América latina dejó de ser un área “de paso” para las actividades ciberdelictivas que se desarrollan y gestionan desde el otro lado del mundo. Aprovechan vulnerabilidades de los sistemas y la ingenuidad de los usuarios con estafas sencillas
América latina ya no es un escenario marginal para la delincuencia informática. Aunque, por ahora, la producción local de virus y códigos maliciosos es escasa, comparada con las grandes usinas de programas utilizados por los ciberdelincuentes, existen amenazas concretas para los usuarios de computadoras y teléfonos móviles inteligentes latinoamericanos.
Un informe de la empresa de seguridad informática Kaspersky destaca que la región dejó de ser un área “de paso” para las actividades ciberdelictivas que se desarrollan y gestionan desde el otro lado del mundo.
Desde hace varios años, los cibercriminales latinoamericanos se dedican a replicar el modelo de negocio clandestino y fraudulento en una zona aún no madura, en términos de legislación contra el cibercrimen.
Evidencias concretas de esta situación son los paquetes de crimeware S.A.P.Z., de origen peruano, y vOlk de origen mexicano.
En el caso de vOlk, responsable de casi el 90% de las estrategias de ataques de phishing en países como México, Perú, Colombia, Venezuela, Bolivia, Chile y la Argentina, se estima una fuerte demanda sobre la venta del crimeware durante el 2012.
Actualmente, la versión 4 de vOlk (última exitente) posee un fuerte impacto contra entidades financieras de América latina, intentando “reclutar” computadoras infectadas sólo en esta región y robar datos financieros de importantes entidades bancarias, siempre bajo la influencia de estrategias de ingeniería social de los ciberdelincuentes, quienes buscan intensificar y efectivizar constantemente sus tácticas.
Si bien el empleo de vOlk se limita a afectar a usuarios de América latina, algunas estrategias se encuentran dirigidas a ciertos países en particular, con maniobras de engaños personalizadas y adaptadas a los recursos falsificados del país objetivo.
Es así como en la Argentina, durante estos intentos de engaño, fusionan la complejidad e impacto que representa todo proceso de infección con la ingeniería social.
Ésta la aplican directamente al malware y a la generación de páginas web maliciosas para el ciclo de propagación, empleando nombres relacionados con importantes corporaciones posicionadas en países de la región.
Aquí, cinco “ejemplares” de estas amenazas informáticas que circulan desde hace algunas semanas por latinoamérica:
Vulnerabilidad en Windows
Un nuevo troyano aprovecha una vulnerabilidad en Windows para permanecer oculto y activo en las computadoras infectadas.
Denominado Trojan.Dropper.UAJ, modifica una librería de código vital (comres.dll) obligando a todas las aplicaciones que necesitan comres.dll a ejecutar también esta amenaza.
Lo novedoso de este troyano es el hecho de que toma el archivo comres.dll original, lo modifica y luego lo guarda en su directorio original.
La modificación de la DLL incluye un código que puede agregar o eliminar usuarios, cambiar contraseñas, añadir o eliminar los privilegios de usuario, y ejecutar archivos.
Con esta modificación, los ciberdelincuentes consiguen que la parte maliciosa del archivo se ejecute al mismo tiempo y siempre que se ponga en marcha la DLL original.
La táctica usada hasta la aparición de este troyano innovador es más simple: el malware se copia en el mismo lugar y con el mismo nombre que la DLL original, sustituyéndola, pero de esta manera eran más fáciles de detectar.
Con la modificación de la DLL original y su posterior restitución a su lugar de origen, este troyano puede ocultarse mejor.
“Los ciberdelincuentes eligieron el archivo comres.dll, porque es ampliamente utilizado por la mayoría de los navegadores de Internet, y en algunas aplicaciones o herramientas de comunicación en red, lo que lo hace muy popular y, básicamente, indispensable para el sistema operativo”, explicó Catalin Cosoi, Chief Security Researcher de la empresa Bitdefender.
Trojan.Dropper.UAJ es capaz de ejecutarse en los siguientes operativos Windows: 7, Vista, 2003, 2000 y NT en entornos de 32 y 64 bits.
El rey de las redes robot
En los últimos días, se está propagando el bot Ainslot.L, según informó la empresa Panda Security.
Este malware está diseñado para registrar todas las acciones del usuario, descargar otros ejemplares de malware y controlar el sistema.
Además, hace funciones de troyano bancario, robando las credenciales de determinadas entidades financieras.
Una de sus particularidades es que analiza el equipo en busca de otros bots pertenecientes a otras redes y los elimina, de tal forma que sea el único que ocupe el sistema.
“Nos ha llamado mucho la atención el hecho de que Ainslot.L desinfecte la PC de otros bots que puedan haberlo infectado con anterioridad”, comentó Luis Corrons, director técnico de PandaLabs.
Este bot elimina a sus competidores de tal forma que el equipo del usuario esté completamente a su merced. “Recuerda un poco a la famosa saga de ‘Los Inmortales’, sólo puede quedar uno”, señaló.
Ainslot.L llega a través de un correo fraudulento que simula proceder de la tienda de ropa inglesa Cult.
En este correo, muy bien redactado, se le hace creer al usuario que ha realizado una compra en Cult de cerca de 200 libras esterlinas y que se le cargará dicha cantidad a su tarjeta de crédito.
Incluye un link para revisar el pedido que conduce a la descarga del bot en la computadora.
“No estamos acostumbrados a recibir correos electrónicos fraudulentos tan bien redactados y tan creíbles”, admitió Corrons.
“En este ataque, los ciberdelincuentes han cuidado al máximo la apariencia del correo electrónico, de tal forma que el número de víctimas que puedan caer en el engaño sea alto”, advirtió.
Tarjetas de regalos tramposas
Una nueva estafa en Facebook utiliza como cebo unas supuestas tarjetas de regalo con 200 dólares para comprar en el popular sitio web eBay.
Los delincuentes abrieron un evento en la popular red social en la que ofrecen una tarjeta regalo de 200 dólares para gastar en eBay a los 10.000 primeros usuarios en inscribirse al evento.
Una vez que el usuario entra en la página del evento se explica mejor qué tiene que hacer para conseguir la tarjeta regalo.
Primero, tiene que usar el botón de “Me gusta” para unirse al evento, enviar la invitación a otros 50 amigos, ampliando así el espectro de la amenaza, y, después, compartirla, acrecentando aún más el alcance de la misma.
El último paso que debe dar el usuario es ir a una URL donde debe reclamar el premio.
Esta URL, en realidad, conduce a la instalación de la aplicación “WhosStaliking”, una vieja conocida de los expertos en seguridad y los usuarios de Facebook. La misma promete decir quiénes son los mayores seguidores en Facebook del usuario pero para ello, eso sí, antes pedirá acceso para publicar en el nombre del mismo y acceder a sus datos privados.
La empresa Bitdefender recomienda desconfiar de cebos como tarjetas regalo y premios en Facebook sin correspondencia fuera de la red social.
Basta con entrar en la web de eBay para comprobar como no publicita tal promoción en su web corporativa, una acción que la compañía comunicaría dado el supuesto volumen de la misma: 10.000 tarjetas regalo de 200 dólares son un total de 2 millones de dólares invertidos en la campaña, un monto lo suficientemente elevado como para realizar una difusión de la campaña acorde.
Falsos videos de comportamientos heroicos
Otra nueva estafa en Facebook utiliza como cebo falsos videos de comportamientos heroicos, como la historia de un policía que murió por ayudar a un ciudadano.
Los falsos videos van acompañados de mensajes que exhortan a verlos con frases como: “necesitamos más gente como ésta” o “Esto es un héroe”.
Cuando los usuarios intentan ver el video, se les pide que instalen un complemento para su navegador (en otra ocasiones es una actualización de Youtube).
En ambos casos, lo que en realidad están instalando es un código malicioso que dará acceso a los ciberdelincuentes a la cuenta de Facebook del usuario.
Una vez conseguido el acceso, los ciberdelincuentes, además de hacerse con todos los datos privados de la víctima, publicarán automáticamente la historia fraudulenta en el muro de todas las páginas en las que el usuario haya dado un “Me gusta”. Además, la publicarán varias veces en el muro del usuario.
Adicionalmente, a medida que los amigos del usuario vayan cayendo en la trampa, y aprovechando la característica de Facebook que indica cuántos amigos han visto o compartido un mismo contenido, los otros amigos que aún no estén infectados irán viendo que un mismo link ha sido compartido por varios de sus contactos lo que, sin duda, les llevará a pensar que es interesante y, por lo tanto, les hará caer también en la trampa, aumentando así la difusión de la estafa.
Hasta el momento, más de 49.000 usuarios de Facebook han caído en este fraude.
“Los ciberdelincuentes utilizan los propios métodos de viralidad usados por Facebook para distribuir sus creaciones. Si un usuario ve que muchos de sus amigos han compartido un link, entenderá que es interesante y hará clic en él, cayendo así también en la trampa”, explicó Cosoi, de Bitdefender.
“La mejor forma de evitar estas amenazas es desconfiar de las historias llamativas y sensacionalistas, pues son el cebo más usado por los ciberdelincuentes. Hasta ahora, sólo habíamos visto cebos con historias negativas como falsas muertes o desastres naturales. Ahora, comenzamos a ver historias de heroísmos usadas como cebo. Si funcionan, los ciberdelincuentes seguirán, sin duda, usándolas”, agregó.
Falso plugin de Google+ Hangouts
Un nuevo ataque informático que consiste en la distribución de malware usando como cebo una invitación a Google+ Hangouts, un servicio de Google que permite ver y comentar videos en grupo a través de la red social Google+.
El ataque comienza cuando los usuarios reciben una invitación en sus correos electrónicos invitándoles a descargarse el plugin de Google+ Hangouts.
En caso de seguir el link, llegarán a una página, que imita a la oficial de este servicio, y en la que se les mostrará un botón desde el que descargarse el plugin.
Si lo hacen, en su equipo aparece un archivo con el nombre hangouts.exe, que aunque hace referencia al servicio, para engañar al usuario, en realidad esconde un troyano.
En caso de activarlo, el mismo quedará con su computadora comprometida y sus datos podrán caer en manos de los ciberdelincuentes.
“Es importante que los usuarios recuerden que no deben atender a solicitudes que les lleguen por correo procedentes de usuarios desconocidos, por muchas ganas que tengan de probar un servicio o producto”, explicó Cosoi, de Bitdefender.
