Los codigos maliciosas mas engañosos del 2014

Detrás de todas las cibertragedias se esconde un pedazo de código malévolo diseñado para causar tanto daño como sea posible – para robar identidades, secretos empresariales o simplemente para probar algo. Con la esperanza de que el 2015 sea más seguro, estamos mostrando a los protagonistas de los delitos cibernéticos y cibercaos que se crearon este año.

DYRE como "El banquero"

Troyano dirigido a los bancos mundiales para robar las credenciales sensibles del usuario y los datos financieros de la banca. Se propaga a través de campañas de spam y phishing. Un correo, es enviado a los empleados del banco, el cual contiene archivos adjuntos ZIP, PPT o PDF o enlaces acortados malintencionados que conducen a servidores comprometidos que cargan archivos maliciosos. El archivo Dyreza se carga en la máquina destino, el cual se conecta a una lista de dominios para después instalar el ejecutable malicioso.

Realiza ataques man-in-the-middle para interceptar el tráfico cifrado y capturar la información de inicio de sesión. Los datos se envían a los servidores controlados por los hackers. La lista de las víctimas conocidas incluye a varios bancos en Suiza y a SalesForce.com.

Consejo de seguridad. No haga clic en enlaces en los correos electrónicos de direcciones de correo electrónico desconocidos. La mayoría de las estafas en línea se propagan a través de este método.

BLACKPOST como “El hombre ventas”

Bio: Malware que compromete el sistema de los terminales de punto de ventas de las tarjetas de credito y debito (sobre todo en entornos windows)

Victimas conocidas: Dirigido a los clientes de los principales bancos de EE.UU, tales como: Capital One, City Bank, Union Bank of California Y Nordstrom FSB Debit.

Propagación: Se disfraza de un conocido proveedor de software antimalware para evitar ser detectado por los sistemas de punto de venta.

¿Cómo funciona?: Utiliza los volcados de memoria para capturar los datos de las tarjetas de los terminales de puntos de ventas infectados. Envía los datos filtrados a servidores comprometidos por medio FTP.

Factores interesantes:

Diseñado para evitar el firewall por software.
Tiene un tamaño de 207 Kylobites
El paquete malicioso tiene un precio de $ 1800 - $2300
 

Consejo de seguridad: Las empresa y grandes organizaciones deben implementar una solución de seguridad por medio de capas múltiples para asegurarse que su red está protegida contra vulnerabilidades del sistema y de sus aplicaciones.
 

WIRELURKER como "La manzana podrida"
Familia de malware complejos dirigidos a las aplicaciones en iOS y OS X para robar información personal de los usuarios. Distribuidos a través de aplicaciones manipuladas con malware en OS X . WireLurker controla cualquier dispositivo iOS conectado vía USB en un ordenador infectado en OS X e instala aplicaciones descargadas de terceros o genera automáticamente aplicaciones maliciosas en el dispositivo de Apple, con o sin jailbreak. Las víctimas infectadas se encuentran sobre todo en China.

Consejo de seguridad. Emplear un producto de protección antivirus o de seguridad para el sistema Mac OS X y mantener sus firmas actualizadas.
 

KOLER como "El policía"
Troyano en android que extorsiona a los usuarios de dispositivos móviles a cambio de dinero para desbloquear sus datos. Haciéndose pasar por un reproductor de vídeo válido ofrece acceso premium a la pornografía, se descarga automáticamente durante una sesión de navegación. Después que el troyano drive-by infecta a una máquina, impide que el usuario acceda a las pantallas de sesión del móvil y muestra un mensaje falso que pretenda ser del servicio de la policía nacional. Advierte al usuario que ha sido monitoreado al acceder a sitios web de abuso infantil y exige un pago como fianza del delito. Fue dirigido principalmente hacia los usuarios europeos.

Consejo para la seguridad. Instale una solución de seguridad móvil el cual le ayudará a proteger los dispositivos móviles del hacking, malware, virus y accesos no autorizados.
 

CRYPTOLOCKER como "El ladrón"
Prolífico Troyano Ransomware que utiliza la encriptación para bloquear los archivos y exigir al usuario a pagar un rescate para descifrarlos. Viene incluido en los mensajes spam el cual llevan un archivo adjunto malicioso. Si los usuarios abren el archivo adjunto, el archivo .exe maliciosos es descargado y ejecutado. Cuando CryptoLocker obtiene el acceso a una computadora, se conecta a dominios generados aleatoriamente para descargar una clave pública RSA de 2048 bits el cual es utilizada para cifrar los archivos de la computadora. La clave pública RSA puede descifrarse únicamente con la clave privada correspondiente, siendo esta ocultada para hacer casi imposible el descifrado.

Cryptolocker es conocido por haber infectado a más de 500.000 usuarios, principalmente en los Estados Unidos, El Reino Unido y Canadá.

Consejo para la seguridad. Asegúrese de que su software de seguridad y sistema operativo estén actualizados regularmente.


 

PUSHDO como "El amigo de Zeus"
Pushdo Troyano multiusos (polivalente) que se utiliza en claves privadas y públicas para proteger la comunicación entre los robots y la central de comando y control (C & C). El Troyano Pushdo se ha utilizado para distribuir cepas secundarias de malware como ZeuS y SpyEye además de spam.

Una vez que las máquinas están infectadas con Pushdo, la botnet se utiliza para entregar correos maliciosos con enlaces a sitios web que cargan sobre los usuarios troyanos bancarios, como Zeus, Torpig y Bugat. A veces, los mensajes son hechos para aparentar ser como tarjetas de crédito o que contienen un accesorio disfrazado como una confirmación del pedido. Ha comprometido a más de 180.000 direcciones IP únicas en la India, Indonesia, Turquía, Reino Unido, Francia y Estados Unidos.

Consejo de seguridad. Las empresas también necesitan mantener actualizados los parches del sistema operativo y de los programas de terceros y ejecutar antimalware fuertes y efectivos en todos los sistemas.

ROVNIX como “El patriota”

Bio: Troyano dirigido para robar la información de los datos financieros

Propagación: Infecta via email o mediante documentos Word. Rovnix puede redirigir a anuncios de pago por clic, puede simular un falso pantallazo azul o redirigir a sitios comprometidos por falsos antivirus u optimizadores o campañas maliciosas de un falso soporte de ayuda.

¿Cómo funciona?: Una vez activado, Rovnix genera archivos ocultos y puede modificar las entradas del Registro de Windows sin permiso, desactiva la protección del firewall y descarga troyanos adicionales, gusanos y keyloggers en el sistema comprometido.

Victimas conocidas: Más de 130 000 victimas en el Reino Unido, además de los paises bajos, Alemania, Belgica, Francia y España.

Hecho Interesante: Rovnix genera un nuevo dominio C & C basado en las palabras de la declaración de independencia de los Estados Unidos.

Consejo para la seguridad: Haga copias de seguridad de sus datos importantes y mantenga el respaldo almacenado sin conexión a la red.
 

KELIHOS como "El espía"
Troyano especializado en obtener datos sensibles, el tráfico de internet, Bitcoin wallets y enviar correos electrónicos no deseados. Se propaga a través de mensajes spam, enviados a quienes no les gusta las medidas económicas y políticas adoptadas contra Rusia, pretendiendo ofrecer una aplicación que ataca a las agencias gubernamentales responsables de las sanciones económicas contra Rusia.

Después de hacer clic en los enlaces o archivos adjuntos malicioso, las víctimas descargan un archivo ejecutable que instala al troyano. El troyano entonces se comunica con la (C & C) central mediante el intercambio de mensajes cifrados HTTP para obtener más instrucciones. Las víctimas provienen de Ucrania, Rusia, Taiwán, Japón y la India.

Consejo para la seguridad. No instalar aplicaciones de terceros sospechosas.
 

GAMEOVER ZEUS como "El Padre"
GameOver Zeus es una variante peer-to-peer de la familia de malware bancario Zeus especializado en el robo de credenciales, por lo general a través de la difusión de correos electrónicos de phishing que se hacen pasar por facturas.

Una vez que los usuarios infectados visiten su sitio web bancario a través de un equipo comprometido, Gameover Zeus intercepta la sesión en línea utilizando la técnica man-in-the-browser (MITB). Puede omitir la autenticación de dos factores y mostrar mensajes de seguridad bancarios fraudulentos para obtener información para la autorización de la transacción. Tan pronto como los atacantes consiguen estos detalles, pueden modificar las transacciones bancarias de los usuarios y robar su dinero. GameOver Zeus ha infectado a un estimado de 500.000 a 1 millón de PCs desde los Estados Unidos, India, Singapur, Japón, Alemania, Ucrania, Bielorrusia y otros países.

¡Dato interesante! Fue utilizado como una plataforma de distribución de CryptoLocker.

Consejo para la seguridad. Los bancos y otras instituciones acreditadas no solicitan información financiera vía email, así que no debe responder a los correos electrónicos no solicitados.


 

Mirando la anatomía de las amenazas de seguridad moderna, podemos afirmar:
Las empresas se han convertido en el foco de ataques dirigidos. Los ataques contra sus infraestructuras se han convertido cada vez más sofisticadas. Los atacantes quieren tomar ventaja de la reputación y la disponibilidad de su conexión amplia para lanzar campañas de ciberdelito cada vez mayores y extraer datos valiosos. Además, aunque la caída en el mes de junio de la botnet Zeus temporalmente se detuvo la propagación del ransomware Cryptolocker, sin embargo el ransomware en su conjunto sigue evolucionando y se traslada a nuevas plataformas y sistemas operativos. No es de extrañar, que los datos financieros siguen siendo la información más valiosa y específica para capturarlos convirtiendo sus métodos maliciosos en más elaborados.


 

                                                                                                             Fuente: HotForSecurity