Uroburos, un spyware sofisticado con raíces rusas

Los expertos en seguridad de G Data han descubierto un spyware altamente sofisticado y complejo. Está diseñado para robar información secreta y sensible de instituciones públicas, servicios de inteligencia o grandes corporaciones. El rootkit, llamado Uroburos, es capaz de propagarse por las redes infectadas de forma autónoma. Incluso los equipos que no están conectados a Internet son atacados por este malware.

G Data concluye que para desarrollar un software como este son necesarias notables inversiones en personal e infraestructura y su diseño y nivel de complejidad permiten deducir que pueda haberse elaborado en los laboratorios de algún servicio secreto. De acuerdo a detalles técnicos como el nombre de los archivos, el cifrado y el comportamiento del software, se sospecha que Uroburos podría provenir de los mismos autores del ciberataque dirigido contra Estados Unidos en 2008, en aquella ocasión usando un malware llamado “Agent.BTZ”. El fabricante de soluciones de seguridad alemán estima que este malware ha permanecido funcionando al menos tres años.

¿Qué es Uroburos?

Uroburos es un rootkit formado por dos archivos, un driver y un archivo de sistema cifrado. El malware puede usarse para tomar el control del PC infectado, ejecutar cualquier código arbitrario y ocultar sus acciones en el sistema. Uroburos es también capaz de robar datos y grabar el tráfico de datos de la red. Su estructura modular permite a los atacantes completar el malware con funciones adicionales. Y es precisamente su modularidad y flexibilidad lo que detalla lo avanzado y peligroso de este malware.

Su complejidad técnica apunta a los servicios secretos

El diseño de Uroburos atestigua que el malware es muy complejo y costoso de desarrollar y los expertos de G Data deducen que han tenido que estar implicados en su creación desarrolladores altamente cualificados. De igual forma, el fabricante alemán asume que no ha sido obra de ciberdelincuentes y piensa que algún servicio secreto se esconde detrás de Uroburos.

Uroburos está diseñado para trabajar en redes de grandes empresas, instituciones públicas y organizaciones dedicadas a la investigación. El patrón muestra que los atacantes han tenido en cuenta la circunstancia de que en las redes conviven equipos no conectados. El malware se propaga de forma autónoma y funciona en modo “peer to peer” donde las PC infectadas en una red cerrada se comunican directamente entre sí y donde los atacantes sólo necesitan una PC con acceso a Internet. Los equipos infectados recolectan los datos y los transfieren al equipo con conexión, donde se recopilan las informaciones y se transfieren a los atacantes. Uroburos soporta los sistemas de Microsoft Windows de 32 y 64 bits.

Un malware con conexión rusa

De acuerdo a los detalles técnicos, el cifrado y el comportamiento del malware, los expertos de G Data observan una conexión ente Uroburos y un ciberataque llevado a cabo contra Estados Unidos en 2008 mediante un malware conocido como “Agent.BTZ”. Uroburos comprueba los sistemas infectados para ver si dicho malware está ya instalado, en cuyo caso el rootkit permanece inactivo. De igual forma, parece claro que los desarrolladores de estos dos programas son ruso parlantes.

Los análisis muestran que los atacantes no están interesados en internautas ordinarios. Los esfuerzos operacionales solo están justificados cuando se persiguen información sensible y nunca de internautas comunes, como grandes empresas, estados, servicios secretos o similares.

Al menos tres años funcionando

El rootkit Uroburos es el malware más avanzado que los expertos de G Data han analizado en su laboratorio y su driver más antiguo fue compilado en 2011, lo que indica que permanece activo desde entonces.

Vector de infección, indeterminado

Hasta ahora, no ha sido posible determinar cómo se infiltra Uroburos en una red y el ataque puede darse con éxito de varias formas, entre ellas, spear phising (phising dirigido a objetivos específicos), infecciones drive-by o ingeniería social.

¿Qué significa Uroburos?

G Data ha utilizado este nombre después de comprobar su presencia en el código fuente. Uroburos es un símbolo griego que muestra un animal serpentiforme engullendo su propia cola.

vía pcworld

Aumenta malware en redes fijas

 Al segundo trimestre de este año, 10 por ciento de las redes domésticas ha resultado con infección de malware, cifra superior al 9.0 por ciento que se registró en el primer trimestre de este año, informó Kindsight Security Labs.

En su reporte de malware que corresponde al segundo trimestre de este año, la firma proveedora de productos de seguridad expuso que en el periodo de referencia, 6.0 por ciento de sus clientes con banda ancha resultó infectado con bots, rootkits y troyanos bancarios.

A su vez, el bot –programa que imita el comportamiento humano– ZeroAccess es todavía una de las amenazas más comunes y afectó a alrededor de 0.8 por ciento de los usuarios de banda ancha.

ZeroAccess es un bot que utiliza tecnología rootkit -programa que accede de manera continua y en forma oculta a una computadora- y que se descarga en el equipo para utilizar los datos y hacer fraudes, los cuales pueden costar a los anunciantes en Internet cantidades millonarias al día.

Respecto a los troyanos alureon.dX y Zous/Zbot que roban datos importantes de los usuarios, contraseñas e información bancaria, el primero apareció en 2006, en tanto que el segundo salió a la luz en 2007 y desde esas fechas han evolucionado en diversas versiones.

vía el universal

Variante del troyano Gozi integrado a un rootkit

Una nueva variante del troyano bancario Gozi infectó miles de máquinas en los Estados Unidos, buscó atacar el master boot record (MBR) de los usuarios de Internet Explorer.

Los investigadores de seguridad de la firma Trusteer revelaron que un rootkit, una característica poco encontrada en malware financiero, fue empacado con la última versión de Gozi. En una entrada de blog el pasado jueves, Etay Maor, investigador de Trusteer, explicó que el rootkit es particularmente difícil de extraer.

“Debido a su ubicación estratégica en el núcleo del sistema operativo, los rootkit son difíciles de identificar y eliminar”, escribió Maor. También mencionó que Gozi, incrustado en el rootkit, se ubica silenciosamente en el MBR esperando a que Internet Explorer se inicie. Una vez que el navegador está corriendo, el troyano se auto inyecta en el navegador de la víctima y puede robar información financiera que el usuario usa en los sitios que navega.

El lunes en entrevista, Yishay Yovel, Vicepresidente  de Marketing de Trusteer, dijo al sitio SCMagazine.com que la firma detectó a lo mucho un par de miles de infecciones de esta variante en los Estados Unidos. Yovel dijo que, a pesar de que los líderes del grupo responsable del malware fueron atrapados por las autoridades federales, la campaña continúa.

En 2010, Nikita Kuzmin, el presunto creador de Gozi, fue arrestado en los Estados Unidos, seguido por Deniss Calovskis, quien presuntamente escribió partes del código del troyano. El arresto de Calovskis fue en el mes de noviembre en Lituania.

Desde que Gozi apareció por primera vez en 2005, los fiscales federales estiman que infectó al menos 100 mil computadoras alrededor del mundo, incluyendo 25 mil en los Estados Unidos, causando pérdidas por decenas de millones de dólares. “Existía la esperanza de que Gozi declinara con los arrestos, pero ahora estamos viendo su evolución”, dijo Yovel.

Al atacar los medios de distribución el malware se mantuvo igual, dijo, con autores que usan infección por descarga o correos electrónicos de phishing para engañar a los usuarios a instalar documentos como armas que contienen el troyano.

Para solucionar la infección de Gozi, los investigadores de Trusteer recomiendan a los usuarios hacer un formateo completo del disco duro, reinstalar el sistema operativo e implementar soluciones de seguridad en la empresa, dando prioridad a la actualización de sus credenciales de banca en línea.

Vía: SC Magazine