martes, 22 de julio de 2014

Un nuevo informe de seguridad ha revelado que un grupo de ciberespías ha robado información sobre el Domo de Hierro de Israel, uno de sus principales sistemas de seguridad para interceptar misiles enemigos.
Se cree que los responsables del ataque son los cibercriminales de Comment Crew, un grupo que opera desde China y ha sido acusado de tener conexiones con el gobierno de este país. Los ataques ocurrieron entre octubre de 2011 y agosto de 2012 y afectaron a tres compañías de tecnologías de defensa que participaron en el proyecto del Domo de Hierro: Elisra Group, Israel Aerospace Industries (IAI) y Rafael Advanced Defense Systems (Rads).
La compañía de seguridad Cyber Engineering Services (CES) descubrió la amenaza y solicitó la ayuda del experto en seguridad informática Bryan Krebs para investigarla. Así, los expertos interceptaron las comunicaciones de los espías y descubrieron que tenían en su poder cientos de documentos robados, incluyendo 762 MB de archivos de Word y PowerPoint, documentos PDF, tablas de Excel y correos electrónicos. Es posible que esto sea sólo una pequeña parte del total de información robada.
Entre los datos robados también se encuentran los planos de construcción de drones y misiles, entre ellos el misil Arrow 3, uno de los componentes clave del Domo de Hierro, diseñado por Estados Unidos y restringido por el Reglamento Internacional de Tráfico de Armas.
La exposición de la información secreta podría poner en peligro a Israel y han surgido especulaciones de que el gobierno chino robó la información con la intención de construir su propio sistema de defensa contra misiles.
Israel Aerospace Industries, IAI, una de las compañías que los expertos en seguridad identificaron como víctimas del ataque, dijo que la amenaza es antigua, fue leve y estaba bajo control: “En el momento, se trató el problema como dictan nuestras debidas reglas y procedimientos”, dijo Eliana Fishler, portavoz de IAI. “Se hizo la denuncia ante las autoridades pertinentes. IAI tomó las medidas necesarias para evitar que sucedan incidentes similares en el futuro”. Rafael Advanced Defense Systems, otra de las supuestas víctimas del ataque, negó tener conocimiento de la infiltración: “Rafael no está al tanto de ningún incidente de este tipo. Las bases de datos de Rafael, incluyendo sus bases de datos de defensa aérea, tienen protección de muy alto nivel”.

Saludos.
Lexer Pars.

lunes, 21 de julio de 2014

Mensajes de texto falsos generan pánico entre los ciudadanos de Israel

Los hackers y piratas informáticos no han desaprovechado la oportunidad de utilizar sus habilidades para involucrarse en el conflicto entre Israel y Palestina. Pero, además de los clásicos métodos de ataque cibernético que consisten en infiltraciones a sitios web y robo de datos, esta vez también están recurriendo a los mensajes masivos con información falsa para infundir pánico entre los ciudadanos.
Los medios de comunicación israelíes están alertando sobre una serie de mensajes de texto falsos que se están enviando en lo que se refiere como una “guerra psicológica” contra sus ciudadanos. Los mensajes contienen noticias falsas que alertan a sus receptores sobre bombardeos, desastres nucleares y evacuaciones de emergencia.
Algunos de ellos se hacían pasar por mensajes del periódico israelí Haaretz para alertar sobre un desastre químico inventado y urgir una evacuación: “Misil de Gaza cayó sobre una planta de petroquímicos en Haifa causando una gran explosión y una posible filtración química, se aconseja evacuar”.
Haaretz no tardó en aclarar la situación y los afectados en expresar sus sentimientos: “Me sentí aliviada, pero a la vez irritada porque me molesta mucho que algún hacker o alguien de Hamas tenga mi número de teléfono”, opinó Denis Sareena, un usuario que había recibido uno de los mensajes. “Manipularon mis emociones y, como terroristas, lograron su cometido.”
No se conoce el origen de los mensajes falsos, pero los medios israelíes creen que se podría tratar de activistas del grupo Hamas. Sin embargo, los expertos también advirtieron que no es raro que en situaciones de extremo conflicto surjan bromistas y “trolls” que aprovechen para hacer bromas pesadas de este tipo. “No se puede negar que esto puede ser obra de Hamas pero, a juzgar por la forma en la que funciona Internet, puede que no sea así”, dijo Yair Amichai-Hamburger, que encabeza el Centro de Psicología de Internet del Centro Interdisciplinario de Herzliya y advirtió que, por lamentable que sea, hay quienes disfrutan de jugar con las emociones de la gente.

Saludos.
Lexer Pars.

domingo, 20 de julio de 2014

Sony acuerda pagar 15 millones en productos a las víctimas del ataque a la PlayStation Network

Después de años de negociaciones, Sony ha llegado a un acuerdo con los usuarios que lo demandaron por la intrusión de seguridad de la PlayStation Network en 2011, que puso en peligro la información privada de millones de sus clientes. La compañía se comprometió a pagar una restitución de 15 millones de dólares en productos a usuarios estadounidenses afectados por el ataque a cambio de mantener su condición de inocencia en el caso.
El ataque, realizado por Anonymous en abril de 2011, puso en riesgo los nombres, fechas de nacimiento, direcciones de correo electrónico e información de las tarjetas de crédito de 77 millones de usuarios de la Playstation Network. La amenaza fue tal que Sony tuvo que desactivar su red de juegos y, cuando anunció lo sucedido, tanto individuos como organizaciones iniciaron demandas en su contra porque consideraban que el ataque fue resultado de su negligencia al salvaguardar los datos de sus clientes.
Cuando se recuperó de los ataques, la compañía ofreció a sus clientes un paquete de bienvenida que les permitía descargar cierto contenido de PlayStation Entertainment dependiendo de su región, 30 días de afiliación a PlayStation Plus y 30 días de servicio gratuito de Music Unlimited.
Los términos del trato entre Sony y sus demandantes consisten en que la empresa ofrecerá tres beneficios a sus clientes, de los cuales deben escoger uno si aprovecharon el paquete de bienvenida en 2011 o dos si no lo hicieron.
El primer beneficio a disposición de las víctimas es un juego de PS3 o PSP para descargar de una selección de 14. En segundo lugar, las víctimas pueden escoger tres temas de PS3 de una oferta de 6. Por último, la compañía también ofrece una subscripción de tres meses a PlayStation Plus. Los servicios se entregarán a las primeras personas que lo soliciten hasta que se llegue a un límite establecido.
La compañía también pagará una indemnización de hasta 2.500 dólares a los usuarios que hayan sido víctimas de robo de identidad a causa del ataque y tengan documentación para probarlo.
En total, la compañía piensa gastar 15 millones de dólares en productos e indemnizaciones para sus clientes en Estados Unidos. La compañía también está exenta de admitir su culpa y esta inversión podría evitarle mayores gastos en el futuro. Sin embargo, el acuerdotodavía debe ser aprobado por un juez el 1 de mayo de 2015.
Saludos.
Lexer Pars.

sábado, 19 de julio de 2014

Autoridades arrestan a los atacantes de Stubhub en una operación internacional

Autoridades de diferentes partes del mundo han arrestado a siete sospechosos de haber participado en el robo de 1,6 millones de dólares en productos a la compañía de venta de entradas por Internet Stubhub.
El ataque ocurrió a principios de 2013. Los delincuentes utilizaron los datos de inicio de sesión de sus víctimas para ingresar a sus cuentas y, una vez dentro, utilizaron la información robada de tarjetas de crédito para comprar entradas. No se sabe con certeza cómo consiguieron los datos de acceso, pero lo más probable es que haya sido con estrategias de ingeniería social o usando programas maliciosos.
Los atacantes irrumpieron en 1600 cuentas y robaron más de 3.500 entradas a eventos como conciertos de Justin Timberlake y Jay-Z y partidos de los Knicks. En total, se cree que los delincuentes robaron 1,6 millones de dólares en entradas a Stubhub.
Las autoridades sospechan que Vadim Polyakov, de 30 años, y Nikolay Matveychuk, de 21, se encargaban de cometer el delito virtual para robar las entradas y enviárselas a tres cómplices en Estados Unidos: Daniel Petryszyn, de 28 años, Laurence Brinkmeyer, de 29 y Bryan Caputo, 29. Estos delincuentes revendían las entradas y lavaban el dinero en PayPal y haciendo envíos internacionales con la ayuda de otras personas, incluyendo el ruso Sergei Kirin, de 37 años.
Las autoridades han arrestado a sospechosos en Barcelona, Londres, Toronto, Nueva York y Nueva Jersey. “Los cibercriminales no tienen fronteras”, dijo el fiscal de Manhattan Cyrus Vance en sus declaraciones sobre el caso. “No respetan los límites ni las leyes internacionales. Los arrestos de hoy y los cargos presentados muestran las conexiones de una red global de hackers, ladrones de identidad y especialistas en lavado de dinero que victimizaron a una infinidad de individuos en Nueva York y otros lugares. Las acciones coordinadas entre las autoridades de Nueva York, Nueva Jersey, el Reino Unido y Canadá demuestran lo que se puede lograr con cooperación internacional”.
“Cuando alguien utiliza la misma contraseña en múltiples sitios, su resistencia pende de un hilo”, opinó Phillip Dunkelberger, director de Nok Nok Labs. “Al usar la misma contraseña para ingresar a la cuenta de tu pizzería favorita y a la de tu cuenta bancaria o, en este caso, tu cuenta de Stubhub, puedes poner tus datos en grave peligro”.


Saludos.
Lexer Pars.

viernes, 18 de julio de 2014

Nace un nuevo buscador para datos privados filtrados

Un nuevo buscador especializado en encontrar datos filtrados de los internautas ha hecho su aparición en la red. El servicio, llamado “Indexeus”, está recibiendo críticas que lo acusan de facilitar el trabajo de los criminales que quieren explotar datos robados, a pesar de que sus desarrolladores aseguran que su propósito es ayudar a las autoridades y aumentar la seguridad de Internet.
Indexeus organiza y presenta a sus usuarios la información filtrada que encuentra en Internet, como las direcciones de correo electrónico, direcciones postales, fechas de nacimiento, nombres de usuario y contraseñas de internautas que fueron víctimas de filtraciones masivas de datos como las de YahooAdobe y otros 100 ataques informáticos recientes.
Pero la mayor parte de la información proviene de sitios de hackers que han sido comprometidos para robar los datos de los cibercriminales novatos, por lo que Indexeus también representa una amenaza para ellos al exponer sus identidades ante la comunidad de Internet y las autoridades.
De hecho, el desarrollador del buscador, un portugués de 23 años, Jason Relinquo, asegura que creó el sitio para que ayude a las autoridades a identificar a los cibercriminales y detectar nuevos ataques. Pero, a pesar de su supuesta vocación de servicio, el desarrollador cobra el equivalente en bitcoins a 0,50 $ por cada búsqueda y solicita una “donación” de 1 $ por cada dato que se quiera eliminar de los resultados. La cifra incluye una especie de garantía para evitar que la información eliminada vuelva a aparecer entre los resultados del buscador.
Sin embargo, las leyes de “derecho a ser olvidado” de la Unión Europea protegen la privacidad de sus ciudadanos y los eximen de tener que realizar este pago. Por esta razón, las reglas del sitio se están reestructurando para evitar problemas con las autoridades y, por ahora, los europeos que quieran borrar sus datos deben enviar al administrador de Indexeus una imagen escaneada de su documento de identidad o pruebas de que son dueños de la información que quieren eliminar.


Saludos.
Lexer Pars.

jueves, 17 de julio de 2014

Hackers descubren como tomar control del automóvil eléctrico Tesla Model S

Un grupo de estudiantes de una universidad china han hallado vulnerabilidades en el sistema del automóvil eléctrico Tesla Model S que les permitió tomar control del automóvil para realizar una serie de operaciones como abrir las puertas, cambiar las luces y hacer sonar la bocina mientras el coche estaba en funcionamiento.
Los universitarios de la Universidad de Zhejiang y los investigadores de la compañía de seguridad Qihoo 360 Technology Co. publicaron su descubrimiento en la conferencia Syscan360 en Beijing, donde se había ofrecido 10.000 $ a quien pudiera tomar control de la puerta y el motor del vehículo.
No se han publicado detalles sobre el ataque, pero las funciones comprometidas coinciden con las que están disponibles en la aplicación de Tesla para smartphones, que permite a los dueños de los automóviles conectarse a sus autos por Bluetooth para realizar las acciones descritas en el ataque.
Si la vulnerabilidad está relacionada con esta aplicación, es posible que los atacantes también puedan controlar el aire acondicionado del vehículo, rastrear su ubicación GPS y revisar el estado de su carga.
Tesla Motors, fabricante del automóvil, no ha hecho un reconocimiento oficial de las vulnerabilidades, pero ha asegurado que solucionará cualquier “vulnerabilidad legítima” que encuentre en su producto. El mes pasado, la compañía anunció que sus patentes serán abiertas para promover la expansión de los automóviles eléctricos.
“Tesla no tiene ningún vínculo con la conferencia ni es su patrocinador, pero aun así apoyamos la noción de ofrecer un ambiente en el que los investigadores de seguridad responsables puedan ayudar a identificar posibles vulnerabilidades. Esperamos que actúen de forma responsable y con buena fe”.


Saludos.
Lexer Pars.

miércoles, 16 de julio de 2014

Snowden dice que las fotos íntimas de los internautas son un tema de charla en las oficinas de la NSA

En una entrevista con la agencia de noticias The Guardian, Edward Snowden ha alertado que las fotografías provocativas que las parejas comparten por Internet no son tan íntimas como ellos creerían, ya que los funcionarios de la NSA no sólo tienen acceso a ellas, sino que pueden compartirlas entre sí.
El periódico británico The Guardian ha realizado una maratónica entrevista de siete horas a Edward Snowden, el ex agente de la CIA que está asilado en Rusia tras haber filtrado secretos estatales estadounidenses. Los documentos filtrados por Snowden revelaron la existencia de varias operaciones de ciberespionaje por parte de la Agencia de Seguridad Nacional (NSA) hacia sus propios ciudadanos y otras naciones.
Uno de los temas que tocó Snowden en la entrevista fue la baja supervisión que tienen los funcionarios del gobierno que manejan los datos privados de los ciudadanos. Esto agrava la falta de privacidad de los usuarios de Internet, cuya información privada puede tomarse como una cuestión de juego entre los funcionarios de la NSA.
Snowden contextualizó la situación explicando que los funcionarios “son chicos de entre 18 y 22 años” que de pronto se encuentran en un puesto de mucha responsabilidad en el que tienen acceso a la información privada de los internautas. Es por eso que no es raro que quieran compartir lo que encuentren llamativo entre estos datos, aunque no guarde ninguna relación con la seguridad nacional. “En algún momento de su rutina diaria encuentran algo que no tiene nada que ver con su trabajo pero que les resulta muy atractivo – por ejemplo, la foto íntima de alguien en una situación sexual. ¿Qué hacen? Giran su silla y muestran lo que encontraron a sus colegas”, explicó Snowden.
De ese modo, lo que para los usuarios son muestras máximas de intimidad, para los chicos de la NSA son temas de conversación para intercambiar en momentos libres. “Esta gente ha visto la vida entera de esa persona. Eso no aparece en ningún informe. Nadie lo sabe porque la auditoría de estos sistemas es muy débil”, explicó, y reforzó sus afirmaciones recalcando que él mismo, a sus 29 años, salió de la oficina con todo un paquete de información secreta que luego filtró en los medios para demostrar el alcance de este programa de espionaje.
Vanee Vines, portavoz de la NSA, respondió a las acusaciones de Snowden defendiendo a la agencia y a sus oficiales: “La NSA es una organización de inteligencia que cuenta con un equipo muy bien entrenado que incluye a hombres y mujeres valientes y dedicados de nuestras fuerzas armadas”, dijo Vines. “Como hemos dicho antes, la agencia no tiene ninguna tolerancia por las violaciones deliberadas de su autoridad y estándares profesionales, y responderá como es debido ante cualquier alegación de mala conducta”.
The Guardian ha compartido un video con parte de su entrevista y transcripciones de las declaraciones de Snowden sobre diferentes temas. El periódico anunció que publicará la entrevista completa este viernes.


Saludos.
Lexer Pars.

martes, 15 de julio de 2014

Ciberatacantes roban datos privados del sitio web de CNET


Un grupo de hackers ruso afirma que ha atacado el sitio web de noticias CNET y robado los datos personales de sus usuarios registrados. El grupo intentó extorsionar al sitio amenazándolo con publicar la información robada si no pagaba para evitarlo.
Los cibercriminales del grupo “w0rm” pasaron las barreras de seguridad del servidor de CNET y lograron conseguir los nombres, contraseñas cifradas y correos electrónicos de un millón de lectores del sitio. Un miembro del grupo informó a su víctima sobre sus acciones mediante una conversación de Twitter.
El miembro de w0rm que hizo el anuncio también publicó una imagen del servidor comprometido como prueba de su hazaña y exigió el pago de 1 bitcoin (alrededor de 622 dólares) para devolver a CNET el acceso total del sitio y comprometerse a no publicar la información robada.
A pesar de sus exigencias, w0rm dijo que el propósito de su ataque no era ganar dinero, sino mejorar la seguridad de Internet. “Nos motiva la idea de convertir Internet en un lugar mejor y más seguro en vez de uno protegido por derechos de autor”, dijo un miembro de w0rm.
CNET confirmó el ataque. Dijo que había identificado el problema y estaba tomando las medidas de seguridad necesarias para que no se repita. También dijo que el interés del grupo por vender la base de datos era sólo para llamar la atención.
Esta no es la primera vez que w0rm se ve involucrado en ataques de este tipo. En el pasado, el mismo grupo atacó los sitios web de la BBC, Adobe y Bank of America. Sus miembros han creado su propio sitio web para alardear sobre sus ataques e intercambiar comentarios e información sobre sus exploits.

Saludos.
Lexer Pars.

lunes, 14 de julio de 2014

Nuevo proyecto de Google examinará la red en busca de vulnerabilidades de día cero


Google ha presentado su nueva iniciativa para defender a los usuarios de las amenazas informáticas con la ayuda de un equipo de expertos en seguridad que se encargarán de buscar vulnerabilidades del día cero en los servicios más populares para parcharlas antes de que los cibercriminales lleguen a ellas.
“Nuestro objetivo es reducir de forma significativa la cantidad de víctimas de ataques dirigidos. Estamos contratando a los mejores investigadores de seguridad con las mentes más prácticas para que dediquen el 100% de su tiempo a mejorar la seguridad en Internet”, anunció Chris Evans, portavoz de Google, en una entrada del blog de la compañía (en inglés).
El grupo se concentrará en buscar vulnerabilidades del día cero en cualquier programa informático popular, no sólo en los desarrollados por su compañía, para así neutralizar su potencial catastrófico. La intención es competir con los delincuentes y ganarles, entregar la información sobre la vulnerabilidad descubierta a su desarrollador e ir construyendo una base de datos pública con la información sobre la vulnerabilidad.
Ya existen compañías privadas que hacen una labor parecida, pero su propósito es vender la información sobre las fallas a las compañías y mantenerlas en secreto, no mostrarlas al púbico para que cualquier internauta pueda conocerlas, como hará Google.
“Cuando el informe sobre la vulnerabilidad se haga público (en general cuando el parche ya esté disponible), podrás ver cuánto tardó el vendedor en publicar el parche, conocer las discusiones sobre su explotación y visualizar los exploits y rastros de errores. También nos comprometemos a enviar informes de error a los vendedores casi de inmediato y a trabajar con ellos para desarrollar soluciones en un tiempo razonable”, explicó Evans.
“Deberías poder ingresar a Internet sin temer que algún cibercriminal independiente o patrocinado por el gobierno esté explotando vulnerabilidades para infectar tu equipo, robar tus secretos o vigilar tus comunicaciones”, dijo el portavoz de Google. “Esto debe detenerse”.

Fuente

Saludos.
Lexer Pars.

domingo, 13 de julio de 2014

Arrestan a un empresario chino por robar información de aviones militares estadounidenses


Estados Unidos ha acusado a un empresario chino de haber penetrado en sistemas de compañías estadounidenses para robar información militar y venderla a compañías manejadas por el gobierno chino.
El FBI ha demandado a Stephen Su (también conocido como Su Bin y Stephen Subin), dueño de la compañía de tecnologías de aviación Lode Technologies en Canadá, por haber conspirado con otros dos ciudadanos chinos para robar información a compañías y contratistas que trabajaban con el ejército estadounidense.
Sus principales víctimas son Boeing y Lockheed Martin, que diseñan aviones militares para Estados Unidos. Se cree que el atacante intentó robar información sobre los aviones de combate F-22 y F-35 de Lockheed y obtuvo 65 GB de información sobre el avión de cargo Boeing C-17, que también era parte de un proyecto militar. Se calcula que los ataques del cibercriminal duraron desde 2009 hasta 2013.
“En algunos casos, Su intentaría vender los datos robados conseguidos por [co-conspirador 1] a entidades de la República Popular de China, incluyendo compañías del gobierno, para obtener ganancias personales”, dijeron las autoridades estadounidenses.
Las autoridades canadienses arrestaron a Stephen Su el 27 de julio para que se enfrente a la justicia estadounidense. Su primera audiencia se realizará este viernes.

Saludos.
Lexer Pars.

sábado, 12 de julio de 2014

El senado de EE.UU. aprueba la ley CISA


El senado estadounidense ha aprobado el polémico proyecto de Ley de Intercambio de Información de Seguridad Cibernética (CISA), que pretende aumentar la seguridad de Internet facilitando el intercambio de información sobre delincuentes entre compañías y el gobierno pero que está recibiendo una fuerte oposición debido a su potencial para poner en riesgo la privacidad de los ciudadanos.
La ley promueve el intercambio de información entre individuos, compañías y el gobierno siempre que se realice de manera voluntaria, los datos sirvan para combatir el cibercrimen y no incluyan información que revele la identidad de los internautas. Además, protege de posibles demandas a las compañías que decidan compartir esta información.
Hay quienes creen que la ley CISA es de la familia de las leyes de Protección e Intercambio de Inteligencia Cibernética (CISPA) y la Ley para Detener la Piratería en Internet (SOPA), que tienen una intensa oposición por motivos similares. Aun así, una notable mayoría aprobó el proyecto de ley este martes: 12 senadores le dieron el visto bueno y sólo 2 lo rechazaron. Esto lo pone un paso más cerca de su implementación como ley estadounidense.
El senador Angus King explicó por qué había votado a favor del proyecto: “durante muchos años, Estados Unidos ha estado recibiendo golpes de cibercriminales de todo el mundo que quieren robar nuestra propiedad intelectual, nuestras ideas, y los estadounidenses en los estados productores como Maine están pagando los platos rotos. Esta ley es nuestro contraataque”.
Ron Wyden y Mark Udall, los dos senadores que rechazaron la ley CISA, publicaron una declaración conjunta en la que explicaron su postura: “Estamos de acuerdo en que es necesario que el gobierno federal y las compañías privadas compartan información sobre las amenazas a la seguridad virtual y sobre cómo defenderse de ellas. Pero hemos visto la forma en la que el gobierno federal ha explotado brechas legales para recolectar la información privada de ciudadanos estadounidenses en el nombre de la seguridad”, dijeron los senadores. “Nos preocupa que la ley (…) no incluya las protecciones adecuadas para defender los derechos de privacidad de los estadounidenses y en realidad no vaya a tener ningún impacto notable sobre la ciberseguridad”, declararon.
Fuente.

Saludos.
Lexer Pars.

viernes, 11 de julio de 2014

Brechas en la defensa de la red corporativa: servicios “en la nube”

En la lista de las aplicaciones más difundidas de los servicios “en la nube” entran: almacenamiento de imágenes escaneadas del pasaporte y otros documentos personales; sincronización de bases de datos de contraseñas, contactos y cartas; almacenamiento de diferentes versiones de códigos fuente, etc. Cuando el servicio de almacenamiento de datos “en la nube” Dropbox notificó que había neutralizado una vulnerabilidad en el generador de enlaces, en Internet se empezó a hablar de nuevo de la importancia que tiene cifrar los datos confidenciales antes de almacenarlos en algún recurso, incluso si se trata de uno privado. El cifrado de datos (FLE) de verdad permite garantizar la defensa de la información confidencial “en la nube”, incluso si se descubren vulnerabilidades en el control de acceso a los documentos de los usuarios en uno u otro servicio.

Podría parecer que si no se guardan datos secretos “en la nube” o se los cifra, no habría ningún riesgo. Pero… ¿es así? La realidad ha demostrado que no lo es del todo.
En Internet encontramos con frecuencia recomendaciones de cómo “usar con efectividad los servicios de almacenamiento de ficheros en la nube”, por ejemplo: instrucciones de administración remota de equipos, vigilancia del equipo durante la ausencia del dueño, administración de descargas torrent y muchas más. En otras palabras, son los mismos usuarios quienes crean toda clase de brechas que usan con facilidad los troyanos, gusanos, y con más razón lo hackers, sobre todo si se trata de ataques selectivos.
No hicimos la pregunta ¿cuán grande es el riesgo de que una red corporativa se contagie mediante un servicio “en la nube”?
En la conferencia Black Hat 2013 Jacob Williams), científico en jefe de CSRgroup Computer Security Consultants dio una ponencia sobre el uso de Dropbox para penetrar en la red corporativa. Durante la ejecución de una prueba de penetración hecha a pedido (pen test) Jacob usó un cliente thin de Dropbox instalado en un portátil que se encontraba fuera de la red corporativa para propagar software malicioso en los dispositivos que estaban dentro de la red.
Al principio, usando phishing, Jacob infectó el portátil de un empleado y más adelante incrustó scripts maliciosos en los documentos almacenados en el directorio “en la nube” del equipo. Dropbox actualizó automáticamente (sincronizó) los documentos infectados en todos los dispositivos relacionados con la cuenta del usuario. En este sentido Dropbox no es el único sistema que tiene este comportamiento: la función de sincronización automática está presente en todas las aplicaciones populares de acceso a servicios “en la nube”, entre ellas Onedrive (Skydrive), Google Disk, Yandex Disk, etc.
Cuando el usuario abrió el documento infectado en su equipo de trabajo, dentro de la red corporativa, los scripts incrustados en el documento instalaron en el sistema el backdoor DropSmack, creado por Jacob especialmente para esta prueba de penetración. Como se puede adivinar por su nombre, la función clave de DropSmack es usar el sistema Dropbox como canal de administración del backdoor y enviar los documentos corporativos al mundo externo a través del cortafuegos corporativo.

Esquema del experimento de Jacob Williams
El método de penetración en la red corporativa usado por Jacob durante la prueba sorprende por su simplicidad… sí, es una brecha evidente.
Nosotros decidimos verificar si los verdaderos delincuentes usan Dropbox, OneDrive, Yandex Disk y Google Disk para propagar software malicioso. Habiendo recopilado información de KSN sobre las detecciones de malware en los directorios “en la nube” de los equipos de los usuarios de los productos de Kaspersky Lab descubrimos que estas infecciones se registraron en un número muy pequeño de usuarios: en mayo de 2014 sólo 8700 personas se toparon con infecciones de sus directorios “en la nube”. Entre los usuarios domésticos de los productos de Kaspersky Lab estos programas maliciosos representaron el 0,42% de todas las detecciones, y el 0,24% entre los usuarios de los programas corporativos.
Es necesario remarcar un importante detalle: si el programa malicioso ingresa a la nube desde un dispositivo, todos los otros dispositivos vinculados a la cuenta infectada lo descargarán usando el protocolo HTTPS. Incluso si en uno de los dispositivos el antivirus detecta y elimina la infección en el directorio sincronizado, el software cliente, cumpliendo su deber, luchará contra la desincronización descargando una y otra vez el malware de “la nube”.
Según nuestros datos, cerca del 30% del software malicioso detectado en los directorios “en la nube” en los equipos domésticos ingresa mediante mecanismos de sincronización. Entre los usuarios corporativos este índice alcanza el 50%. De esta manera, el mecanismo usado por el software en la prueba de Jacob Williams conduce a infecciones en la vida real. Por suerte, todavía no hemos detectado ataques selectivos que usen los servicios de almacenamiento de datos “en la nube”.
Entre el software malicioso que hemos detectado en los directorios “en la nube” en los ordenadores de los usuarios predominan los ficheros de formatos Win32, MSIL, VBS, PHP, JS, Excel, Word y Java. Merece la pena mencionar que entre los usuarios domésticos y corporativos existe una pequeña diferencia: en los equipos de los primeros se detectan con mayor frecuencia ficheros MS Office infectados, en los de los segundos en la lista hay unas criaturas peculiares: aplicaciones maliciosas para Android.
TOP 10 de veredictos:

Usuarios particularesUsuarios corporativos
1Email-Worm.Win32.Runouce.bEmail-Worm.Win32.Brontok.dam.a
2Email-Worm.Win32.Brontok.qVirus.Win32.Sality.gen
3not-a-virus:AdWare.Win32.RivalGame.krVirus.Win32.Tenga.a
4Virus.Win32.Nimnul.aTrojan-Dropper.VBS.Agent.bp
5Trojan-Clicker.HTML.IFrame.agaTrojan.Win32.Agent.ada
6Exploit.Win32.CVE-2010-2568.genTrojan.Win32.MicroFake.ba
7Virus.Win32.Sality.genExploit.Win32.CVE-2010-2568.gen
8Worm.Win32.AutoRun.dtbvWorm.Win32.AutoRun.dtbv
9Trojan-Dropper.VBS.Agent.bpTrojan.Win32.Qhost.afes
10Trojan.Win32.Genome.vqzzVirus.Win32.Nimnul.a
En la mayoría de los casos los escritores de virus no usan los sistemas de almacenamiento “en la nube” como plataforma de distribución, sino como hospedaje para programas maliciosos. Durante la investigación no encontramos ni un solo gusano o backdor (sin contar a DropSmack) especialmente dirigido a los sistemas de almacenamiento de ficheros “en la nube”. Por supuesto, los servicios en sí tratan de luchar activamente con los programas maliciosos que usan el espacio libre en “la nube”. Además, el hospedaje de programas maliciosos ejerce una influencia negativa en la reputación de los servicios, a pesar de que estos no asumen responsabilidad sobre qué ficheros guardan los clientes en el sistema. Es evidente que el escaneo regular de todos los ficheros contenidos en la nube exigiría demasiados recursos, que los servicios prefieren usar para almacenar ficheros.
El resultado de la investigación llevada a cabo es la comprensión de que el riesgo de infección de la red corporativa mediante sistemas de almacenamiento en la nube es comparativamente pequeño: durante un año uno de cada mil usuarios corporativos que usen sistemas en la nube corre el riesgo de infectarse. Pero hay que tomar en cuenta que en algunos casos incluso un caso aislado de infección de un equipo en la red corporativa puede provocar daños graves.
Para proteger la red corporativa se pueden usar los siguientes métodos:
  • Apretar las tuercas en el cortafuegos o IDS, bloquear el acceso a los servidores de servicios conocidos. Un gran defecto de este método es que ocupa muchos recursos: hay que estar atento a la aparición de nuevos candidatos para la lista negra.
  • Instalar una suite de seguridad multifuncional que incluya un antivirus heurístico y de comportamiento, funciones de limitación de acceso (HIPS), control del funcionamiento del sistema operativo (System Watcher o Hypervisor), protección contra la explotación de vulnerabilidades, etc. Y es necesario configurar todo esto con mucho cuidado.
  • Debido a que incluso la suite de seguridad más sofisticada puede dejar pasar APT, hay que prestar atención a la tecnología de control de aplicaciones (en el modo “prohibido por defecto”). En nuestra opinión este es uno de los métodos más seguros de bloquear cualquier software desconocido (incluso el que se usa durante los ataques específicos). La tarea más compleja que surge durante la implementación del Control de aplicaciones es la configuración de las reglas que haga que todas las aplicaciones permitidas puedan ejecutarse y actualizarse sin problemas. Con este objetivo los fabricantes de productos que tengan la función Control de aplicaciones han desarrollado instrumentos especiales: la función de actualización del software mediante programas de confianza, listas blancas predeterminadas de software que incluyen todos los ficheros del sistema y del usuario, acceso a enormes servicios en la nube y bases de información sobre toda la diversidad de software “blanco”.
  • En casos especiales hay que usar el Control de aplicaciones para limitar el uso de servicios en la nube en la red local, es decir, permitir la ejecución de aplicaciones de sincronización de directorios en la nube solo a los empleados de confianza.
Y para los sistemas más cerrados, aquellos que controlan el funcionamiento de centrales eléctricas, sistemas de agua potable, o que guardan secretos de estado, o que permiten lanzar misiles intercontinentales recomendamos no utilizar de ninguna forma los servicios de almacenamiento en la nube.

Fuente

Saludos.
Lexer Pars.

jueves, 10 de julio de 2014

Petición falsa en defensa de Suárez engaña a los usuarios y sus amigos

La semana pasada descubrimos un método interesante para distribuir enlaces que dirigen a una página de phishing que recolecta los datos personales de los usuarios.
El Mundial de fútbol de la FIFA en Brasil no sólo atrae a fanáticos de todo el mundo, también es de gran interés para los cibercriminales. La página fraudulenta está diseñada para imitar el sitio web de la FIFA. Allí se pide a los visitantes que firmen una solicitud en defensa de Luis Alberto Suárez, delantero de la selección uruguaya. (El 24 de junio, en el partido entre Uruguay e Italia, Suarez mordió al defensor italiano Giorgio Chiellini en el hombro. Como sanción, la FIFA descalificó a Suarez de nueve juegos en la selección nacional y le prohibió la participación en todas las actividades relacionadas al fútbol por cuatro meses. También lo castigó con una multa).
Para firmar la petición, el usuario debe llenar un formulario con su nombre, país de residencia, número de teléfono móvil y dirección de correo electrónico.

Página fraudulenta que pide a los fanáticos que firmen una petición
La página fraudulenta imita el diseño del sitio oficial de la FIFA y todos sus enlaces redirigen a fifa.com. El dominio se creó el 27 de junio de 2014. La base de datos whois indica que está registrado a nombre de una persona que reside en Londres. Los estafadores crearon el formulario para recolectar datos en Google Docs. La información que recopilan se puede emplear para enviar spam, phishing, mensajes SMS y aplicaciones maliciosas. Es más, si los cibercriminales están armados con las direcciones de correo y números de teléfono de los usuarios, pueden lanzar ataques dirigidos con programas troyanos para infectar los ordenadores y teléfonos móviles de sus víctimas. Esta técnica se utiliza para burlar la autentificación de dos factores de los sistemas de bancos en línea cuando envían una contraseña desechable por SMS.
Después de llenar el formulario de "petición", las víctimas pueden compartir el enlace con sus amigos de Facebook:

Ventana que pide a los usuarios que compartan el enlace a la “petición” con sus amigos

Ventana emergente de Facebook
Los fanáticos, entusiasmados, compartieron los enlaces a la petición falsa en sus páginas de Facebook. Es así como el enlace fraudulento tardó sólo días en propagarse en la red social.

Ejemplo de un usuario desprevenido compartiendo el enlace a la página fraudulenta en una red social
También se encontraron mensajes con enlaces a la página en foros sobre fútbol, donde deben haberse comenzado a difundir antes de llegar a las redes sociales.

Fuente

Saludos.
Lexer Pars.

miércoles, 9 de julio de 2014

Microsoft confisca 22 dominios NO-IP y perjudica las operaciones de cibercriminales y programas maliciosos

NO-IP es uno de los muchos proveedores de DNS dinámicos que se pueden utilizar gratis para registrar un subdominio en nombres populares como “servepics.com” o “servebeer.com”. Por mucho tiempo, ha sido uno de los métodos favoritos de los cibercriminales para registrar nombres de servidores (hostnames) fáciles de actualizar que les permitan controlar sus programas maliciosos. Ayer, Microsoft se pronunció contra NO-IP y confiscó 22 de sus dominios . También realizó una demanda civil contra "Mohamed Benabdellah y Naser Al Mutairi, y la compañía estadounidense Vitalwerks Internet Solutions, LLC (que hace negocios con No-IP.com), por su participación en la creación, control y asistencia para infectar millones de ordenadores con programas maliciosos, dañando así a Microsoft, sus clientes y al público en general".
Microsoft mencionó dos familias de malware específicas que se usaron “para infectar a víctimas inocentes con las familias de malware Bladabindi (NJrat) y Jenxcus (NJw0rm)". Muchos cibercriminales y grupos de activistas han utilizado estos programas para atacar a los usuarios, incluyendo el famoso e infame Syrian Electronic Army (pronto publicaremos una entrada del blog con más detalles al respecto).
Además, el cierre afectó muchas otras operaciones de Amenazas Persistentes Avanzadas (APT) que empleaban NO-IP en su infraestructura C&C. Algunas de ellas son:


  • Flame/Miniflame

  • Turla/Snake/Uroburos, including Epic

  • Cycldek

  • Shiqiang

  • HackingTeam RCS customers

  • Banechant

  • Ladyoffice

  • etc...
Según nuestras estadísticas, el cierre ha afectado de una u otra forma por lo menos al 25% de los grupos de APTs que estamos observando. Algunos de estos servidores se habían utilizado antes en operaciones de ciberespionaje avanzadas y ahora dirigen a lo que parece ser una trampa sinkhole de Microsoft en 204.95.99.59.
Algunos de los dominios de nivel superior que se sacaron de Vitalwerks y ahora utilizan la infraestructura DNS de Microsoft son:

  • BOUNCEME.NET

  • MYFTP.BIZ

  • MYVNC.COM

  • NO-IP.BIZ

  • NO-IP.INFO

  • REDIRECTME.NET

  • SERVEBEER.COM

  • SERVEBLOG.NET

  • SERVECOUNTERSTRIKE.COM

  • SERVEGAME.COM

  • SERVEHALFLIFE.COM

  • SERVEHTTP.COM

  • SERVEMP3.COM

  • SERVEPICS.COM

  • SERVEQUAKE.COM

  • SYTES.NET
“Parece que la infraestructura de Microsoft no puede manejar los miles de millones de solicitudes de nuestros clientes. Millones de usuarios inocentes están sufriendo cortes en sus servicios debido a los intentos de Microsoft de remediar los servidores de unos pocos usuarios maliciosos".
Creemos que las acciones de ayer han sido un duro golpe contra muchos cibercriminales y operaciones APT de todo el mundo.
En el futuro, estos grupos tendrán más cuidado cuando usen servidores DNS dinámicos y aumentarán su dependencia hacia sitios comprometidos y direcciones IP directas para la gestión de sus infraestructuras de Comando y Control.

Fuente


Saludos.
Lexer Pars.






 



martes, 8 de julio de 2014

Arrestan a un notorio traficante de datos robados

Un cibercriminal acusado de ser uno de los principales traficantes de información robada ha sido arrestado a solicitud de las autoridades estadounidenses. Se cree que el acusado operaba varios foros que vendían información robada a los clientes de compañías estadounidenses en ataques informáticos entre 2009 y 2011.
Las autoridades estadounidenses aseguran que el ciudadano ruso Roman Valerevich Seleznev, de 30 años, operaba en Internet bajo el alias Track2. Se lo acusa de haber participado en una operación en la que irrumpió en sistemas de pago de grandes compañías estadounidenses para instalar programas maliciosos que robaban la información de las tarjetas de crédito de sus clientes. Después, ponía esta información a la venta en foros cibercriminales que él operaba.
No se ha confirmado si estos ataques están relacionados con las intrusiones a los almacenes Target el año pasado . Tampoco se ha dado a conocer dónde se detuvo a Velerevich, quien tuvo su primera audiencia en un tribunal de Guam el lunes, cuando el juez ordenó que se lo detuviera y le otorgó una segunda audiencia el 22 de julio.
La justicia culpó a Velerevich de cinco cargos de fraude bancario, ocho de daños intencionales a un ordenador protegido, ocho de obtención de información de un ordenador protegido, uno de posesión de 15 o más objetos conseguidos sin autorización (números de tarjeta de crédito), dos de tráfico de objetos conseguidos sin autorización y cinco de robo de identidad agravado.
Las acusaciones podrían resultar en millones de dólares en multas y compensaciones y decenas de años tras las rejas. Sólo el cargo de fraude bancario tiene una pena máxima de 30 años de prisión y una multa de 2 millones de dólares.
“Los cibercriminales deben tomar nota: no pueden esconderse detrás de teclados lejanos” dijo el fiscal estadounidense Jenny Durkan. “Te encontraremos y te traeremos ante la justicia”.


Saludos.
Lexer Pars.

lunes, 7 de julio de 2014

Intrusos publican falsa alerta de desastre nuclear en el Twitter del ejército israelí

Un grupo del ejército israelí se ha disculpado por las publicaciones falsas en su cuenta de Twitter que esparcieron el pánico por un supuesto desastre nuclear. La publicación fue obra de los atacantes del Syrian Electronic Army, que habían conseguido ingresar a la cuenta de Twitter de la Fuerza de Defensa de Israel y aprovecharon el acceso para publicar la falsa alarma.
Los intrusos publicaron varios mensajes el jueves pasado, durante el tiempo que tuvieron la cuenta a su disposición. La mayoría era para homenajear a Palestina, país con el que se encuentra en guerra, con comentarios como “¡Larga vida a #Palestina!”.
Pero el que más atención recibió fue un tweet que alertaba sobre una posible catástrofe nuclear: “#CUIDADO: Posible filtración nuclear en la región por el golpe de 2 misiles a la planta de Dimona”, decía uno de los tweets alarmantes.
Los mensajes falsos se pusieron al alcance de sus más de 250.000 seguidores. Ellos, a su vez, compartían las noticias en sus propios círculos, expandiendo los rumores y el temor. El tweet sobre la filtración nuclear recibió 106 retweets, y es muy probable que la noticia se haya expandido todavía más.
La cuenta estuvo comprometida por pocos minutos; el ejército eliminó todo rastro de los mensajes falsos y aclaró lo sucedido: “Pedimos disculpas por los tweets incorrectos. Nuestra cuenta de twitter había sido comprometida. Combatiremos el terrorismo en todas sus formas, incluyendo en su dimensión cibernética”, escribieron en la red de miniblogging los representantes de la Fuerza de Defensa de Israel cuando recobraron el control de la cuenta.
El Syrian Electronic Army es muy conocido por sus ataques a entidades ligadas a gobiernos y compañías reconocidas. Suele atacar en representación y defensa del gobierno de Siria, aunque no se sabe si tienen alguna conexión con directa con él. El año pasado, miembros de este grupo alteraron los sitios web de varios medios de comunicación estadounidenses y robaron 1TB de información a la aplicación Tango . Este año, se abocaron más a delatar las invasiones de privacidad, alterando aplicaciones para protestar contra el ciberespionaje gubernamental y filtrando documentos que acusan a Microsoft de vender información a la NSA .

Fuente

Saludos.
Lexer Pars

domingo, 6 de julio de 2014

Anonymous amenaza a los defensores de la ley CISA

El grupo de ciberactivistas Anonymous está organizando una nueva campaña de ataque para protestar contra el proyecto de la Ley de Intercambio de Información de Seguridad Cibernética (CISA). Esta vez, los cibercriminales han llevado sus tácticas de intimidación a un plano más personal, amenazando a los legisladores y sus familias.
Los piratas de Anonymous han convocado a los internautas a participar de la “Operación CISA” para combatir un proyecto de ley que está pasando por el senado. Según quienes lo apoyan, la ley CISA ayudará a las compañías a combatir a los cibercriminales poniendo a su disposición información clasificada que guardan los gobiernos. Pero sus opositores consideran que, por la forma en la que está formulada, podría intensificar y legalizar la vigilancia gubernamental hacia los ciudadanos y poner en riesgo la neutralidad de la red.
Anonymous, por su parte, describe a la ley como un “ataque directo contra la cuarta enmienda de los derechos de los ciudadanos (que defiende la privacidad)” y como “un ataque [contra Anonymous]”.
El grupo publicó un video invitando a los internautas a unirse a la causa y amenazando a los legisladores: “La ira de nuestra legión recaerá sobre cada senador, diputado, compañía y oficial que declare su apoyo a esta ley” sentenció. “Todo lo que hagan, todo lo que digan, lo sabremos. Si valoran la inviolabilidad de sus seres queridos y la suya propia, dense por vencidos ahora y dejen este proyecto de ley donde pertenece, fuera de nuestro Congreso”.
Los activistas amenazaron no sólo con atacar en la red como acostumbran, sino también con llevar sus protestas a las calles: “Si no [hacen lo que exigimos], nos veremos obligados a marchar en las calles y nos aseguraremos de que nuestras voces no les dejen dormir”.

Saludos.
Lexer Pars

sábado, 5 de julio de 2014

RECON 2014


Hoy fue el último día de la conferencia REcon 2014, en la que expertos en ingeniería inversa de todo el mundo se dieron cita para conocerse y compartir sus investigaciones.
La conferencia comenzó con entrenamientos, y yo estuve a cargo de uno, que duró cuatro días, sobre ingeniería inversa de programas maliciosos. En esos días tratamos variostemas: cómo desempaquetar / descifrar programas maliciosos, cómo identificar algoritmos codificadores, cómo tratar códigos ofuscados, cómo analizar shellcodes, etc.
Mi colega Marta Janus dio una charla en la que explicó las diferentes técnicas que usan los programas maliciosos para evadir la detección antimalware y las cajas de arena, y se refirió a muchos de los trucos de ofuscación que se usan en los programas maliciosos modernos.
Las presentaciones este año fueron bastante interesantes y algunas tuvieron mucho que ver con lo que hacemos en los laboratorios, incluyendo la representación gráfica de binarios, las herramientas que ayudan a acelerar el análisis y cómo se tratan las ofuscaciones de códigos.
Aquí puedes encontrar el programa completo de la conferencia.
Las diapositivas y los videos de cada una de las charlas pronto estarán disponibles en el sitio web de REcon.


Mientras tanto, ya puedes descargar algunas de las herramientas de investigación:
PANDA es la Plataforma para Análisis Dinámico neutral en Arquitectura. Se trata de una plataforma basada en QEMU 1.0.1 y LLVM 3.3 para realizar análisis dinámicos de software, obviando los detalles a nivel de arquitectura, mediante una sencilla interfaz plugin. En este momento se encuentra en desarrollo en colaboración con MIT Lincoln Laboratory, Georgia Tech y Northeastern University.
FUNCAP es un script para registrar llamadas de funciones (y retornos) a través de un ejecutable utilizando el API depurador IDA, junto a todos los argumentos aceptados. Vacía la información en un archivo de texto, y también la inserta en los comentarios inline de IDA. De esta manera, el análisis estático que suele continuar al análisis runtime de comportamiento de programas maliciosos, puede alimentarse directamente con información runtime, como hilos decodificados retornados en los argumentos de la función.
Una de las presentaciones se refirió al marco de trabajo para la ingeniería inversa, y creo que merece mencionarse aquí.
MIASM 2 es un marco de trabajo para ingeniería inversa gratuito y de código abierto (GPLv2). Miasm apunta al análisis, modificación y generación de programas binarios. Posee la capacidad de representar la semántica de ensamblaje mediante lenguaje intermedio, emulando el uso de jit (análisis de código dinámico, desempaque) y la simplificación de expresiones para desofuscación automática.
Nos vemos el próximo año en RECON 2015

Saludos.
Lexer Pars.


viernes, 4 de julio de 2014

Microsoft agrega cifrados y un Centro de Transparencia para reforzar la seguridad y confianza en sus productos

En una época en la que las compañías de Internet están intensificando su lucha contra el ciberespionaje gubernamental, Microsoft demostró que no se quedará atrás y ha puesto en marcha nuevas iniciativas para reforzar la seguridad de sus servicios, añadir nuevas capas de protección a los datos de sus usuarios y fortalecer la confianza en sus productos.
Microsoft anunció que su servidor de correos, Outlook.com, contará ahora con cifrado de Seguridad en la Capa de Transporte (TLS) tanto para los correos entrantes como para los salientes, siempre y cuando el emisor y el receptor del mensaje admitan este tipo de cifrado. La empresa dijo que ha estado trabajando con compañías como Mail.ru, Deutsche Telekom y Yandex durante los últimos seis meses para perfeccionar esta tarea.
Outlook también contará con protección adicional de Perfect Forward Secrecy (PFS) en sus comunicaciones para que la llave de cifrado cambie cada vez que el usuario se conecte, dificultándole la tarea a los espías y cibercriminales que quieran descifrar los mensajes intercambiados en Outlook.
El servicio de almacenamiento de datos en la nube OneDrive también se beneficiará con la inclusión de PFS. Ahora, los clientes de OneDrive también se tendrán de esta capa adicional de seguridad cuando se conecten desde sus ordenadores o desde una aplicación en sus teléfonos.
Por último, la compañía también anunció orgullosa que ha creado su primer Centro de Transparencia en su sede en Redmond, Washington, con otras sucursales en la mira en otros países del mundo. El nuevo centro compartirá el código fuente de sus nuevos productos con los gobiernos afiliados, permitiéndoles revisar los programas de Microsoft en busca de puertas traseras y herramientas intrusivas para que las autoridades “se aseguren de la integridad del programa”.
“Como todo lo relacionado a la seguridad, el entorno está cambiando. Nuestro trabajo nunca para y estamos avanzando de forma constante en cuestiones de ingeniería y revisión de políticas para aumentar la protección de tus datos y la transparencia de nuestros procesos”, dijo Matt Thomlinson, vicepresidente de Trustworthy Computing Security, a nombre de Microsoft.


Saludos.
Lexer Pars.

jueves, 3 de julio de 2014

Hackers publican una falsa alarma de bomba desde el Twitter de la policía de Brasil

Las autoridades brasileñas han desmentido una publicación realizada desde la cuenta de Twitter de la Policía Federal de Brasil, que alertaba sobre una amenaza de bomba en un estadio en el que se iba a jugar un partido del Mundial de fútbol de la FIFA.
La policía confirmó que la publicación fue obra de un cibercriminal que no ha sido identificado, que halló la forma de irrumpir en la cuenta de Twitter del departamento.
El sábado, casi una hora antes del partido en el que Uruguay y Colombia se disputaban el pase a cuartos de final en el estadio Mineirao, la cuenta de la policía de Brasil (@agenciapf) mostró una alerta que decía: “Fue confirmada la amenaza de bomba en el Mineirao, la evacuación del local no ha sido descartada”. El anuncio causó preocupación entre los usuarios y fanáticos del fútbol y, en sólo minutos, 2.800 personas compartieron la alerta para dar la señal de alarma entre sus seguidores.
Cuando las autoridades se dieron cuenta de la intrusión, borraron la falsa alarma de su cuenta y publicaron un mensaje explicando lo sucedido. “La cuenta del Twitter de la Policía Federal fue invadida. La información sobre la supuesta amenaza de bomba en el Mineirao es falsa”, anunció el Palacio de Gobierno de Belo Horizonte en un twit.
Cibercriminales y ciberactivistas han estado atacando sitios web gubernamentales y de patrocinadores del Mundial en estas últimas semanas como forma de protesta por la inversión que implica alojar el Mundial en un país cuyos ciudadanos tienen necesidades más inmediatas. Sin embargo, los responsables de este ataque no se han identificado ni han expuesto sus razones para penetrar en la cuenta de la policía y atemorizar a los ciudadanos.


Saludos.
Lexer Pars.

miércoles, 2 de julio de 2014

Se descubre cómo los gobiernos podrían estar espiando los teléfonos de sus ciudadanos

Desde las revelaciones de Edward Snowden se ha estado indagando sobre el espionaje gubernamental: sus repercusiones en la privacidad, su necesidad para mantener la seguridad nacional y la forma en la que se lleva a cabo. Los expertos de Kaspersky Lab y Citizen Lab en la Universidad de Toronto han descubierto las operaciones de una empresa italiana que podría estar proveyendo herramientas a más de 40 gobiernos del mundo para que espíen las telecomunicaciones de sus ciudadanos.
Ambas organizaciones trabajaron de formas separadas, pero llegaron a conclusiones similares. Se cree que la compañía italiana “Hacking Team”, que opera con más de 50 empleados desde 2011, es la que desarrolla las herramientas de ciberespionaje que los gobiernos utilizan para espiar a sus ciudadanos. La empresa promete “tomar el control de tus objetivos y vigilarlos a pesar de sus sistemas de cifrado y movilidad”, y ofrece “tener en la mira a todos tus objetivos y gestionarlos de forma remota desde una sola pantalla”.
Hacking Team ofrece una herramienta, llamada Remote Control System (RCS), que puede operar en dispositivos con Android, iOS, Windows Mobile, Symbian y Blackberry. La herramienta permite la recolección de correos electrónicos, mensajes de texto, historiales de llamadas y listas de contactos. También pueden capturar las teclas que se pulsan para adivinar contraseñas e historiales de navegación. Además, puede activar las cámaras y micrófonos de los usuarios para grabar sus actividades y su GPS para detectar su ubicación, y es capaz de transferir los datos recolectados mediante conexiones Wi-Fi para no levantar sospechas.
Se detectaron 320 servidores de comando y control (C&C) en 40 países. Kaspersky Lab desarrolló un método para detectar la ubicación de las IP de los servidores de RCS, y descubrió que la cantidad más alta la tiene Estados Unidos, que controla 64 servidores. En segundo lugar está Kazajistán, con 49; seguido por Ecuador, con 35 y el Reino Unido, con 32. España también se encuentra en la lista, con 3 servidores.
“La existencia de estos servidores en un país determinado no significa que las agencias del orden público de ese país sean los que los usan”, explicó Sergey Golovanov en un comunicado de prensa. “Pero tiene sentido que quienes usen RCS quieran desplegar los C&Cs en ubicaciones que controlen para evitar problemas legales internacionales y la captura de los servidores.
Puedes encontrar el informe completo de Citizen Lab aquí (en inglés), y puedes ver el último artículo de Kaspersky Lab sobre Hacking Team aquí.


Saludos.
Lexer Pars.

martes, 1 de julio de 2014

BitGuard: un sistema de búsqueda forzosa

Este último año los usuarios se han encontrado con un sistema multicomponente extremadamente agresivo, difícil de eliminar por su propia cuenta, a pesar de que existen desinstaladores formales. Nos referimos a BitGuard, que se usa para suplantar la página de inicio y los resultados de las búsquedas.
El sistema BitGuard es nocivo, ya que modifica la configuración del navegador sin que el usuario se dé cuenta, tiene funciones de programa troyano de la familia Inject (incrustación de código en otros procesos) y StartPage (suplantación de las páginas de inicio de los navegadores y las páginas de búsqueda). Además, parte de sus funciones corresponden al comportamiento de los Trojan-Downloader (que descargan ficheros maliciosos desde Internet).
En este artículo y por comodidad usaremos el nombre común de BitGuard, uno de los módulos usados, para referirnos la familia completa de programas y módulos que tienen comportamientos similares.
BitGuard se propaga junto con las barras de búsqueda (MixiDJ, Delta Search, Iminent, Rubar etc.), cuyos dueños obtienen ganancias cuando los usuarios siguen los enlaces proporcionados en páginas de resultados de búsqueda irrelevantes. Suponemos que varios sistemas de afiliados usan BitGuard al mismo tiempo.

Barras de búsqueda

Uno de los métodos de promoción ilegítima de sitios web es presentar a los usuarios páginas de resultados de búsquedas con las direcciones de los sitios promovidos en los primeros puestos. Con este objetivo se usan sistemas de búsqueda propios y complementos especiales para navegadores: barras de búsqueda que remiten al usuario a páginas con resultados irrelevantes. Varios programas de afiliados usan este esquema.
Se aplica el siguiente plan:
  • Se desarrolla un sistema de búsqueda y un complemento para el navegador (barra de búsqueda) que tiene un campo de texto para introducir la búsqueda.
  • El instalador de la barra de búsqueda se pone en un hosting y queda disponible para que lo descarguen los instaladores del sistema de afiliados.
  • El usuario busca y trata de descargar música, software o videoclips de su interés, pero en realidad descarga el instalador intermediario del sistema de afiliados. Cuando lo lanza, instala una barra de búsqueda (en algunos casos con el consentimiento del usuario).
  • El usuario ingresa información en el campo de texto de la barra y esta lo remite a una página de resultados de búsqueda del sistema al que pertenece la barra.
  • En las páginas de los resultados de la búsqueda el sitio web promovido está en uno de los primeros lugares.
  • Los usuarios hacen clic en los enlaces pagados y llegan al sitio del anunciante.
  • El anunciante obtiene público.
  • Los dueños de la barra de búsqueda obtienen ganancias.
Además, en la página de los resultados de la búsqueda puede alquilarse lugar para publicidad, lo que les da ganancias adicionales a los desarrolladores del sistema de búsqueda.
Dependiendo de cuál sea el sistema de afiliados, las barras de búsqueda se difunden de diferentes maneras.
Lo más frecuente es que las barras de búsqueda se difundan en los sitios de software gratuito (pueden ir junto con instaladores “vacíos" o con programas freeware legales.
Por ejemplo, una organización desarrolla un sitio-plataforma donde los desarrolladores de freeware o shareware pueden poner sus aplicaciones. Como regla, el instalador es el mismo para todas las aplicaciones de este sitio. Contiene un complemento para el navegador que puede entrar al equipo del usuario cuando éste descarga una aplicación del sitio. Si esto pasa, los dueños de la plataforma reciben un porcentaje de los dueños de la red de afiliados.
Con este sistema de distribución, el usuario descarga el instalador de la aplicación que le interesa e inicia el proceso de instalación. En algunos casos el instalador puede descargar software legal, en otros, fingir que instala un programa útil. Durante la instalación se le ofrece al usuario instalar una barra de búsqueda.
La barra de búsqueda puede descargarse e instalarse intencionalmente, y no como complemento de un instalador de otro programa. Cualquier webmaster puede descargar un constructor de barras de búsqueda y agregarle funciones complementarias. La barra de búsqueda resultante se pone en un sitio para que la descarguen los usuarios, y el webmaster recibe su pago de los dueños del sistema de afiliados.
Como en este caso el usuario debe descargar la barra de búsqueda por su propia cuenta, los dueños de ésta tratan de interesar al "cliente” potencial con el bonito diseño de la página web desde donde se lo descarga, o con aventuradas promesas sobre sus funciones (comodidad de uso, fiabilidad, “búsqueda online óptima”, “lo mejor del mercado", etc.).

Instalación de las barras

Analicemos la instalación de las barras de búsqueda con los ejemplos de Delta Search Toolbar y Mixi.DJ. Ambas pertenecen a un programa de afiliados y con frecuencia usan un sistema de almacenamiento común (varios servidores) para sus componentes. Estas barras se difunden en diferentes sitios, en particular mixi.dj, deltasearchtoolbar.loyaltytoolbar.com


Descarga del instalador
Al lanzar el instalador se abre la ventana de instalación de la barra.

Ventana del instalador de Delta Search Toolbar
Para que el usuario no se sienta tentado a negarse a instalar software adicional, el botón “Skip” está diseñado de tal forma, que pasa inadvertido:

Ventana del instalador de Delta Search Toolbar
La interfaz del instalador de Mixi.DJ (proporción de los botones, tipos de letras, orden de instalación) es similar a la del instalador de Delta Search, lo que nos hace pensar que estos instaladores y barras tienen un solo dueño.

Ventana de instalación de Mixi DJ
Como podemos ver, los dueños de las barras recurren a diferentes trucos para conseguir que se instale su software en los equipos de los usuarios.
Pero cualquier software que lleve a sitios web que no son útiles se percibirá como indeseable y el usuario lo eliminará. Por eso, junto con la barra se usan módulos que impiden cambiar la configuración del navegador después de que la barra se ha instalado. De esta manera los dueños de las barras obligan a la víctima a visitar la páginas con los enlaces promovidos, incluso después de que se ha desinstalado la barra en cuestión.
Uno de estos módulos es BitGuard. Su tarea es modificar constantemente las direcciones configurables del navegador de Internet (incluyendo la página de inicio y la de búsqueda) para hacer que vuelvan a ser las de las páginas de resultados de búsqueda irrelevante con enlaces a los sitios promovidos por la barra.

Instalación de BitGuard

BitGuard puede descargarse junto con cualquier barra perteneciente a algún programa de afiliados. La instalación se realiza con un solo instalador. Al principio se instala la barra y después (en el mismo proceso) BitGuard.
El usuario no recibe ninguna advertencia sobre estos actos y la instalación y ejecución de BitGuard ocurre sin su consentimiento. La dirección y el nombre de la carpeta donde se instalan los componentes pueden ser diferentes en cada caso (por ejemplo, “BitGuard”, “Browser Defender”, “BitGuard”, “BProtect”, etc.).
El nombre del fichero ejecutable instalado depende del instalador y la versión de la barra. Por ejemplo, Delta Search Toolbar ejecuta la aplicación con el nombre de “browserprotect.exe”.
A continuación enumeramos ejemplos de direcciones de carpetas donde se instalan los componentes de BitGuard:
…\appdata\local\temp\nsv96a4.tmp\
…local settings\temp\nsi19.tmp\

Por lo general el paquete de componentes está conformado por:
  • el módulo ejecutable principal (puede tener uno de los siguientes nombres: browserprotect.exe, bprotect.exe, bitguard.exe, browserdefender.exe, etc.);
  • la biblioteca que se usa para incrustarse en otros procesos (browserprotect.dll, browserdefender.dll, bprotect.dll, bitguard.dll, etc.);
  • el fichero de configuración que contiene enlaces a las páginas de búsqueda y los ficheros de actualización cifrados (BitGuard recibe la configuración del instalador y por lo general ésta coincide con la configuración de la barra instalada por este mismo instalador)
  • Scripts de extensiones para Firefox o Chrome (dependiendo de sus versiones).
La biblioteca y el módulo ejecutable tienen la firma “Performer Soft LLC” expedida por ForwardTech Inc. La firma ya ha sido anulada y nuestro antivirus no la considera de confianza.
Después de la primera ejecución el módulo ejecutable se instala a sí mismo y a sus componentes relacionados en Application Data. El fichero EXE puede cambiarse de nombre a browserprotect.exe, browserdefender.exe u otro nombre dependiendo de su versión. Y hace lo mismo con los demás componentes:
\browserprotect\2.6.1249.132\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\browserprotect.exe
\browserprotect\2.6.1249.132\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\browserprotect.dll
\browserprotect\2.6.1339.144\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\browserprotect.settings

Merece la pena destacar que las barras originales se desinstalan usando métodos estándar, pero BitGuard es muy difícil de eliminar sin usar instrumentos adicionales (por ejemplo, antivirus o utilidades para eliminar complementos adicionales para el navegador). Su funcionamiento no depende de la presencia de la barra en el sistema. Lo único que lo relaciona con su complemento de búsqueda original es su configuración. En la carpeta con el módulo «BitGuard» hay un desinstalador falso (uninstall.exe) que en realidad es una copia exacta de browserprotect.exe. Todo el proceso de desinstalación mediante este desinstalador en realidad se reduce a borrar BitGuard de la lista de programas instalados y no incluye la eliminación física de los objetos en el sistema.

Registro en el sistema y preparación para el funcionamiento

Después de copiar los ficheros, algunas versiones de browserprotect.exe pueden registrarse como servicio de Windows, lo que les permite cargarse antes que winlogon.
Más adelante browserprotect.exe crea una tarea para ejecutarse a sí mismo usando las posibilidades estándar del “Planeador de Tareas de Windows”.

\system32\schtasks.exe",""system32\schtasks.exe" /delete /f /tn "BrowserProtect" 
\system32\schtasks.exe" /delete /f /tn "BrowserProtect"

\system32\schtasks.exe" /create /tn "BrowserProtect" /ru "SYSTEM" /sc minute /mo 1 /tr 
"system32\sc.exe start BrowserProtect" /st 00:00:00
\system32\schtasks.exe",""$system32\schtasks.exe" /create /tn "BrowserProtect" /ru "SYSTEM" / sc minute /mo 1 /tr "system32\sc.exe start BrowserProtect" /st 00:00:00

El sistema BitGuard almacena las direcciones URL con las que suplantará las direcciones de la página de inicio y la de búsqueda cifradas en el fichero browserprotect.settings, y en sus propias llaves del registro.
"hkcu\software\5e2d9dce63abf47\2.6.1339.144" -> "iexplore homepages" -> home.mywebsearch.com/index.jhtml?n=77DE8857&p2=^Z7^xdm354^YY^in&ptb=F2FA09DD-6451-49C9-AF7B-B9E9D2D44840&si=124514_race_gcIND
"hkcu\software\5e2d9dce63abf47\2.6.1339.144" -> "firefox homepages" -> "home.mywebsearch.com/index.jhtml?ptb=F2FA09DD-6451-49C9-AF7B-B9E9D2D44840&n=77fcbc67&p2=^Z7^xdm354^YY^in&si=124514_race_gcIND", "home.mywebsearch.com/index.jhtml?ptb=F2FA09DD-6451-49C9-AF7B-B9E9D2D44840&n=77fd0772&p2=^Z7^xdm354^YY^in&si=124514_race_gcIND"
"hkcu\software\5e2d9dce63abf47\2.6.1339.144" -> "firefox keywords" -> "search.mywebsearch.com/mywebsearch/GGmain.jhtml?st=kwd&ptb=F2FA09DD-6451-49C9-AF7B-B9E9D2D44840&n=77fcbc67&ind=2013052007&p2=^Z7^xdm354^YY^in&si=124514_race_gcIND&searchfor="
"hkcu\software\5e2d9dce63abf47\2.6.1339.144" -> "firefox search engines" -> "My Web Search"

Seguimiento de operaciones

El módulo ejecutable (browserprotect.exe) inscribe la ruta a la biblioteca browserprotect.dll en la llave del registro AppInit_DLLs, permitiendo de esta forma incrustarla en todos los procesos que se inicien en el equipo del usuario. En el momento de su carga, la biblioteca determina qué proceso es el proceso raíz e intercepta algunas funciones, en particular las de lectura y escritura en ficheros. BitGuard hace un seguimiento de todas las operaciones con ficheros de todos los procesos, pero se interesa sólo por las que se refieren a los ficheros de configuración de los navegadores.
En el momento de lectura o escritura, la biblioteca verifica por lo general si se ha cambiado algo en las configuraciones de los navegadores instalados. Por ejemplo, cuando Chrome se cierra, guarda su configuración en un fichero. BitGuard hace un seguimiento de esta operación, abre de inmediato el fichero de configuración y escribe allí las direcciones de las páginas de búsqueda. Lo mismo sucede si el usuario trata de cambiar la configuración en un editor de textos.
La biblioteca sabe trabajar con varios navegadores populares (Internet Explorer, Chrome, Mozilla, Opera, etc.) y usa un método particular para cada uno. Por ejemplo, Chrome al cerrarse recuerda las últimas pestañas abiertas. BitGuard sabe escribir la página de búsqueda no sólo como página inicial, sino también como última pestaña abierta.

Actualización de la configuración

Con cierta periodicidad la función de intercepción verifica la presencia de componentes y configuraciones (el módulo ejecutable principal hace lo mismo de tiempo en tiempo). Todo el contenido se descarga desde el hosting “Amazon Web Services” o Cloudfront. La configuración se guarda en forma de ficheros cifrados dwl.bin, bl.bin. Los enlaces desde donde se hacen las descargas no se guardan de forma explícita, sino que se arman usando los fragmentos cifrados durante el proceso de trabajo.
Ejemplos de enlaces:
http://protectorlb-1556088852.us-east-1.elb.amazonaws.com/service/dwl.php
http://protectorlb-1556088852.us-east-1.elb.amazonaws.com/service/kbl.php

Expansión de las funciones, descarga de componentes adicionales

Para protegerse de la posible eliminación o corrupción y expandir el arsenal de métodos para trabajar con diferentes navegadores, el sistema puede descargar módulos adicionales.
Por ejemplo, como software adicional se pueden descargar módulos para Firefox. Veamos la forma exacta en que esto sucede.
Periódicamente BitGuard manda solicitudes al servidor y trata de descargar un fichero de texto con enlaces a los archivos con módulos adicionales. El enlace al fichero de texto se genera usando elementos de renglones que se encuentran en los recursos de la misma biblioteca: d1js21szq85hyn.cloudfront.net/ib/138/fflist.txt.
Para cada versión de BitGuard en lugar de ib y 138 en el renglón de URL habrá otros valores. Si la descarga del fichero de texto transcurre con éxito, cada versión de BitGuard recibirá su conjunto de enlaces de actualización. El contenido del fichero de texto luce así:
3;http://d1js21szq85hyn.cloudfront.net/ib/154/3.7z
5;http://d1js21szq85hyn.cloudfront.net/ib/154/5.7z
6;http://d1js21szq85hyn.cloudfront.net/ib/154/6.7z
7;http://d1js21szq85hyn.cloudfront.net/ib/154/7.7z
8;http://d1js21szq85hyn.cloudfront.net/ib/154/8.7z
9;http://d1js21szq85hyn.cloudfront.net/ib/154/9.7z
10;http://d1js21szq85hyn.cloudfront.net/ib/154/10.7z
11;http://d1js21szq85hyn.cloudfront.net/ib/154/11.7z
12;http://d1js21szq85hyn.cloudfront.net/ib/154/12.7z
13;http://d1js21szq85hyn.cloudfront.net/ib/154/13.7z
14;http://d1js21szq85hyn.cloudfront.net/ib/154/14.7z
15;http://d1js21szq85hyn.cloudfront.net/ib/154/15.7z
16;http://d1js21szq85hyn.cloudfront.net/ib/154/16.7z
18;http://d1js21szq85hyn.cloudfront.net/ib/154/18.7z

Cada uno de los archivos está numerado según el número del enlace en la lista y contiene la versión de la biblioteca que corresponde a la versión del navegador Firefox. Por ejemplo, el archivo número 16 contiene la biblioteca “bprotector-16.0.dll”.
BitGuard elige el enlace correspondiente del módulo adicional, lo descarga y lo registra. De esta manera el sistema BitGuard obtiene instrumentos adicionales para funcionar con Firefox.
También a veces se descargan componentes adicionales (si están disponibles) que permiten descargar actualizaciones desde otros dominios diferentes a AmazonAws y Cloudfront.

Comportamiento de la aplicación en el equipo del usuario

Ejemplo de módulo adicional

El troyano Trojan-Downloader.Win32.MultiDL.c, descubierto el 9 de julio de 2013 ejecuta la actualización de la biblioteca browserprotect.dll desde servidores alternativos. Este software se propagaba bastante activamente: sólo en julio de 2013 bloqueamos cerca de 500 000 intentos de infección en los equipos de los usuarios. Al pasar el tiempo su popularidad bajó: la cantidad de intentos bloqueados en enero de 2014 no superó los 26 000. En total, desde julio de 2013 hasta enero de 2014 se anularon intentos de infectar a 982 950 usuarios.
El fichero penetra al equipo del usuario junto con el instalador de NSIS (Nullsoft Scriptable Install System). BitGuard lo descarga desde el hosting AmazonAws (por ejemplo, protectorlb-1556088852.us-east-1.elb.amazonaws.com) y lo guarda en su directorio temporal con el nombre setup_fsu_cid.exe.
Después, BitGuard lanza el proceso de instalación en modo invisible (el usuario no visualiza ninguna ventana de diálogo):
"…\setup_fsu_cid.exe" /S
El instalador contiene dos programas. Como regla, uno no tiene ninguna relación con el esquema de actualización de la DLL descrito. En el caso de la modificación MultiDL.c, se trata de File Scout. Esta aplicación no se encuentra aparte del instalador y suponemos que los delincuentes la escribieron para crear la ilusión de ser una aplicación útil. El programa da detalles de los formatos de ficheros desconocidos, pero no tiene una base de datos offline de formatos de ficheros y envía al usuario a un sitio de terceros (suponemos que alguien paga por la misma).

Ventana de trabajo de File Scout
La segunda aplicación es una falsificación de Adobe Flash Player que realiza la descarga de la biblioteca relacionada con el sistema BitGuard. El troyano se disfraza de Adobe Flash Player Update Service versión 11.6 r602. Al principio el instalador setup_fsu_cid.exe descomprime el fichero ejecutable (.exe) del player falso en un directorio temporal, dándole un nombre corto, por ejemplo usvc.exe (C: \users\testwo~1\appdata\local\temp\nsy5f4f. tmp\usvc. exe).
Después se lanza el módulo ejecutable que se traslada a sí mismo a una carpeta con dirección C: \Windows\Syswow64\macromed\flash\flashplayer\flashplayerupdateservice.exe y registra la tarea de ejecución de sí mismo usando el servicio estándar de Windows “Tareas programadas” (es decir, usando el mismo método de BitGuard).
…\system32\schtasks.exe" /create /tn "AdobeFlashPlayerUpdate" /ru "SYSTEM" /sc hourly /mo 1 /tr "…\system32\flashplayerupdateservice.exe /w" /st 00:00:0
Después de esto, el troyano empieza a descargar la actualización de la DLL. Cada modificación de MultiDL ejecuta descargas desde diferentes dominios. Los enlaces de la actualización se diferencian de los que vemos en BitGuard (no se utilizan AmazonAws y Cloudfront). La lista de sitios cambia dependiendo de la modificación. Los enlaces se guardan de la misma manera que en la biblioteca browserprotect.dll, en forma de fragmentos cifrados. El enlace final se arma durante el funcionamiento del programa. He aquí algunos ejemplos de dominios desde donde se descargan bibliotecas:
autoavupd.net
autodbupd.net
srvupd.com
srvupd.net
updsvc.com
updsvc.net

La mayoría de los dominios está registrada en la Federación de Rusia, pero también hay dominios registrados en Ucrania e Inglaterra.
El contenido ubicado en los servidores puede no disponible estar periódicamente. Cuando escribíamos este artículo (marzo de 2014) no se descargaba nada desde estos sitios.
Estos módulos adicionales son una especie de seguro si se eliminan o borran las bibliotecas (browserprotect.dll / browserdefender.dll / bprotect.dll etc.) que son el principal instrumento del sistema BitGuard para controlar los navegadores. Si el usuario de alguna manera encuentra la forma de eliminar la biblioteca, los módulos de seguro la descargarán de nuevo y el proceso de suplantación de la configuración del navegador no cesará.

Conclusión

El sistema BitGuard modifica la configuración del navegador sin que el usuario se dé cuenta, incrusta su código en otros procesos, suplanta las páginas de inicio y de búsqueda y descarga ficheros maliciosos de Internet. Todas estas funciones nocivas se usan para lucrar: los dueños de BitGuard son miembros de una red de afiliados que promueve sitios web usando métodos ilegítimos (los enlaces a las páginas web se elevan a los primeros puestos de los resultados de la búsqueda).
Consideramos que los dueños de BitGuard y los de los sistemas y barras de búsqueda son diferentes personas u organizaciones. Alguien, por un pago determinado, proporciona el SDK o motor que mantiene la configuración de los navegadores en el equipo del usuario en un estado que les conviene a los dueños de los sistemas de búsqueda.
En primer lugar, la parametrización de la lógica de BitGuard lo insinúa. El mismo paquete no sabe qué búsqueda en concreto instalar en el navegador: las direcciones de las páginas están escritas en el fichero de configuración de BitGuard que se instala junto con la barra. En segundo lugar, observamos serias diferencias entre algunas barras, pero los componentes de BitGuard no tienen diferencias conceptuales entre sí.
Esquema de obtención de lucro con la instalación de BitGuard
BitGuard se puede descargar con cualquier barra de programas de afiliados, las barras por su parte tienen muchas fuentes de propagación. Esto explica el gran número de equipos infectados en todo el mundo:

Distribución geográfica de intentos de infección de equipos por los componentes de BitGuard
Empezando desde el 25 de agosto de 2013, se bloquearon los ficheros de BitGuard en los equipos de 3,8 millones de usuarios. Tomando en consideración que el dueño del sitio publicitado paga un promedio de 2 a 10 centavos de dólar por usuario remitido a su sitio, podemos hacer una apreciación aproximada de las ganancias de la red de afiliados.


Saludos.
Lexer Pars.