Cibercriminales dirigiéndose a Skype para difundir amenazas de malware


Los Laboratorios de Investigación de Amenazas de Cyberoam observa a los Cibercriminales dirigiéndose a Skype para difundir amenazas de malware
(Edison, NJ, 09 de abril de 2013)

Cyberoam, el líder global en equipos de seguridad UTM para redes empresariales, anunció hoy que su Laboratorio de Investigación de Amenazas (CTRL) ha identificado una nueva variante del gusano conocido como “Dorkbot”. Los autores detrás de este ataque están utilizando a Skype, una de las plataformas de comunicación más populares de Internet, como vehículo para distribuir el gusano en los equipos que cuentan con el Sistema Operativo de Windows. El CTRL descubrió esta nueva variante mientras analizaba dos muestras de archivos zero-day que fueron enviados a través de Skype, que se comprenden de un archivo “.exe” y “.zip”. Conformado por un grupo de expertos e investigadores de seguridad de redes, el Laboratorio de Investigación de Amenazas de Cyberoam realizó un análisis de vulnerabilidades en el brote de varias amenazas de red y de aplicaciones de forma regular.

Comportamiento e impacto del malware según el reporte de los Laboratorios de Investigación de Amenazas de Cyberoam

Se encontró que una nueva muestra del gusano Dorkbot, dirigido a dispositivos extraíbles y que se propaga a través de Skype. Se conecta a un servidor IRC (Internet Relay Chat) y se une a un determinado canal IRC a fin de ejecutar los comandos del atacante. El gusano está programado para borrarse a sí mismo al ser ejecutado.

El gusano agrega determinadas entradas en el registro para asegurarse de que es capaz de ejecutarse de forma automática en el arranque. Envía un mensaje utilizando el chat de Skype, atrapando a los usuarios a seguir inconscientemente un vínculo que contiene el malware. Se facilita así un backdoor para que los atacantes puedan sembrar una infección y, finalmente, aprovechar los sistemas infectados para ser utilizados como recursos de la botnet. El malware también se conecta a un servidor IRC, se une a un canal y espera órdenes. Es posible que de esta manera sean capaces de robar nombres de usuarios y contraseñas monitoreando las redes de comunicación, y también puede bloquear los sitios Web que están relacionados con las actualizaciones de seguridad de los equipos. También puede lanzar un ataque limitado de denegación del servicio (DoS). Dado que el gusano es capaz de interceptar las comunicaciones del navegador de Internet aprovechando varias APIs del navegador, puede poner en peligro la información confidencial del usuario. Por otra parte, los atacantes pueden utilizar este software malicioso para iniciar sesión en un servidor FTP remoto e infectar con éxito varios archivos HTML añadiendo un iFrame, que facilita la función de propagación del gusano.

Observaciones y recomendaciones de los Laboratorios de Amenazas de Cyberoam


En el pasado, varias marcas de Anti-Virus y Anti-Malware han tratado de mitigar el impacto del gusano “Dorkbot”. Sin embargo, con esta nueva variante del malware, regresa de forma inquietante. Esta última alerta de amenaza corrobora que los atacantes detrás del malware han logrado superar los parches y actualizaciones lanzadas contra la amenaza. En base al tipo de atacantes, Cyberoam sospecha que pueden ir añadiendo más características a dicha variante evolucionada, por ejemplo, localización destructiva del malware. Así como otros expertos en la industria también observan, hay una creciente tendencia a la localización del malware y las amenazas. Los cibercriminales van ideando nuevos métodos de ataque mediante el uso de aplicaciones tales como Skype para maximizar el impacto.

Cyberoam cree que existe una necesidad urgente de promover una mayor conciencia para bloquear este tipo de ataques cibernéticos. El simple hecho de liberar nuevos parches y firmas no es suficiente. Los atacantes son cada vez más sofisticados y hábiles en la identificación de nuevas compañías para la difusión de amenazas de malware. Así mismo, son cada vez más hábiles para supervisar el uso de Internet y cambiar el consumo de aplicaciones en los equipos y dispositivos móviles, por lo tanto, capaces de orientar ciertas aplicaciones como el medio para difundir el contenido del malware.

Divulgación ética y colaboración de los Laboratorios de Investigación de Amenazas de Cyberoam

Los Laboratorios de Investigación de Amenazas de Cyberoam practican un enfoque ético en la divulgación y presentación de informes de vulnerabilidades de malware. El CTRL, al descubrir una vulnerabilidad o amenaza de malware tiene como objetivo llevar a cabo una pronta resolución antes de que la amenaza sea notificada al público. Una vez que una firma se crea, Cyberoam puede distribuir filtros de vulnerabilidad para la protección de sus clientes a través de las actualizaciones de seguridad en sus equipos UTM.

La protección proactiva a la red y la oportunidad para minimizar la posibilidad de ser presa de un exploit de zero-day sigue siendo el principal objetivo. Los investigadores del CRTL colaboran con otros proveedores del sector de seguridad para el desarrollo de medidas de seguridad, como un parche para la vulnerabilidad descubierta. Incluso después de que el parche sea liberado, el CTRL continúa con sus esfuerzos de colaboración para investigar a fondo el origen de la amenaza y poner las medidas adecuadas para evitar cualquier anomalía en un futuro o un exploit zero-day de la misma fuente. De este modo, el CTRL sigue un enfoque ético, por lo que si una marca no es capaz de responder en el plazo de cinco días hábiles, el equipo de investigación de amenazas de Cyberoam considera la emisión de un aviso público limitado a informar a los demás colaboradores de la industria a adoptar las medidas necesarias para mantener a los usuarios finales protegidos por la liberación de un parche apropiado o de firma.

A raíz de las crecientes amenazas de malware y patrones emergentes que propagan este tipo de ataques, Cyberoam ofrece protección mejorada a sus clientes, la cual no se limita a una sola defensa basada en firmas.
 


Acerca de los Laboratorios de Investigación de Amenazas Cyberoam (CTRL)
Cyberoam Threat Research Labs (CTRL) identifica las amenazas de seguridad y protege a los clientes contra las diversas vulnerabilidades, tales como los ataques de malware, publicando actualizaciones y presentación de informes de seguridad. Estos informes ayudan a los clientes de Cyberoam a permanecer protegidos con una orientación detallada y consejos para la prevención de amenazas de malware utilizando una configuración adecuada de los parámetros en los equipos de Cyberoam. Durante el último año, el CTRL ha investigado más de 138 vulnerabilidades y liberado firmas de protección adecuadas para extender la protección de seguridad para los clientes.