Las dos plataformas más exitosas de internet en los últimos años, se están convirtiendo en el nuevo y codiciado escenario para los hackers y troyanos de alto riesgo, donde explotan la ingenuidad de sus usuarios y el falta de políticas de seguridad para combatirlos.Durante enero, la popular red social de microblogging, Twitter, fue utilizada una vez más para propagar malware, y Facebook nuevamente sufrió un ataque multi-stage, confirmando la tendencia a utilizar las redes sociales como plataforma de ataque. Asimismo, se descubrió un nuevo troyano para la plataforma de dispositivos móviles Android que convierte al equipo infectado en parte de una botnet, informó la compañía de seguridad informática ESET en su primer análisis del 2011.
El mismo día en que se dio a conocer la noticia de que Twitter había alcanzado las 200 millones de cuentas de usuario, se detectó la propagación de un gusano que utilizaba el acortador de direcciones URL de Google para su propagación en la popular red social de microblogging.
Mediante el envío de mensajes masivos por medio de Twitter, con textos breves y atractivos y un enlace con un acortador de URL, se invita al usuario a hacer clic. Cuando esto ocurre, el usuario es direccionado a diversos sitios web donde se lo alerta sobre una supuesta infección en sus equipos y se ofrece la descarga de la aplicación llamada Security Shield, que no es otra cosa que un rogue.
“El rogue es un software que, simulando ser una solución de seguridad, en realidad instala códigos maliciosos en el equipo de la víctima. Si bien los ataques en Twitter para propagar esta amenaza ya han sido bloqueados, es importante que el usuario tenga en cuenta los riesgos de hacer clic en enlaces de dudosa procedencias”, aseguró Federico Pacheco, Gerente de Educación e Investigación de ESET Latinoamérica.
Para saber cómo identificar un rogue o falso antivirus puede acceder al Blog de Laboratorio de ESET Latinoamérica: http://blogs.eset-la.com/laboratorio/2010/09/14/5-formas-de-identificar-un-rogue/
Facebook no se escapa
Por otro lado, durante los últimos días del mes, Facebook fue protagonista de un ataque multi-stage. En este caso, se trató de una amenaza muy elaborada que por medio de la combinación de diversas técnicas de ataque recopila datos de la víctima, infecta su equipo y así propaga códigos maliciosos.
El ataque comienza con la infección del equipo del usuario utilizando técnicas de Ingeniería Social. Luego, la víctima es redirigida a una página falsa donde se le solicitan las credenciales de inicio de sesión de Facebook que serán robadas para continuar con la propagación de malware. A su vez, se hace uso de la vulnerabilidad CVE-2010-1885 de Internet Explorer, que fuerza la ejecución de un código malicioso y luego ejecuta la descarga de otro código malicioso.
“Este ataque resulta muy interesante ya que permite observar cómo un atacante combina diversas técnicas y herramientas con el fin de recopilar datos de la víctima e infectar el equipo para propagar su código malicioso”, concluye Sebastián Bortnik, Coordinador de Awareness & Research de ESET Latinoamérica.
Además, durante este mes, se descubrió un nuevo troyano para la plataforma de dispositivos móviles Android, que recibió el nombre de Geimini. Entre las principales capacidades de este código malicioso se encuentra la posibilidad de recibir instrucciones desde un C&C (Centro de Comando y Control) haciendo que el dispositivo infectado pase a formar parte de una botnet y envíe información del teléfono a una serie de dominios externos posiblemente maliciosos.
Una vez que el dispositivo ha sido comprometido, el malware envía cada un período aproximado de 5 minutos información tanto del usuario como del equipo. Además, Geinimi cuenta con la posibilidad de recibir comandos remotos y de esta manera puede ejecutar acciones tales como la descarga e instalación de aplicaciones, el envío y borrado de mensajes de texto, la realización de llamadas o el acceso a páginas web. Además, esta infección puede derivar en la instalación de otros códigos maliciosos o incluso la explotación de vulnerabilidades que pueden llevar al robo de información.
Esta amenaza se ha encontrado en varias aplicaciones que se distribuyen a través de canales no oficiales para la descarga, entre ellas: Monkey Jump 2, Sex Positions, President vs. Aliens, City Defense y Baseball Superstars 2010.
“La aparición de Geinimi pone en evidencia la complejidad que hoy en día están adquiriendo los códigos maliciosos para plataformas móviles, incrementando notablemente el riesgo de infección de los usuarios. Por tal motivo resulta muy importante que los usuarios se encuentren bien informados, cuenten con la protección adecuada en sus equipos y conozcan las buenas prácticas para el uso de dispositivos móviles”, declaró Bortnik.