle

Los pasos mostrados se marcan con números en la siguiente imagen. Debemos notar que los números utilizados se corresponden con el pseudocódigo presentado arriba.


Si ahora trasladamos este ejemplo particular al caso general, notaremos que los bucles contarán con las siguientes secciones:

• La encargada de inicializar las variables
• La que realiza una comparación, en la cual se basa la repetición
• La que contiene el código a ejecutar repetidamente
• Aquella que incrementa la variable de comparación

Por lo tanto, cuando estemos realizando reversing sobre un ejecutable, debemos observar aquellos grupos de instrucciones que se correspondan con estas secciones, prestando especial atención a las instrucciones de salto, el pegamento que une las secciones. Teniendo esto en cuenta, a continuación se muestra el código correspondiente al programa desensamblado:


Vemos las cuatro secciones marcadas con distintos colores. En rojo se encuentra la sección de inicialización, que consiste en una sola instrucción mov que asigna el valor 1 a la variable local i que se encuentra en el stack de main. Luego vemos un salto a la sección de comparación, en verde, que comprueba si el valor de i es mayor o igual a 10. De ser así, deja de ejecutar el bucle; caso contrario (si se cumple la condición de iteración, i < 10) continúa con la ejecución. A continuación se pasa a la sección de ejecución, en naranja, que inserta el valor de i junto con la cadena de formato (ubicada en la dirección de memoria 0×403000 en este caso) al stack, para invocar a printf (instrucción call). Por último, se realiza un salto a la sección de incremento, violeta, donde se suma 1 al valor de i.

Ya hemos mencionado las bondades de algunas herramientas como IDA, que nos permiten ver el flujo de ejecución en forma gráfica:


Puede que antes de leer este post dicha estructura gráfica no nos llamara la atención, pero ahora vemos claramente la presencia de las 4 secciones y de la flecha ascendente (del bloque 4 al 2) que nos indica la presencia de un bucle.

Esto es todo por hoy, pero en futuros posts continuaremos analizando otras estructuras de control y de datos.

Saludos!

Agradecimientos: Matías Porolli, Laboratorios ESET

Malware Data Base: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Saludos.

PD: todos los troyanos necesitan configuración de firewall, puertos, etc. No lo olvides.

Desconosco sinceramente que tan avanzado este la genética de malware en dispositivos moviles como Android, lo que si te puedo asegurar es que si no hay un Keylogger hecho con tus preferencias, facilmente puedes hacerte uno.

Para testear, lo pruebas con tu mismo celular. Tendrás que tener muchisimas cosas en cuenta, pero vamos, si fuera tan fácil como lo digo cualquiera lo haría... No?

Saludos

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Evento de que tipo?

A que te suena? A ver si me conoces..

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Exelente!!!

Lo que deberias cambiar es la 4er imagen, es la misma que la 3da, deduzco que te habras confundido.

Saludos!

Gracias por tu observación compañero! Si, me había confundido en la subida de la imagen al host.
Ya esta arreglado, me alegra que te halla gustado.

Saludos

Hola compañeros. Cuanta gente de la provincia de Mendoza tenemos aquí? O que estén paseando por estos lugares..

Se esta organizando un evento para fin de mes. Si están interesados, me dejan un MP con sus datos.

Saludos a todos.

Backtrack o Kali Linux? Que dificil decisión... :|
Bah, dejemos los sarcamos Stux jajaja.

En síntesis, cualquiera de los dos S.O sirve para "hacking". Todo depende de con cual te sientas mas comodo, de cuanto estes familiarizado con el sistema, de tu experiencia y pues claro de la aplicación y el hardware.

Todo tiene que ver con todo.

Saludos!

Con el paso del tiempo, nuestra sociedad moderna es cada vez más dependiente de Internet con el uso diario de teléfonos celulares, documentos en línea, lectura de diarios digitales, homebanking entre otros. En este sentido, a veces necesitamos usar la red y nuestra única opción, de estar en la vía pública por ejemplo, es un café o bar con Wi-Fi gratis. Sin embargo, cuando hacemos esto, ¿somos realmente conscientes de los peligros a los que nos exponemos?

Uno de los mayores riesgos es que un ciberatacante aproveche una conexión Wi-Fi sin contraseña y la clone, supongamos que vamos a un café y decidimos conectarnos a "WifiGratis", la red del lugar que no está protegida por contraseña. Por otro lado, un atacante está a la espera, con su antena preparada, a que alguien se conecte a esta red, pero ya cuenta con una ventaja: previamente montó su red con el mismo nombre.

Este escenario es donde reside el riesgo, ya que sin saberlo nuestro dispositivo puede enlazarse a la antena del atacante y no a la Wi-Fi del lugar. De esta manera, todos los paquetes de conexión que entren y salgan pasarán por el equipo atacante, quien podrá ver y modificar todo a voluntad.

A continuación, vamos a ver cómo funciona Fruity Wifi, una herramienta usada para estas prácticas. Destacamos, como siempre, que estas pruebas se realizaron dentro de nuestro de laboratorio, bajo condiciones y parámetros controlados, sin perjudicar a nadie y cuyo único objetivo es poder demostrar que estas acciones son reales para que todos tomemos conciencia y podamos protegernos mejor, especialmente cuando nos enfrentemos a estas situaciones.


En la imagen anterior, se puede apreciar el panel de estado de la herramienta, que específicamente muestra los módulos que posee, las configuraciones de sus placas de red, etc. Por otro lado, una vez que hay una víctima, se podrá ver en el panel inferior denominado DHCP.

Una vez montada la falsa red Wi-Fi ("WifiGratis"), la aplicación le entregará una dirección IP a cada dispositivo que se conecte, redirigiendo el tráfico y haciendo que la conexión sea transparente para la víctima, es decir que a pesar de no estar conectado a la antena original, igualmente pueda navegar.

En este sentido, en la siguiente imagen puede observarse cómo el atacante podría ver, por ejemplo, las consultas DNS:


Asimismo, desde aquí podrían modificarse las consultas, es decir hacer un DNSspoof, permitiendo cambiar el destino al solicitar un sitio. Otra de las características tiene que ver con la popular aplicación de mensajería instantánea para móviles, No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, cada móvil que se conecte a la red falsa creada por el atacante, con solo abrir la aplicación de mensajería instantanea, automáticamente el número telefónico se mostrara en el módulo que posee la suit.


Por cuestiones de seguridad obviamente se ofuscaron los últimos dígitos, pero efectivamente es el número completo junto con el sistema operativo del equipo. Además de estos datos, el atacante también podría ver las páginas web accedidas por la víctima.


Compartimos esta investigación y sus pruebas a fin de generar conciencia sobre los peligros y puedan estar al tanto de todos los riesgos que hay en Internet, para que puedan disfrutarla de forma mucho más segura.

En esta ocasión se hizo una prueba de concepto muy básica para poder mostrar el alcance un ataque de este tipo, no obstante, un ciberdelincuente podría diseñar el ataque para hacerlo más avanzado, por ejemplo que al conectarse a la red, automáticamente solicite descargar e instalar una aplicación que termina infectando el dispositivo, o tan simple como el que robe credenciales de cuentas de correo o inclusive cuentas bancarias.

Por último, les compartimos algunas buenas prácticas para evitar ser víctima de estos ataques:

• En primer lugar, es vital contar con una solución antivirus actualizada, ya que previene las infecciones por parte del atacante e inclusive alertará sobre el envenenamiento ARP y DNS, evitando ser redirigidos a una página no deseada que contenga código malicioso.
• Configurar nuestros dispositivos para que cada vez que quiera conectarse a una red Wi-Fi, siempre nos pregunte si queremos hacerlo y no lo haga automáticamente.
• Si estamos en un lugar con conexión pública Wi-Fi y nuestro equipo cuenta con conectividad 3G o LTE, es más seguro usar la red móvil.
• Configurar el equipo para que no almacene las conexiones a redes Wi-Fi.
• Evitar las redes Wi-Fi sin contraseña.
• Cuando la única opción son redes Wi-Fi desprotegida, deshabilitar todos los servicios de homebanking, cuentas de correo electrónico, redes sociales y demás aplicaciones que requieran usuario y contraseña para conexión. En este caso es aconsejable usar Internet solo para servicios como leer portales o diarios, o cualquier tipo de página que no requiera credenciales ni información personal.
• Usar siempre conexiones de confianza protegidas y cuya contraseña conozcamos y estemos seguro de que es segura y fuerte.

Agradecimientos: Ignacio Pérez, Laboratorios ESET

Estos días ha circulado un correo con un adjunto que aparenta ser un fax. Sin presentar más detalles que la "cantidad de hojas del fax", el adjunto es en realidad una amenaza compleja que viene acompañada de otras con la intención de robar información personal. Desde el Laboratorio de Investigación de ESET Latinoamérica les presentamos el análisis de este código malicioso.

Recientemente hemos analizado una muestra que se presenta como un adjunto de correo, simulando ser un fax. Sin embargo, detrás de esta artimaña, se esconde una amenaza que ha presentado un interesante análisis. Primero es necesario descomprimir el adjunto, que aunque tiene icono de archivo PDF en realidad es un ejecutable:



El siguiente listado muestra todos los archivos involucrados en la ejecución del malware, 4 de ellos son maliciosos. Veamos de forma detallada cómo es el funcionamiento del malware, centrándonos en los archivos indicados en la imagen:


Al ser ejecutado, el malware depositará otro código malicioso en el sistema llamado mazon.exe, detectado por nuestras soluciones antivirus como Win32/TrojanDownloader.Waski.A. Si se lleva a cabo análisis de tráfico de red se puede evidenciar que el malware descargará un archivo de extensión QTA, que en realidad es un ejecutable. Se puede observar en la imagen siguiente:


En la parte superior de la imagen podemos ver que el siguiente código malicioso será descargado de la sección de imágenes de un sitio real (ver imagen a continuación). Dicho sitio se encuentra vulnerado:


Al ver el directorio donde la muestra accedió veremos las imágenes del sitio y también el malware descargado:


Este formato bastante inusual probablemente no llamará la atención a primera vista. Sin embargo, esconde un comportamiento malicioso: es un ejecutable detectado por las soluciones ESET como una variante de Win32/Kriptik.BXTO (llamado asmlo.exe en la segunda captura). Será el encargado de manipular las DLL que habíamos visto en la segunda captura, detectadas como variantes de Win64/Spy.Tuscas.A y Win32/Spy.Tuscas.A. Este no es un aspecto menor, porque podemos ver que la muestra se encuentra preparada para llevar a cabo su comportamiento malicioso tanto en arquitecturas de 32 bits como en las de 64 bits, y utilizará una de las dos DLL de acuerdo a la arquitectura de la víctima. Una vez terminado el proceso, el malware se valdrá del archivo CMD que puede verse en la segunda imagen para "limpiar" la escena:


Si utilizamos alguna herramienta como ESET SysInspector para comparar un reporte antes de la ejecución de la muestra con uno reciente, veremos que el malware ha creado un hook de la DLL al proceso explorer.exe.

Los países latinoamericanos más afectados por la familia de amenazas (las DLL) son Argentina, Perú y México, quienes en conjunto presentan el 10% del total de detecciones.

Finalizado el análisis, podemos ver que la muestra en cuestión se encuentra preparada para funcionar tanto en entornos de 32 bits como en los de 64 bits, ya que utilizará una DLL según la arquitectura de la víctima.

Saludos a todos!

Agradecimientos: Gastón Charkiewicz, Laboratorios ESET

Una vulnerabilidad de WinRAR (el popular software de compresión de archivos ZIP) fue descubierta por el investigador israelí Danor Cohen. La misma está siendo explotada en una campaña de malware dirigida a gobiernos, organizaciones internacionales y grandes empresas.

Esta vulnerabilidad permite que los atacantes creen un archivo ZIP que aparenta contener un archivo tal como una foto, pero que en realidad puede llegar a ser un archivo ejecutable que desencadena una infección del sistema. De esta forma, el ciberatacante fácilmente comprimir cualquier tipo de malware con WinRAR y luego hacer pasar ese archivo como un archivo ZIP de un archivo beningno.

La vulnerabilidad fue bautizada por Cohen como "spoofing de extensión de archivo de WinRAR", y según los investigadores de IntelCrawler, la misma está presente en todas las versiones de este popular software, inclusive en la 5.1. La explotación de esta vulnerabilidad se da cuando WinRAR comprime un archivo y crea nuevas propiedades, incluyendo la función de "cambiar el nombre del archivo". Al alterar esta información, el ZIP dirá que contiene algo diferente a lo que realmente aloja.

De acuerdo a IntelCrawler, los atacantes están explotando esta vulnerabilidad desde el 24 de marzo para realizar una campaña de ciberespionaje dirigida a corporaciones aeroespaciales, empresas militares subcontratadas, embajadas y grandes empresas. Una de las muestras era un e-mail de spam que decía provenir del Consejo Europeo de Asuntos Legales, y en el que se adjuntaba un archivo ZIP malicioso y protegido con contraseña, la cual era incluida en el cuerpo del mail.

Fuente: Corporación ESET

La evolución de las amenazas informáticas se enfoca cada vez más en métodos poco convencionales y afectar nuevos dispositivos. Si hasta hace apenas un par de años hablábamos de amenazas complejas como Stuxnet o Duqu, ahora empezamos a escuchar de amenazas como los Troyanos de Hardware.

Tradicionalmente conocemos los códigos maliciosos del tipo troyano, cómo aquellos programas maliciosos que simulan ser una aplicación indefensa, incluso se instalan y ejecutan como un software legítimo pero realiza tareas maliciosas sin conocimiento del usuario.

Los troyanos de hardware son un tema que si bien no es nuevo, ha tomado una especial relevancia en los últimos años cuando empezamos a ser testigos de casos y amenazas de ciberguerra.

¿En qué consisten estas amenazas?

Los troyanos de hardware, van directamente a modificar el comportamiento del circuito integrado, para esto se modifica el proceso de construcción de la placa de tal forma que se agregan componentes para luego controlar o alterar el funcionamiento de los transistores.

Una de las formas que más se suele utilizar para hacer estas modificaciones es agregar componentes adicionales en la elaboración de los circutios integrados. Lo importante es que se han desarrollado técnicas de verificación óptica que las detectan fácilmente.

Otro tipo de técnica asociada a los troyanos de hardware presentada en 2010, consiste en modificar la concentración del dopante utilizada en los transistores para limitar la vida útil del circuito integrado. De esta forma se podría esperar que los dispositivos tuvieran algún tipo de falla y aprovecharla para hacer algún tipo de ataque.

Cómo suele ocurrir con el avance de la tecnología, se han puesto en evidencia técnicas de inyectar este tipo de troyanos de hardware, pero de tal forma que no sean fácilmente detectables. Un No tienes permitido ver los links. Registrarse o Entrar a mi cuenta demuestra que existe la posibilidad de generar este tipo de comportamientos maliciosos en circuitos integrados, solamente alterando la juntura de unos cuantos transistores del chip para cambiar su polaridad.

Casos donde se han utilizado troyanos de hardware

En el año 2005 un informe del Defense Science Board del departamento de defensa de los Estados Unidos, redactó un informe en el cual mencionaba que se habían detectado este tipo de modificaciones maliciosas en componentes utilizados en infraestructura militar y civil.

Más recientemente en 2010, fue descubierto que la empresa No tienes permitido ver los links. Registrarse o Entrar a mi cuenta y que eran utilizados en mecanimos de defensa. El problema con este tipo de dispositivos es que como intervienen tantos fabricantes a escala global dado la especificidad de cada uno de sus componentes, las probabilidades de que en algún punto exista una modificación se incrementan.

Entonces, ¿cómo detectar estas amenazas?

En vista de que estas amenazas son cada vez más patentes, las empresas han desarrollado pruebas que se aplican antes y después del proceso de fabricación. Las pruebas que más se suelen utilizar son las del análisis de imágenes tomadas con microscopios electrónicos (SEM) para detectar que no existan capas agregadas de otros materiales que puedan modificar el comportamiento del circuito integrado.

Pero además, se han desarrollado otro tipo de pruebas debido a que las nuevas técnicas para inyectar estos troyanos de hardware ha evolucionado. Esta pruebas por lo general consisten en pruebas de funcionalidad en los cuales se analiza el comportamiento esperado de cada circuito antes diferentes situaciones.

Todas estas situaciones plantean un panorama donde deben involucrarse los grandes fabricantes de tecnología, pues estos temas son bastantes sensibles pues generalmente este tipo de amenazas están enfocadas en afectar infraestructuras críticas, más allá del hecho que sean amenazas que puedan dañar una computadora como se ha vendido la idea en muchos casos.

Agradecimientos: Camilo Gutiérrez Amaya, Laboratorios ESET