Ciberdelincuentes facilitan la creación y personalización de troyanos

Un servicio de malware como servicio, o «MaaS», recientemente detectado permite crear y alojar un nuevo troyano personalizado que facilita la administración remota de sistemas infectados por el pago de una cuota mensual por el uso del servicio. Diario Ti: Los hackers han evolucionado. Ya no buscan notoriedad como antaño, sino que su principal objetivo es el lucro económico. Es por esto que la prestación de servicios entre cibercriminales es bastante común, incluyendo la venta de troyanos nuevos desarrollados por programadores o la venta de información recogida por spammers, entre otros. Todos se encuentran y se comunican a través de canales de IRC, donde se inician las negociaciones y las aplicaciones. “Frente a esta realidad, no sorprende la existencia de escuelas online diseñadas para formar a los cibercriminales novatos. Siguiendo esta tendencia, emergente en Latinoamérica, comienzan los primeros servicios para crear malware personalizado, denominado Maas (Malware as a Service)», afirma Fabio Assolini, analista experto de Kaspersky Lab. “Este tipo de servicio es muy común entre los ciberdelincuentes de Europa del Este y ahora está empezando a usarse en todo el mundo, sobre todo en Brasil, donde está cogiendo mucha fuerza». Un servicio «MaaS» recientemente publicado por ciberdelincuentes brasileños y detectado por Kaspersky Lab permite crear y alojar un nuevo troyano personalizado que además facilita la administración remota de los ordenadores infectados a través del pago de una cuota mensual por el uso del servicio, todo ello a través de una interfaz gráfica que no precisa experiencia en programación. Al igual que cualquier servicio online, los futuros ciberdelincuentes pueden elegir el mejor método de pago para comenzar a utilizar el servicio que incluye lecciones en vídeo para aprender a usarlo, la creación del propio troyano, la administración del negocio fraudulento y la gestión de campañas de malware para difundirlo entre las posibles víctimas de la misma. Para Assolini, este tipo de troyanos permiten el control absoluto de la máquina de la víctima, además de recopilar información personal, como inicios de sesión para acceder a los servicios de redes sociales, mensajería instantánea, banca, etc. Todo esto facilita a los delincuentes más experimentados ganar dinero no sólo a través de los ataques que ellos mismos realizan, sino también mediante la venta de sus servicios a los recién llegados al mundo del cibercrimen.

Descubren al espía más complejo del mundo

¿Quién necesita a James Bond teniendo a Flame? Un malware que según expertos rusos lleva más de dos años robando todo tipo de información sensible bajo las órdenes de un gobierno no identificado.

Descrito como “una de las amenazas más complejas jamás descubiertas”, el programa malicioso podía desde grabar conversaciones privadas manipulando el micrófono del computador infectado a leer conversaciones privadas mantenidas través de internet.

Según explicó la firma de seguridad Kapersky Labs a la BBC, se cree que el malware opera desde agosto de 2010 y que entre los países objetivo figuran varios de Oriente Medio, entre ellos Irán e Israel.

El ataque de Flame

“Una vez el sistema es infectado, Flame empieza una compleja serie de operaciones, incluyendo espiar en el tráfico de internet, tomar imágenes de pantallas de computador, grabar conversaciones, interceptar teclados y demás”, explicó Vitaly Kamluk, experto en malware de Kapersky.

Se cree que el ataque habría afectado a unos 600 objetivos, desde individuos, a hombres de negocios, instituciones académicas y sistemas de gobierno.
De acuerdo a Kamluk, el tamaño del ataque de Flame sugiere que no es obra de cibercriminales sino que más bien se trataría de un ataque patrocinado por un Estado principalmente contra países de Medio Oriente.

Entre los países afectados figuran Irán, Israel, Sudán, Siria, Líbano, Arabia Saudita y Egipto.

Ataque “patrocinado por estado”

“La geografía de los objetivos y la complejidad de la amenaza no deja duda de que fue un Estado el que patrocinó la investigación que lo diseñó”, dijo Kamluk.

El malware es capaz de grabar audio a través de los micrófonos de un computador, comprimirlo y enviarlo directamente al atacante.
También se cree que es capaz de tomar fotografías de la pantalla para registrar la actividad que está llevando a cabo un usuario concreto.
El sistema se activaría automáticamente, cuando el usuario objetivo abre programas “interesantes” como sistemas de correo electrónico o mensajería instantánea.

Una aspiradora de información

El equipo de Kapersky detectó la presencia de Flame en agosto de 2010, aunque afirman que es muy posible que haya estado operativo desde antes.
De acuerdo a Alan Woodward, del departamento de computación de la Universidad de Surrey, el ataque es muy significativo.
“Es básicamente una aspiradora de información sensible”, dijo a BBC.

A diferencia del virus Stuxnet, que el año pasado atacó infraestructuras militares en Irán, Flame, aseguró Woodward, es mucho más sofisticado.
“Mientras Stuxnet sólo tenía un objetivo, Flame es un conjunto de herramientas, así que puede perseguir cualquier cosa que le caiga en las manos”.
Una vez que el malware Flame infecta una máquina, se pueden añadir módulos adicionales para realizar determinadas tareas, casi como se hace con las aplicaciones en un teléfono inteligente.

Fuente: BBC Mundo

Vía: http://www.mattica.com/2012/05/descubren-al-espia-mas-complejo-del-mundo/?utm_source=twitterfeed&utm_medium=twitter

Detectan amenaza de ciberespionaje y sabotaje peor que Stuxnet y Duqu

«Flame» es una nueva ciberamenaza avanzada cuyo reto es el ciberespionaje. Su complejidad y funcionalidad superan a los de todas las amenazas cibernéticas conocidas hasta la fecha.

Diario Ti: Kaspersky Lab anuncia el descubrimiento de un programa malicioso muy sofisticado que está siendo utilizado de forma activa como arma cibernética para atacar distintos organismos en varios países. La complejidad y la funcionalidad del programa malicioso recién descubierto superan a los de todas las amenazas cibernéticas conocidas hasta la fecha.

El malware ha sido descubierto por los expertos de Kaspersky Lab durante una investigación impulsada por la ITU, la agencia de las Naciones Unidas para la Información y la Comunicación Tecnológica. El programa malicioso, detectado como Worm.Win32.Flame por los productos de seguridad Kaspersky Lab, está diseñado para llevar a cabo ciberespionaje. Puede robar información valiosa, incluyendo contenidos de la pantalla de ordenador, información sobre los sistemas específicos, archivos almacenados, datos de contacto y conversaciones, incluso de audio.

La investigación independiente comenzó tras una serie de incidentes con otro, aún desconocido, programa de malware – llamado Wiper – que ha borrado los datos en ordenadores en la región de Asia Occidental. Este programa malicioso está aún por descubrir, pero durante el análisis de estos incidentes los expertos de Kaspersky Lab, en coordinación con la ITU se encontraron un nuevo tipo de malware, ahora conocido como Flame.

A pesar de que las características de Flame no son como las de anteriores armas cibernéticas, como Duqu y Stuxnet, la geografía de los ataques, el uso de vulnerabilidades de software específicos y el hecho de que los ordenadores seleccionados estén en el punto de mira indica que Flame pertenece a la misma categoría de super-ciberarmas.

Eugene Kaspersky, CEO y co-fundador de Kaspersky Lab, afirma: «La amenaza de la guerra cibernética ha sido uno de los temas más graves en el área de la seguridad de la información desde hace varios años. Stuxnet y Duqu pertenecían a una sola cadena de ataques, lo que incrementó las preocupaciones relacionadas con la ciberguerra en todo el mundo. El malware Flame parece ser una nueva fase en esta guerra, y es importante entender que este tipo de armas cibernéticas se puede utilizar fácilmente en contra de cualquier país. A diferencia de la guerra convencional, los países más desarrollados son en realidad los más vulnerables en este caso».

El propósito principal de Flame parece ser el ciberespionaje y el robo de información de los equipos infectados. Dicha información es enviada a una red de servidores C&C ubicados en diferentes partes del mundo. La variada naturaleza de la información robada, que puede incluir documentos, imágenes, grabaciones de audio y una intercepción del tráfico de red, lo convierte en uno de las más avanzadas y completas herramientas de ataque que se haya descubierto.

Alexander Gostev, director de los Expertos en Seguridad en Kaspersky Lab, comentó: “Los descubrimientos preliminares de esta investigación, llevados a cabo a partir de una petición urgente de la ITU confirman que este programa malicioso está completamente dirigido. Uno de los hechos más alarmantes es que la campaña de ciberataque de Flame está actualmente en fase activa, y su operador está vigilando los sistemas infectados, reuniendo información y dirigiéndose a nuevos sistemas para conseguir sus desconocidas metas».

Los expertos de Kaspersky Lab están trabajando en el análisis de Flame. Durante los próximos días se revelarán más detalles sobre esta nueva amenaza, según se vayan conociendo. Por el momento, lo que se sabe es que consta de múltiples módulos y que su código ejecutable es 20 veces mayor que el de Stuxnet, lo que significa que el análisis de esta ciberarma requiere un gran equipo de los mejores expertos en seguridad, e ingenieros con amplia experiencia en el campo de la ciberdefensa.

La ITU usará la red ITU-IMPACT, formada por 142 países y varias empresas, entre ellas Kaspersky Lab, para alertar a los gobiernos y a la comunidad tsobre esta ciberamenaza.

Fuente: http://diarioti.com/noticia/Detectan_amenaza_de_ciberespionaje_y_sabotaje_peor_que_Stuxnet_y_Duqu/32018

Más información: www.securelist.com

Fotografía: Eugene Kaspersky