El gusano Nuwar y las vulnerabilidades de Yahoo Messenger, lo más destacado de septiembre

ntre las principales conclusiones que se extraen del estudio, se observa que durante el mes pasado, el gusano Nuwar y las vulnerabilidades de Yahoo Messenger se han convertido en amenazas habituales. Del mismo modo, Trend Micro informa de que a las amenazas web y a las vulnerabilidades, se suman los viejos virus del sector de arranque, como es el caso de ANGELINA.A-B, que ha resurgido en los portátiles alemanes.

La compañía también hace especial hincapié en que, si bien los macro-virus son algo del pasado, esto no significa que las aplicaciones de Office no se conviertan en vectores de amenazas, pues durante la primera semana de septiembre hizo su aparición TROJ_ACDROPPER.K, un troyano que llega como un archivo MDB, que es simplemente una base de datos Access. El troyano explota una vulnerabilidad de Access que le permite colocar una copia de otro troyano (TROJ_AGENT.PXT) en el sistema afectado.

Por su parte, y dentro de la categoría de código malicioso, Trend Micro destaca que el gusano Nuwar (WORM_NUWAR.AQN) volvió a aprovechar acontecimientos sociales y deportivos para propagarse valiéndose de técnicas de ingeniería social. Otro de los peligros que se repiten es Sohanad que, esta vez ha recurrido a la vieja táctica de propagarse a través de Yahoo Messenger (YM).

A esta lista de amenazas del mes de septiembre de Trend Micro se suman otras como los botnets que atacaron eBay; la explotación de vulnerabilidades en Gmail; o los ataques a páginas web de diferente índole, desde gubernamentales a sites culturales sobre recomendaciones de libros.

Código malicioso significativo:

TROJ_AGENT.EGK: El código malicioso con un plan para todo…

Hay un código malicioso que parece estar preparado para todo. TROJ_AGENT.EGK llega en un archivo (.ZIP) a través del correo electrónico no deseado, lo que se hace posiblemente para evitar filtros de correo primitivos. El archivo también contiene un HTML que trata de engañar al usuario para que haga clic sobre el archivo ejecutable del código malicioso (cancel order.exe). Si el usuario no hace clic en el código ejecutable, el archivo HTML contiene un enlace que hace referencia al archivo EXE. Así, cuando el usuario confiado pincha en el enlace que supuestamente le conduce a un sitio web, el código malicioso se ejecuta y descarga un bot que envía información del sistema a un servidor remoto. Esta táctica del código malicioso no funcionaría si el archivo EXE no se extrajera del archivo ZIP.

WORM_SOHANAD.DJ: Se propaga una vez más a través de Yahoo Messenger (YM)

El pasado mes de agosto una variante de Sohanad utilizó una página falsa de Google para propagarse. Una vez más, parece que Sohanad depende de sus viejas tácticas, pues WORM_SOHANAD se hizo tristemente célebre por mandar spam a través de mensajes Yahoo Messenger (YM), que contenían enlaces desde donde podía descargarse. A mediados de septiembre, una nueva variante de Sohanad apareció de nuevo, aunque en esta ocasión el mensaje YM relacionado con el código malicioso contenía un enlace que parecía ofrecer fotos de la guerra en Irak. Por supuesto, no se descargan dichas, sino que cuando se pincha en el enlace se descarga WORM_SOHANAD.DJ en el sistema del usuario.

ANGELINA.A-B: Un viejo virus del sector de arranque encontrado en los portátiles alemanes

ANGELINA.A-B es un virus de sector de arranque antiguo, que se descubrió por primera vez en 1994. Recientemente, apareció en los laptops Medion vendidos por una tienda alemana. Los portátiles corrían sobre Windows Vista y aunque tenían su propio software antivirus, éste no lograba eliminarlo, a pesar de que sí lo detectaba. Aunque no tiene por qué cundir el pánico, ya que éste es un incidente aislado y no se han recibido informes de laptops infectados con virus del sector de arranque desde entonces.

WORM_NUWAR.AQK (Día del Trabajo) y WORM_NUWAR.AQN (fútbol americano)

Trend Micro detectó dos variantes importantes de Nuwar en septiembre. La primera, WORM_NUWAR.AQK, apareció durante el Día del Trabajo en Estados Unidos, haciéndose pasar por una tarjeta electrónica para celebrar ese día. El sitio malicioso al que conecta la tarjeta no sólo descarga Nuwar, sino que también hace lo propio con TROJ_TIBS.ANF.

La segunda variante de Nuwar es WORM_NUWAR.AQN, que apareció durante el inicio de la temporada de fútbol americano de la NFL. Utiliza la misma táctica de ingeniería social que la variante anterior, pero esta vez se hacía pasar por un rastreador de juegos en línea, aparentemente dirigido a los fanáticos de este deporte.

TROJ_ACDROPPER.K: Explota Vulnerabilidad de Access

Si bien los macro virus son algo del pasado, no necesariamente significa que las aplicaciones de Office no se conviertan en vectores de amenazas. Durante la primera semana de septiembre hizo su aparición TROJ_ACDROPPER.K, un troyano que llega como un archivo MDB, que es simplemente una base de datos Access. El troyano explota una vulnerabilidad de Access que le permite colocar una copia de otro troyano (TROJ_AGENT.PXT) en el sistema afectado.

Amenazas Web:

Hackean el site de la Embajada de Siria en Londres

A finales de septiembre, se comunicó que el sitio web de la embajada de Siria en Londres se había visto comprometido. Se encontraron etiquetas IFRAME con contenido peligroso en la fuente HTML del sitio, una señal clara de que éste había sido hackeado. Las IFRAMEs desvían el navegador a un lugar con contenido malicioso, el cual descarga el troyano TROJ_SMALL.KYZ al sistema afectado.

Site de Reseñas de Libros de Ciencia Ficción Comprometido

Los sitios web gubernamentales no son el único blanco de ataque de los hackers, pues las páginas web de reseñas de libros tampoco son seguras, hecho confirmado a mediados de septiembre, cuando fue hackeado un site de reseñas de libros de ciencia ficción, comprometido a través de la inserción de etiquetas IFRAME que redireccionaban al usuario a URLs con contenido malicioso. Una inspección detallada de las etiquetas IFRAME reveló que se utilizó un toolkit de amenazas web para el ataque, probablemente relacionado con el toolkit 404 que se descubrió hace unos meses.

Botnet ataca eBay

A principios de septiembre eBay fue atacado por un botnet en un intento por robar información personal y financiera de los usuarios de eBay. A través de etiquetas IFRAME que redireccionaban a sitios con contenido malicioso, se descargaba el spyware TSPY_EBBOT.A, que es el que realiza el ataque real en eBay. Una investigación reveló que el spyware tiene acceso a varias páginas web que contienen información comprometida de cuentas de acceso. Además, el spyware también utiliza un eBay API, lo que le permite comunicarse directamente con la base de datos de eBay. De este modo, los ciber criminales pueden utilizar la información robada para realizar otras actividades ilegales.

Vulnerabilidades:

CSRF en Gmail.

CSRF (Cross Site Request Forgery) es una técnica que los atacantes utilizan para llegar a los usuarios a través de sitios web de confianza. Recientemente, a finales de septiembre, se descubrió que el popular servicio de correo web de Google, Gmail, era vulnerable a este ataque. La vulnerabilidad de Gmail se pudo explotar al tener acceso a una página web maliciosa mientras los usuarios de Gmail iniciaban la sesión en sus respectivas cuentas. Una vez que el usuario navegaba por la página web maliciosa, el atacante podía tener acceso a su buzón de correo.

Nueva Explotación de Prueba de Concepto de Yahoo Messenger (YM)

Parece que cada mes salen a la luz nuevas dosis de vulnerabilidades de Yahoo. En esta ocasión, a finales de septiembre, se registró una nueva explotación de prueba de concepto en Yahoo Messenger que apuntaba a un DLL vulnerable utilizado por YM. Cuando el componente DLL se activa puede descargar los archivos especificados por un programa o sitio web. Esto le convierte en un vector de distribución de código malicioso. En este sentido, los usuarios de YM pueden ser dirigidos a un site malicioso, que puede aprovechar DLL a través de un control ActiveX.