Inicio Tecnología. El Troyano Buzus hace su aparición en las Fiestas Navideñas disfrazado de...

El Troyano Buzus hace su aparición en las Fiestas Navideñas disfrazado de E-Card

Fortinet, presentó su Reporte de Amenazas de Diciembre 2010, que identifica una preocupante evolución de las operaciones ciber-criminales para diversificar más efectivamente la distribución de sus ganancias fraudulentas.

“Durante diciembre vimos una amplia variedad de campañas de reclutamiento de “mulas de dinero” que – por primera vez – se enfocaron en países específicos de una forma orquestada,” comentó Derek Manky, gerente de proyectos, ciber-seguridad e investigación de amenazas de Fortinet.  “Las campañas, que fueron plantadas en varios países de Asía y Europa, solicitaban a personas locales que ya tienen o habían establecido relaciones con la industria bancaria o que estaban buscando trabajo como ‘administradores de ventas en línea’.”

Para hacer estas campañas “localizadas” aún más efectivas, incorporaron nombres de dominios que suenan regionales, tal como cv-eur.com, asia-sitezen.com y australia-resume.com.  Bajo un escrutinio más cercano, el equipo FortiGuard de Fortinet descubrió que los tres dominios estaban registrados al mismo contacto ruso, y todas las direcciones de contacto para reclutamiento global utilizaban el hosteo de mail de Google.  Al utilizar campañas localizadas, los criminales pueden obtener cuentas “mula” internacionalmente – cada una bajo diferentes bancos y leyes gubernamentales. Si una cuenta deja de estar en línea (debido a una mayor aplicación de leyes), las otras permanecerán en línea y el negocio seguirá como siempre.

El Troyano Buzus en E-Card
Diciembre también vio el re-surgimiento del Troyano Buzus, esta vez se distribuyó vía mails masivos disfrazados de e-cards, justo a tiempo para la temporada navideña.  Una vez que se abre el archivo anexo comprometido, el sistema ya infectado manda e-cards similares a todos los contactos en la libreta de direcciones de email del sistema en un esfuerzo por plantar el creciente botnet.  El equipo FortiGuard de Fortinet descubrió que la principal carga de Buzus era nada más y nada menos que el nefasto botnet Hiloti.

“Hiloti es particularmente innovador ya que utiliza DNS como canal de comunicación para esconder la información de su reporte en sus servidores,” continuó Manky.  “Esto se hace para evadir la detección ya que éste aparece como tráfico DNS normal y legítimo.  Hiloti, que se distribuye a través de muchos botnets diferentes, es una pieza de malware preferido por los ciber-criminales actualmente porque incorpora un programa afiliado “pago-por-instalación” en el que los distribuidores establecidos del botnet reciben un pago cada vez que Hiloti se inyecta en una nueva máquina.  Este tipo de programa de incentivos permite a los creadores de Hiloti crecer su base de infección más rápido que el tratar de crecerla orgánicamente.”

Vulnerabilidades Día-Cero de Adobe, Microsoft y Apple
En diciembre, FortiGuard Labs también dio a conocer tres vulnerabilidades de ejecución de código arbitrario en productos de Microsoft y Apple. . FGA-2010-65 describe una vulnerabilidad en MS Windows Kernel que puede permitir la ejecución en contextos privilegiados (Ring0). FGA-2010-64 es aún otra vulnerabilidad de inyección de DLL que afecta múltiples productos con sistema operativo Windows 7.  Y FGA-2010-62 delimita una vulnerabilidad de sobreflujo de números enteros en Apple Quick Time, que puede llevar a una infección potencial simplemente al ver un archivo de video QuickTime especialmente diseñado. 

Nuevas y viejas vulnerabilidades continuarán siendo explotadas, por lo que es muy importante mantener todos los parches de aplicaciones actualizados.  Adicionalmente, un sistema válido de prevención de intrusos (IPS por sus siglas en inglés) puede ayudar a mitigar los ataques contra las vulnerabilidades conocidas y día-cero.  Debido al creciente uso de puertos y protocolos de comunicación comunes, como el tráfico Web para diversos tipos de programas. El control de aplicaciones se está volviendo más importante para identificar actividad maliciosa a este nivel.

FortiGuard Labs compila estadísticas de amenazas y tendencias de diciembre con base en los datos recopilados de la red de appliances de seguridad FortiGate® y sistemas de inteligencia en producción a nivel mundial.  Los clientes que utilizan los Servicios de Suscripción FortiGuard de Fortinet deben ya estar protegidos contra estas vulnerabilidades contando con los parámetros de configuración apropiados.

Los Servicios de Suscripción FortiGuard ofrecen amplias soluciones de seguridad incluyendo antivirus, prevención de intrusos, Web content filtering y capacidades anti-spam.  Estos servicios permiten la protección contra amenazas tanto a nivel de aplicación como de red.  Los Servicios FortiGuard están actualizados por FortiGuard Labs, lo cual permite a Fortinet ofrecer una combinación de inteligencia de seguridad multi-nivel y protección día-cero para amenazas nuevas y emergentes.  Para clientes con suscripción a FortiGuard, estas actualizaciones se aplican a todos los productos FortiGate, FortiMail® y FortiClient®.

El reporte completo de Amenazas de diciembre que incluye los top rankings de amenazas en diferentes categorías está ya disponible en http://www.fortiguard.com/report/roundup_december_2010.html.