Informe de McAfee Labs identifica nuevos desarrollos de malware de banca móvil
El escenario de ciberamenazas frecuentemente combina algo viejo, algo nuevo, alguna equivocación, y algo referente a «usted». El tercer trimestre proporciona ejemplos de viejas amenazas que emplean ingeniería social, nuevo malware sin archivo que reemplaza a los rootkits, errores de codificación en aplicaciones móviles, y la explotación del eslabón más débil en cualquier ecosistema: usted, el usuario.
El documento Informe de Amenazas de McAfee Labs: Noviembre de 2015 dado a conocer hoy por Intel Security, complementa nuestra habitual evaluación trimestral de ciberamenazas con nuevos desarrollos que combinan cada uno de estos elementos:
- Los investigadores de McAfee Labs ilustran cómo las malas prácticas de codificación de aplicaciones móviles, incluyendo el no seguir la orientación de los proveedores de servicios de back-end, pueden provocar la exposición de datos del usuario en la nube. Este análisis también demuestra cómo los clientes de la banca móvil se han puesto en riesgo debido a este escenario.
- El informe investiga el malware de macros que emplea ingeniería social para ganar ventaja dentro de las empresas – un desarrollo que alimenta el resurgimiento del malware de macros, que disminuyó durante varios años y que acaba de llegar a su máximo en seis años durante los últimos meses. El malware de macros aumentó de menos de 10.000 nuevos ataques en el tercer trimestre de 2015, a casi 45.000 durante el pasado trimestre, mostrando un nivel que no habíamos observado desde 2009.
- Por último, el informe detalla cómo las nuevas capacidades de plataforma y la innovación de desarrollo de amenazas han creado una nueva clase de malware sin archivo, que triunfa sobre la detección de amenazas tradicional. Estos ataques sin archivo parecen estar tomando el lugar de los ataques de rootkit.
Por lo menos, el tercer trimestre de 2015 nos recordó que, si bien siempre debemos innovar para mantenernos por delante de la curva de la tecnología de las amenazas, nunca debemos descuidar las soluciones de sentido común, tales como las mejores prácticas para obtener codificación de aplicaciones seguras, y la capacitación de los usuarios para contrarrestar las tácticas siempre presentes como el phishing dirigido.
Prácticas de codificación de aplicaciones móviles de back-end
Un análisis de dos meses de casi 300.000 aplicaciones móviles realizado por McAfee Labs condujo al descubrimiento de dos troyanos de banca móvil responsables de aprovecharse de miles de cuentas de banca móvil a lo largo de Europa oriental. Conocidos en la industria como «Android/OpFake» y «Android/Marry», las dos cepas de malware fueron diseñadas para aprovechar las ventajas de la mala codificación de aplicaciones móviles conectadas a las de los a proveedores de servicios de back-end, que gestionan datos de aplicaciones.
Las aplicaciones móviles, a menudo dependen de los servicios back-end para el almacenamiento seguro de datos y las comunicaciones. Dicho esto, los desarrolladores de éstas, son responsables de la implementación y la configuración de la integración de sus aplicaciones móviles con los servicios de back-end. Los datos del usuario podrían estar expuestos si los desarrolladores de aplicaciones no siguen las guías de seguridad de los proveedores de back end- derivado de la creciente cantidad de negocios personales y profesionales realizados en la nube móvil.
McAfee Labs encontró evidencia que gracias a ambos troyanos, los ciberdelincuentes explotaron la codificación de back-end, abusaron de los privilegios de raíz para instalar sigilosamente código malicioso y habilitaron un esquema de mensajes SMS para robar números de tarjetas de crédito y ejecutar transacciones fraudulentas. Los dos troyanos de banca móvil interceptaron y expusieron 171.256 mensajes SMS de 13.842 clientes de banca, y ejecutaron remotamente comandos en 1.645 dispositivos móviles afectados.
Intel Security afirma que los desarrolladores deben prestar mayor atención a las mejores prácticas de codificación de back-end y a la guía de programación segura suministrada por sus proveedores de servicios. También recomendamos a los usuarios descargar sólo aplicaciones móviles de fuentes conocidas, y seguir las mejores prácticas de rooting para sus dispositivos.
El malware de macros lleva al phishing dirigido a su máximo en 6 años
McAfee Labs también registró un aumento de cuatro veces en la detección de macros durante el último año, llegando a la mayor tasa de crecimiento de la categoría desde 2009. Su retorno a un lugar destacado ha sido provocado por campañas de phishing dirigido, destinadas a engañar a los usuarios de las empresas para que abran documentos adjuntos de correo electrónico que contienen malware. Estos nuevos macros también exhiben una capacidad de permanecer ocultos, incluso después de haber descargado sus cargas maliciosas.
Las macros maliciosas eran la pesadilla de los usuarios en los 90s, pero disminuyeron después de que los proveedores de plataformas como Microsoft tomaron medidas para reprogramar las configuraciones predeterminadas, parando la ejecución automática de éstas.
Mientras que anteriormente las campañas de los macros se enfocaban en todos los usuarios, la nueva actividad de malware se enfoca principalmente en las grandes organizaciones acostumbradas a utilizarlas como programas fáciles de construir para satisfacer las necesidades repetitivas. Hoy, los correos electrónicos están diseñados socialmente para parecer legítimos bajo el contexto de los negocios de la organización, de modo que los usuarios de manera automática, sin pensar, habiliten la ejecución del macro.
Además de mejorar el conocimiento del usuario de phishing dirigido, Intel Security recomienda a las organizaciones ajustar las configuraciones de seguridad de macros en nivel «alto», y configurar los gateways de correo electrónico para filtrar específicamente archivos adjuntos que contengan macros.
Innovaciones de malware sin archivo
McAfee Labs registró 74.471 muestras de ataques sin archivo durante los tres primeros trimestres de 2015. Los tres tipos más comunes de malware sin archivo cargan su infección directamente en el espacio de memoria legítima de una función de plataforma, escondiéndose detrás de un API a nivel de kernel, o se esconden dentro del registro del sistema operativo.
La mayoría de las infecciones maliciosas dejan algún tipo de archivo en un sistema, que puede ser detectado, analizado y resguardado. Los ataques más recientes, como Kovter, Powelike y XswKit, han sido diseñados para aprovechar los servicios de plataforma de sistema operativo para entrar en la memoria sin dejar rastros en el disco.
Intel Security recomienda navegación y prácticas de correo electrónico seguras, junto con protección web y de correo electrónico para bloquear los vectores de ataque.
Estadísticas de Amenazas del Tercer Trimestre de 2015
- Actividad general de amenazas. La red Global Threat Intelligence (GTI) de McAfee Labs detectó un promedio de 327 nuevas amenazas cada minuto, o más de 5 cada segundo. La red también detectó lo siguiente:
En cada hora, las redes estuvieron expuestas a más de 3,5 millones de archivos infectados, además se detectaron más de 7,4 millones intentos de conexión a URL peligrosas (a través del correo electrónico, búsquedas en el navegador, etc.)
- Malware móvil. El número total de muestras de malware móvil creció un 16% del segundo trimestre al tercer trimestre y un 81% en relación al año pasado. El nuevo malware móvil ha ido a la alza durante cinco trimestres consecutivos, pero las infecciones no han mantenido el ritmo, probablemente debido a mejoras en las defensas de los sistemas operativos.
- Malware de MacOS. Los autores de malware han enfocado cada vez más su atención a la plataforma Mac. Se registró cuatro veces más malware de Mac OS en el tercer trimestre que en el segundo . La mayoría del aumento provino de una única amenaza.
- El número de muestras de ransomware creció un 18% del segundo trimestre al tercero . El número total de muestras de ransomware en el «zoológico» de malware de McAfee Labs creció un 155% con relación al año pasado.
- Disminución de rootkits. El nuevo malware rootkit disminuyó un 65%, el índice más bajo de la categoría desde 2008. Con la versión de 64 bits de Windows, Microsoft ejecuta la firma de controladores e incluye Patch Guard, que hace que el anzuelo de kernel sea mucho más difícil para los atacantes.
- Archivos binarios firmados maliciosos. Los nuevos archivos binarios firmados maliciosos han ido a la baja durante 3 trimestres.
- Actividad botnet. El botnet Kelihos recuperó el primer lugar de botnets que envían spam en el tercer trimestre. Las campañas de alimentación de botnet para falsificación de bienes de consumo y productos farmacéuticos falsos, habían estado algo latentes durante los dos trimestres anteriores.
Para obtener más información sobre estos temas y más estadísticas del panorama de las amenazas descubiertas para el tercer trimestre del año 2015, visite https://mcafee.app.box.com/s/fjg380nksl3ot69dy1eofviktt43g617 y obtenga el informe completo.