Un sofisticado troyano, Regin, estarí­a espiando a todo el mundo desde 2008

paises troyano regin

“Una pieza de malware cuya estructura presenta un grado de habilidad raramente vista” capaz de “controlar de forma remota el ratón y el teclado, recuperar archivos borrados, realizar capturas de pantalla, pulsaciones de teclas y navegación”, enfocada a atacar empresas de telecomunicaciones y proveedores de Internet. Él es Regin, un troyano que, según recientes conocimientos de la firma de seguridad Symantec, estarí­a trabajando desde 2008 (algunos afirman que desde 2006) a lo largo y ancho del mundo (ver gráfica de Symantec), en particular, en territorios de Rusia y Arabia Saudita -de paso, hasta México-. Por supuesto, su complejidad indica una alta probabilidad de ser perpetrado con el apoyo de algún estado, por ejemplo, el Estadounidense, el Israelí­ o el Chino.

Su enfoque estarí­a ligado al espionaje, por transitividad, de pequeños negocios y otros clientes de dichas empresas de telecomunicaciones y servicios de Internet. Eso en su mayorí­a pues en Symantec mencionan haberle encontrado hasta en hospitales, aeropuertos y entidades de investigación. Claro, como comentan en The Verge, esto nada tiene que ver con robo de información financiera aunque su nivel de infección podrí­a estar relacionado con métodos similares de fraude como el de sitios web falsos que como clones de sitios reconocidos podrí­an hacer posible el aterrizaje en las máquinas de los usuarios. No, la idea es el espionaje a escala mundial así­ como Stuxnet lo intentó en su momento (2011).

Más detalles de Regin: Se habla de su alta personalización incluso para valerse de las funcionalidades de las que previamente enunciamos que podrí­a controlar en cada máquina, y utilizarlas para correr piezas de software más especializadas que lograran atentar contra infraestructura energética y otras ví­ctimas con altos requerimientos tecnológicos. En fin, a grabarse el nombre y a mantenerse alerta pues seguramente Regin seguirá dando de qué hablar en las semanas venideras.

Más información: Symantec

Microsoft se apodera de 22 servicios de DNS dinámicos dejando sin servicio a millones de usuarios

Al parecer, en las últimas horas Microsoft se ha hecho con el control de veintidós servicios de DNS dinámicos. Un servicio de DNS dinámico es aquel que permite al usuario acceder mediante un nombre de dominio a un servidor que opera bajo una IP dinámica, permitiendo, gracias a ello, que el ordenador sea localizable en Internet si conocemos este nombre de dominio, en lugar de tener que utilizar una IP distinta para acceder cada vez que la conexión sea reiniciada. Es un servicio muy utilizado por usuarios que quieren acceder a sus ordenadores desde fuera de casa o en la creación de servidores de aficionados a los videojuegos online.

Después de que Microsoft se haya hecho con el control de estos servicios, millones de usuarios se habrí­an visto afectados, ya que se han quedado sin servicio en las últimas horas. Sitios web como noip.com, que ofrecen este tipo de servicios, alertan de la situación a los usuarios como podemos ver en la imagen superior. En Microsoft se han apresurado a dar explicaciones, asegurando que se trata de una campaña para proteger la seguridad de los usuarios en Internet, afirmando que en los últimos dí­as habí­an detectado una gran cantidad de ataques que conseguí­an infectar con hasta 245 tipos diferentes de malware los equipos con Windows. Afirman haber alertado de ello hace unos dí­as, pero no obtuvieron respuesta alguna. Al parecer, a falta de actuación por parte de estos servicios ha obligado a Microsoft a tomarse la justicia por su cuenta. Por el momento, se desconoce cuando serán restablecidos estos servicios.

Nuevo malware para Android bloquea tu teléfono y exige un rescate

Una nueva nueva amenaza se cierne sobre los propietarios de dispositivos móviles con Android instalado. En esta ocasión, se trata de un tipo de malware que se encarga de bloquear el acceso a tus datos personales para posteriormente, exigir el pago de un rescate si quieres recuperar su control.

Para ello, tal y como han informado desde la compañí­a de seguridad informática ESET, ‘Simplocker Android’ (nombre que recibe el malware) escanea la tarjeta SD de la ví­ctima con el fin de localizar ciertos ficheros, como imágenes, documentos PDF, música y otro tipo de archivos, para justo después bloquear el acceso a todo el contenido de la tarjeta haciendo uso de encriptación AES. Según la ESET, se trata del primer malware para móviles conocido que impida el acceso a los datos de los teléfonos móviles con Android instalado para posteriormente exigir el pago de un rescate. Si estáis al tanto acerca de las noticias sobre seguridad y virus informáticos, esta táctica es sufrida de forma más habitual por usuarios de PC, aunque en esos casos la cantidad exigida suele ser bastante elevada. En este caso, los creadores del virus reclaman el pago de 260 grivnas ucranianas, que vienen a ser alrededor de 16 euros. Tan pronto hayamos completado el pago, supuestamente se nos devolverí­a el control de nuestro teléfono. La peligrosidad que entraña este tipo de malware es elevada, ya que no solo nos impide acceder a nuestros datos, sino que también enví­a información privada del teléfono como el número de IMEI a los hackers. El malware, al estar basado en la red TOR, complica enormemente la localización de los creadores del ‘Simplocker Android’.

Por el momento no deberí­amos preocuparnos en exceso, ya que aún no se ha extendido más allá de la región ucraniana. Aún así­, siempre es bueno estar informado por si en algún momento se extendiese a otras Play Stores. Por supuesto, en caso de recibir el virus, bajo ningún concepto hemos de pagar la cantidad solicita, por pequeña que sea, ya que lo único que esto harí­a es motivar a otros hackers a copiar la técnica con el único fin de ganar dinero, lo que extenderí­a este tipo de amenazas.

Oldboot.B, la nueva pesadilla en el mundo android

androidAndroid sigue siendo el objetivo de aquéllos que aprovechan el hecho de ser una plataforma mucho más abierta y flexible que la competencia. Un nuevo informe en The Hacker News muestra los detalles de un nuevo malware, una mejora del Oldboot.A que nace como la mayor amenaza para este sistema operativo hasta la fecha (de hecho se cree que ya ha infectado a millones de dispositivos).

Comentan que está diseñado para volver a infectar a los dispositivos móviles incluso después de haber sido limpiado a fondo. El programa reside en la memoria de los dispositivos infectados y modifica la partición de arranque de dispositivos, por lo que extrae el programa malicioso durante la fase inicial de arranque del sistema.

La familia oldboot es muy resistente a ser detectado por antivirus tradicionales, suele pasar invisible por las herramientas de análisis automático, instalando aplicaciones maliciosas de forma silenciosa e inyectando módulos peligrosos en el sistema, desactivando el software Antivirus en muchos casos.

Comentan en bgr.com que la empresa 360 Mobile Security (360safe.com) ya está trabajando en una herramienta gratuita para eliminarlo. De momento solo se sabe que es capaz de enviar mensajes SMS falsos, abrir páginas web para robar datos de acceso a aplicaciones (phishing) y seguramente otras actividades, aunque de momento se sabe poco sobre los sí­ntomas.

Lo único que podemos hacer de momento es evitar la instalación de aplicaciones de cualquier otro lugar que no sea Google, y aún así­ desconfiar de los que no tienen un desarrollador que pueda encontrarse fácilmente en Internet (empresas de desarrollo de aplicaciones que no tengan un sitio web desde el cual puedan ser contactados, o que pueda ser rastreado su prestigio).

Imagen de android en shutterstock.com

Millones de terminales Android podrí­an estar afectados por malware de minerí­a de criptomonedas

AndroidLos dispositivos móviles inteligentes no están exentos de aplicaciones maliciosas, de forma que los usuarios deberemos de tomar una serie de medidas para evitar ser afectados por las mismas. Aún así­, cabe la posibilidad de que en un momento dado podamos ser afectados por algunas de ellas. En este sentido, según publica The Guardian, hasta diez millones de teléfonos móviles inteligentes bajo el sistema Android han podido ser infectados por aplicaciones descargadas desde Google Play que incorporan un software «hash», de manera que dichos terminales están realizando minerí­a de criptomonedas sin que sus propietarios sean conscientes de ello, eso a pesar del consumo de recursos que supone, notándose sobre todo en la duración de las baterí­as.

Los investigadores de la empresa de seguridad Trend Micro creen haber encontrado al menos dos aplicaciones disponibles en Google Play que cuentan con código que une a los terminales móviles a la minerí­a de criptomonedas: Song y Prized, aunque fuera de Google play, las variables de Football Manager Handheld y TuneIn Radio también están infectadas, aunque sus versiones oficiales en Google Play parecen estar limpias de dicho código.

Respecto a las dos primeras, cada una de ellas han tenido de un millón a cinco millones de descargas, de manera que Trend Micro calcula que hasta 10 millones de dispositivos móviles pueden estar afectados en estos momentos. Critica además el lenguaje y la terminologí­a empleada en los términos y condiciones, en las cuales parece que se incluye una solicitud para la ejecución del software de minerí­a de datos.

La firma de seguridad G Data Internacional indicaba en un informe del pasado mes de febrero los detalles del malware ANDROIDOS_KAGECOIN.HBTB, que utiliza la capacidad de procesamiento de los terminales para la minerí­a de criptomonedas, tanto de Bitcoin como Dogecoin y Litecoin, sin el conocimiento de los propietarios. Dicho malware funciona mediante la inyección de código de minerí­a de criptomonedas en aplicaciones existentes a través de nuevas variantes de las mismas. El malware se inicia como servicio en segundo plano cada vez que cada terminal está conectado a Internet, conectando a un dominio dinámico que a su vez se redirige a un pool anónimo de minerí­a de Dogecoin.

Los usuarios que hayan sido infectados notarán como sus baterí­as se agotan rápidamente, aunque no son conscientes de estar expuestos ante tal infección o infecciones similares, según indica la empresa de investigación Canalys.

7 consejos para evitar los programas maliciosos para dispositivos móviles #MWC14

Vanja Svajcer, investigador jefe de SophosLabs, ha presentado en este Mobile World Congress 2014 un informe sobre programas maliciosos -o malware- en dispositivos móviles. Las cifras de crecimiento son escalofriantes, como podéis ver en el siguiente gráfico:

Crecimiento de malware en dispositivos móviles

Dado que la cuota de mercado de Android en 2013 era, según este estudio, del 79%, parece lógico que los creadores de este tipo de programas se centren en estos usuarios. Algo muy parecido a lo que pasa con los entornos Windows y MacOS. Sin embargo, advierten, esto no significa que los usuarios de la manzana no estén en riesgo por este tipo de ataques.

10 principales familias de programas maliciosos para Android descubiertas

Por suerte, nos ofrecen 7 consejos para evitar los programas maliciosos para dispositivos móviles:

1. Ser consciente de los riesgos.

Saber que el riesgo existe parece obvio, pero el sentido común es nuestro mejor aliado para evitar este tipo de infecciones.

2. Vigilar la seguridad de las redes inalámbricas a las que accedemos

Especialmente, las redes WiFi públicas. Intentar evitar también redes de encriptación débil (WEP).

3. Tener más precaución si el dispositivo está liberado (jailbroken)

Esto es así­ porque significa que se han eliminado las restricciones de seguridad impuestas por el sistema operativo.

4. Tener siempre actualizado el Sistema Operativo

En la medida de lo posible, porque es cierto que algunos fabricantes no ofrecen las últimas actualizaciones de Android en todos sus dispositivos, especialmente los más antiguos.

5. Cifrar los dispositivos

Empezando por establecer un código PIN que sea necesario para poder desbloquear el teléfono, así­ como cifrar los datos más sensibles que tengamos almacenados.

6. Instalar aplicaciones únicamente de fuentes seguras

Las aplicaciones alojadas en el App Store de Apple, o en Google Play, tienen muchas menos probabilidades de contener malware por los controles que han tenido que pasar para poder subirlas a dichos markets.

7. Instalar programas antimalware en los dispositivos

Consejo especialmente destinado a usuarios de Android, por ser los que se enfrentan a riesgos de infección más altos.

El FBI quiere comprar Malware

Desde mashable han publicado un documento en el que se muestra como el FBI está buscando Malware para poder trabajar en algunos de sus casos, documento que puede encontrarse aquí­.

La solicitación se ha publicado esta semana en la base de datos de contratación del gobierno de Estados Unidos, donde deja claro que la Unidad de Análisis de Investigación del FBI de la División de Tecnologí­a Operacional, necesitan programas maliciosos para «analizar evidencias digitales».

[…] este malware permite ofrecer inteligencia procesable para el investigador, tanto en materia penal como en inteligencia.

malware

Lo que no está claro es si únicamente necesitan programas que espí­en las comunicaciones de un sospechoso o si necesitan entender la naturaleza de los programas maliciosos para poder rastrear a su autor.

También en mashable comentan que desde 1996 el FBI ha utilizado el sistema de Infragard, usado para compartir información con expertos en tecnologí­a de información locales y académicos especializados en el tema.

Por lo que entiendo después de leer el documento, parece que únicamente quieren tener la mayor colección de archivos maliciosos posible, seguramente para entender su funcionamiento, algo clave para poder defenderse de posibles futuros ataques.

Google lanza Chrome 32, aviso de pestañas con sonido, sistema antimalware y versión para Windows 8

Chrome

Algunas de las nuevas caracterí­sticas que se han ido incorporando en las versiones de desarrollo de Chrome en los últimos tiempos ahora las tenemos disponibles en la nueva versión estable que Google acaba de lanzar. Se trata de la versión estable 32 y ya está disponible para los sistemas Windows, Linux y Mac.

La primera de las nuevas caracterí­sticas nos puede llamar mucho la atención, literalmente, ya que a partir de ahora contaremos con una serie de indicadores en las propias pestañas que nos dirán cuáles de ellas están emitiendo sonido, están usando nuestra cámara web, o incluso se están reproduciendo en nuestros propios televisores. A partir de ahora dejaremos de volvernos locos para encontrar aquella pestaña cuyo contenido tiene algún elemento emitiendo sonido, ya pueda ser una banner publicitario, un widget o un ví­deo, entre otros.

Pasando a la segunda nueva caracterí­stica, ésta es sólo para los usuarios de Windows 8, ya que adopta una nueva interfaz cuando el sistema está en modo Modern UI, aunque Google hace referencia a este modo aún como modo metro dentro su lista de mejoras.

La tercera caracterí­stica va encaminada a reforzar la seguridad en nuestros equipos a la hora de acceder a los contenidos web, ya que nos evitará la descarga de archivos que se consideren malware, aunque siempre tenemos la opción de saltarnos la advertencia y proceder a la descarga. Lo que ocurra después ya es asunto nuestro, por parte de Google ya andamos advertidos de antemano.

Además de estas tres nuevas caracterí­sticas, se incluye además nuevas APIs para las aplicaciones y extensiones, y como no podí­a ser de otra manera, se han realizado una serie de mejoras enfocadas en la estabilidad y rendimiento. También se actualiza la versión de Flash a la versión 12.0.0.41, a ver si ya nos deja de dar problemas.

Toda la información de las mejoras e implementaciones llevas a cabo están disponibles en el propio anuncio en Chrome Releases.

Yahoo confirma que sus anuncios distribuyeron malware en Europa

Desde Yahoo! han confirmado que hubo una invasión en su plataforma de anuncios durante la semana pasada, acción que resultó en la distribución de malware en sus diferentes sitios web, infectando aproximadamente 27.000 usuarios por hora en varios paí­ses de Europa, principalmente en Francia, Rumaní­a y el Reino Unido.

Leemos en ibtimes.co.uk:

Yahoo ha confirmado la distribución de malware a través de los anuncios publicados en sus sitios web durante el dí­a 3 de enero, problema que solo afectó a usuarios de sus webs europeas que usaban Windows como sistema operativo.

paí­ses afectadosUsuarios de dispositivos móviles, Mac o Linux no han sido afectados, aunque, como podéis ver en la imagen lateral, publicada por el sitio web especializado en seguridad Fox-it.com, pocos paí­ses de Europa se han salvado del ataque.

Aunque Yahoo! actuó rápidamente para solucionar el problema, no pudo evitar que decenas de miles de personas fueran engañadas a través de sus anuncios. La mayorí­a de los anuncios encaminaban a los usuarios a subdominios aleatorios en los que podí­an instalar malware de todo tipo: ZeuS, Andromeda, Dorkbot/Ngrbot, Tinba/Zusy, etc.

Los 27.000 afectados por hora son calculados gracias a una estimativa del tráfico que recibieron los sitios que distribuí­an malware, un tráfico que llegó a 300.000 usuarios por hora.

Mal comenzó el año para un Yahoo! que ha conseguido modernizar bastante su imagen durante 2013.

HerdProtect, para escanear tu PC con 68 herramientas anti-malware

herdprotect

Cada vez hay que ir con más cuidado cuando se trata de gestionar temas de seguridad, malware y virus, y por ello contamos con diversas opciones para controlar cualquier situación que pueda estar relacionada con una amenaza de este tipo.

Herramientas que nos ayudan a estar preparados ante ciertos compromisos de seguridad son antivirus online como el Votiro que reseñamos hace poco, así­ como decenas de opciones antivirus con las que podemos contar para brindar una buena protección a nuestro ordenador.

Otra opción que nos permitirá utilizar las funciones de escaneo de 68 programas anti-malware a la vez es HerdProtect, un sistema de escaneo que sabe que ningún programa de anti-malware es perfecto al 100% y que ofrece una mejor solución garantizando una amplia cobertura por parte de diversos motores funcionando a la vez. HerdProtect monitorizará todos los procesos, módulos y software y los escaneará con las 68 herramientas, realizando este proceso de escaneo en la nube para que éste no afecte al PC del usuario.

Tras acabar el escaneo, realizado las comunicaciones entre HerdProtect y el PC con datos encriptados, se informará al usuario con los resultados y así­ pues el usuario podrá tomar las acciones apropiadas para eliminar la amenaza. Actualmente tenemos disponible la versión beta de forma gratuita, descargable aquí­, disponible para Windows Vista, Windows 7, Windows 8 y Windows XP.