Hace unos días, tanto el SANS como distintas casas antivirus advertían de un comportamiento más que curioso en la vieja conocida familia de malware DNSChanger. Esta ha evolucionado sustancialmente: Comenzó con el cambio local de la configuración de servidores DNS en el sistema (para conducir a la víctima a los servidores que el atacante quiera). Ha llegado hasta el punto de instalar una especie de servidor DHCP e infectar así a toda una red interna. Los servidores DNS que instala el malware suelen estar en la red conocida como UkrTeleGroup.

La familia DNSChanger

Una característica interesante de DNSChanger es que es una de las familias que más han atacado a sistemas Mac, además de a Windows. Entre otras muchas formas de toparse con ellos, se suelen encontrar en servidores eMule, camuflados bajo la apariencia de otros programas.

Es una familia conocida desde hace unos tres años. Se caracterizan por modificar los servidores DNS de la víctima a la que infectan. De esta forma, la asociación IP-Dominio queda bajo el control del atacante, de manera que la víctima irá a la IP que el atacante haya configurado en su servidor DNS particular. Normalmente, se confía en los DNS de los ISP, pero si se configura cualquier otro, realmente la resolución queda a merced de su administrador, cualesquiera que sean sus intenciones.

DNSChanger comenzó modificando la configuración del sistema en local, de forma que cambiaba los servidores DNS del ISP de la víctima por otros controlados por el atacante. Después, el malware evolucionó hacia la modificación del router ADSL de la víctima. Buscaba la “puerta de enlace” del sistema, que suele corresponderse con el router, y realizaba peticiones o aprovechaba vulnerabilidades de routers conocidos para modificar estos valores. Así el usuario se veía afectado por el cambio pero de una forma mucho más compleja de detectar. Además, también se verían afectadas el resto de las máquinas que tomaran estos valores del propio router.

Dando un paso más allá

La última evolución observada implica la instalación en la víctima de un pequeño servidor DHCP. Este es el protocolo usado en las redes locales para que cuando un sistema se conecta a la red, el servidor lo reconozca y le proporcione de forma automática los valores necesarios para poder comunicarse (dirección, ip, puerta de enlace…). Habitualmente también proporciona los valores de los servidores DNS que haya establecido el administrador o el router.

El malware instala un driver que le permite manipular tráfico Ethernet a bajo nivel, o sea, fabricar paquetes de cualquier tipo. Con esta técnica simula ser un servidor DHCP. Cuando detecta preguntas de protocolo DHCP legítimas de algún sistema en la red, el malware responde con su propia configuración de DNS, de forma que el ordenador que acaba de enchufarse a la red local, quedaría configurado como el atacante quiere, y no como el administrador ha programado. El atacante confía en la suerte, pues el servidor DHCP legítimo de la red, si lo hubiese, también respondería. Quien llegue antes “gana”. Consiguen así infecciones “limpias”, pues es complicado saber quién originó el tráfico si éste no es almacenado y analizado. Además, con este método se pueden permitir realizar muchos otros ataques en red local con diferentes impactos.

¿Qué valores DNS introduce el malware?

DNSChanger es una familia que necesita de una importante infraestructura para que sea útil. Los servidores DNS (bajo el control de los atacantes) de los que se vale, los que modifica en el usuario, suelen estar alojados en la compañía ucraniana UkrTeleGroup, bajo el rango de red 85.255.x.y. Casi un 10% de todas las máquinas en ese rango de direcciones se corresponden con servidores DNS públicos que no contienen las asociaciones legítimas de domino y dirección IP. En ocasiones utilizan el servidor DNS para asociar dominios a la IP reservada 127.0.0.1, como es el caso del servidor de descargas de Microsoft download.microsoft.com. Con esto se consigue que la víctima no pueda actualizar el sistema operativo con parches de seguridad. Curiosamente, al parecer, las direcciones de actualización de Apple no están bloqueadas (a pesar de que suele afectar a este sistema operativo). También se bloquean un buen número de páginas de actualizaciones de casas antivirus.

Algunos de estos servidores DNS (ATENCIÓN: no configurarlos en el sistema bajo ningún concepto) son:

85.255.122.103, 85.255.113.114, 85.255.122.103, 85.255.112.112…

Sólo son necesarias algunas consultas “dig” (comando para averiguar qué direcciones están relacionadas con qué dominios en un servidor DNS) para comprobar qué dominios “interesan” o no a los atacantes.

Autor: Sergio de los Santos
Fuente: http://www.hispasec.com/unaaldia/3711

Más Información:

http://blog.segu-info.com.ar/2008/12/nuevo-troyano-secuestra-dns-en-masa.html

http://blog.segu-info.com.ar/2008/11/mac-os-x-bajo-ataque-van-dos-esta.html

Rogue DHCP servers
http://isc.sans.org/diary.php?storyid=5434
DNSChanger: One Infection, Lots Of Problems
http://www.avertlabs.com/research/blog/index.php/2008/12/16/dnschanger-one-infection-lots-of-problems/

Como comúnmente sucede, cada evento importante que se festeja o cada noticia que recorre los principales medios de información a nivel mundial, suele constituir una buena excusa para que los creadores y propagadores de malware distribuyan sus amenazas, ya que con esto maximizan sus ganancias económicas.

Muchos casos se han conocido a lo largo del año donde, a través de la Ingeniería Social, se busca engañar a los usuarios más desprevenidos para infectar sus computadoras tomando luego, posesión de ella.

En este aspecto, las fiestas navideñas y de fin de año son un evento especial para que este tipo de infecciones se multipliquen y el spam especial para esta época, ya se comenzó a propagar durante los primeros días de diciembre.

Sin embargo, existen procedimientos y buenas prácticas de prevención que ayudan a mitigar las altas tasas de propagación e infección de los códigos maliciosos actuales, por lo que es sumamente necesario actuar en consecuencia y estar lo más atentos posible para no ser víctimas de las estrategias de engaño utilizadas.

Más aún, en esta fecha del año, se deben extremar las medidas preventivas. Por ello, se exponen una serie de medidas de seguridad tendientes a potenciar la prevención contra potenciales infecciones durantes estas fiestas:

Mantener el equipo actualizado

Una de las malas prácticas muy habituales, es la falta de actualización con los parches de seguridad del sistema operativo y las aplicaciones instaladas en el mismo. Casos recientes como las infecciones provocadas por la familia de gusanos Win32/Gimmiv y Win32/Conficker ponen de manifiesto la importancia de mantener los equipos actualizados con los últimos parches y mucho del malware que aparecerá intentará aprovechar vulnerabilidades; en consecuencia, se debe:

• Actualizar el sistema operativo: muchos códigos maliciosos están diseñados para aprovechar alguna vulnerabilidad del sistema operativo, por lo tanto, se debe mantener el sistema actualizado.
• Actualizar las aplicaciones: verificar que las aplicaciones instaladas correspondan a la última versión. Generalmente, la versión de cada programa se puede verificar desde la opción “Acerca de…” o “About…” (en caso que la aplicación se encuentre en inglés).
• Configurar el sistema para actualizar: es posible chequear si existen actualizaciones disponibles de manera manual ingresando a la página de actualizaciones de Microsoft o configurando el sistema para que lleve a cabo esta tarea de manera automática desde Inicio -> Panel de control -> Actualizaciones automáticas.

Uso seguro del correo electrónico

El uso del correo electrónico, en conjunto con técnicas de engaño, es uno de los canales más usados para propagar malware y, en esta época, el malware a través de esta vía aumentará utilizando imágenes y asuntos alusivos a estas fiestas; por lo que, para estar protegidos se debe:

• Evitar hacer clic en enlaces y no descargar adjuntos: es recomendable no hacer clic sobre enlaces incrustados en el correo electrónico ni descargar los archivos adjuntos ya que esto puede derivar en el redireccionamiento hacia un sitio web malicioso, con contenido inmoral o en la descarga de un malware. Para verificar hacia dónde redirecciona un enlace, sólo basta con posicionar el cursor sobre el mismo y observar la URL en la barra de direcciones.
• No reenviar mensajes en cadena: debido a que aumentarán los mensajes en cadena haciendo referencia a las fiestas, es necesario que, si se desea reenviar mensajes de este tipo, las direcciones de correo queden ocultas insertándolas en el campo CCO (con copia oculta).
• Verificar la legitimidad de las postales virtuales: una alternativa altamente explotada por el malware son las tarjetas y postales virtuales. Al igual que los mensajes en cadena, esta estrategia también aumentará por lo que se debe verificar el enlace o, de ser posible, no acceder al mismo.

Navegación segura y con precaución

Navegar en Internet de manera segura suele ser el deseo de muchos usuarios; sin embargo, son muchas las estrategias de engaño que los creadores de malware emplean a través de sitios web para dificultar este fin. Por ello, es necesario:

• No acceder a sitios web de dudosa reputación: con motivo de las fiestas, es común que se ofrezcan promociones que pueden llegar a tentar a más de un usuario. Por lo tanto, es recomendable no acceder a sitios que no parezcan seguros.
• Descargar aplicaciones desde sitios web oficiales: si se desea descargar aplicaciones, debe hacerse desde las páginas oficiales, ya que existen muchos sitios que simulan ofrecer las aplicaciones deseadas, pero que en realidad descargan malware.
• No utilizar el sistema con permisos administrativos.
• Verificar la existencia de un certificado digital y protocolo seguro (https): es imprescindible chequear que el sitio web cuente con un certificado digital y con el protocolo seguro, en caso que el sitio web lo requiera necesario. Esta es una de las medidas para que, en caso de realizar transacciones en línea, un usuario no confíe sus datos personales a sitios falsos que luego puedan derivar en el robo de información. Para conocer más sobre este punto puede consultarse el curso gratuito de Transacciones Online en forma segura, disponible en la Plataforma Educativa de ESET.

Clientes de mensajería instantánea

Los clientes de mensajería instantánea constituyen otro de los medios favoritos para la propagación de malware y, durante navidad, muchos usuarios lo utilizarán para saludar a sus seres queridos. Por ello, al utilizar este medio se debe:

• Aceptar sólo a personas conocidas: una buena medida de prevención es aceptar sólo a las personas conocidas como contacto. De esta manera, habrá un mayor control sobre la información que se intercambia entre usuarios conocidos.
• No descargar ni ejecutar archivos: la propagación de malware a través de clientes de mensajería instantánea se ha masificado en los últimos años, por lo tanto, al igual que en el caso del correo electrónico, es aconsejable no descargar ni ejecutar archivos que lleguen por este medio.
• Configurar las opciones de seguridad: los clientes de mensajería suelen incorporar la posibilidad de configurar los aspectos de seguridad, con lo cual se debe personalizar este aspecto de la aplicación.

Aplicaciones de seguridad

Las herramientas de seguridad ayudan notablemente a la prevención de infecciones siendo altamente recomendable la implementación de alguna de ellas si se desea proteger el equipo de las amenazas antes mencionadas. Es por ello que una de las recomendaciones más importantes recae en ellas:

• Instalar programa antivirus: es fundamental confiar la seguridad antivirus a soluciones ampliamente reconocidas en el mercado, a través de tecnología heurística de última generación permite detectar malware conocido y desconocido.
• Nuevamente vale el consejo de no utilizar el sistema con permisos administrativos
• Instalar firewall personal: la implementación de un firewall personal como el integrado en ESET Smart Security -que además incluye protección antispam, muy necesario especialmente en estas fechas- ayuda a bloquear tráfico malicioso entrante y saliente.

Conclusión

Los creadores y propagadores de malware suelen estar atentos a fechas importantes depositando mucho esfuerzo en encontrar estrategias de engaño que permiten captar la atención de los usuarios y, sin lugar a dudas, las fiestas navideñas formarán parte de esa lista de excusas.

Debido a ello, es importante actuar con sentido común, estar atentos y mantenerse informados en cuanto a los vectores de ataque utilizando soluciones antivirus de última generación y ampliamente reconocidas en el ámbito de seguridad como las herramientas de ESET.

Fuentes:

http://www.psicofxp.com/forums/seguridad-informatica.47/873247-practicas-de-prevencion-malware-estas-fiestas.html

http://edu.eset-la.com/

http://www.eset-la.com/

Fue descubierto por investigadores de BitDefender. El software malicioso sustrae las contraseñas de sitios bancarios y comienza funcionar al abrir el navegador.

Especialistas en seguridad informática descubrieron la existencia de un malware dirigido exclusivamente a usuarios del navegador Firefox. El software malicioso, que fue detectado por investigadores de la compañía BitDefender, comienza a funcionar cuando el navegador es abierto para ser usado.

El malware, identificado como ‘Trojan.PWS.ChromeInject.A’, sustrae las contraseñas de páginas bancarias. Para esto utiliza JavaScript y así logra identificar más de cien sitios financieros y de transferencias de dinero. Al reconocer un sitio web recoge el nombre de registro y la contraseña, y envía esta información a un servidor ubicado en Rusia.

Según Viorel Canja, director del laboratorio BitDefender, el software malicioso puede infectar al equipo luego de ser descargado explotando una vulnerabilidad del navegador. Cuando comienza a funcionar se registra entre los archivos de Firefox bajo el nombre de ‘Greasemonkey’.

Fuente: http://www.noticiasdot.com/wp2/2008/12/07/detectan-un-malware-dirigido-a-usuarios-de-firefox/

Investigadores de Microsoft han descubierto un troyano identificado como Win32/Meredrop, en un paquete de software del fabricante chino que incorpora a sus computadoras con Windows XP.

Como de costumbre el troyano se utiliza para instalar y ejecutar código malicioso y controlar el ordenador infectado. Otras compañías de software de seguridad identifican el archivo como un “porn dialer”.

El malware se ha encontrado en un controlador firmado digitalmente para sistemas XP con SP2 que se utiliza en aplicaciones de seguridad como Lenovo Security Logon y Lenovo Trust Key.

No es la primera vez que los grandes fabricantes (sin desearlo) nos cuelan bichejos tanto en aplicaciones propias descargadas de las web oficiales, como en la entrega de equipos nuevos con software preinstalado.

Autor: Juan Ranchal
Fuente: http://www.theinquirer.es/2008/11/21/malware-en-el-software-de-lenovo.html
http://blogs.zdnet.com/security/?p=2203