El escenario de ciberamenazas frecuentemente combina algo viejo, algo nuevo, alguna equivocación, y algo referente a “usted”. El tercer trimestre proporciona ejemplos de viejas amenazas que emplean ingeniería social, nuevo malware sin archivo que reemplaza a los rootkits, errores de codificación en aplicaciones móviles, y la explotación del eslabón más débil en cualquier ecosistema: usted, el usuario.
El documento Informe de Amenazas de McAfee Labs: Noviembre de 2015 dado a conocer hoy por Intel Security, complementa nuestra habitual evaluación trimestral de ciberamenazas con nuevos desarrollos que combinan cada uno de estos elementos:
-Los investigadores de McAfee Labs ilustran cómo las malas prácticas de codificación de aplicaciones móviles, incluyendo el no seguir la orientación de los proveedores de servicios de back-end, pueden provocar la exposición de datos del usuario en la nube. Este análisis también demuestra cómo los clientes de la banca móvil se han puesto en riesgo debido a este escenario.
-El informe investiga el malware de macros que emplea ingeniería social para ganar ventaja dentro de las empresas - un desarrollo que alimenta el resurgimiento del malware de macros, que disminuyó durante varios años y que acaba de llegar a su máximo en seis años durante los últimos meses. El malware de macros aumentó de menos de 10.000 nuevos ataques en el tercer trimestre de 2015, a casi 45.000 durante el pasado trimestre, mostrando un nivel que no habíamos observado desde 2009.
-Por último, el informe detalla cómo las nuevas capacidades de plataforma y la innovación de desarrollo de amenazas han creado una nueva clase de malware sin archivo, que triunfa sobre la detección de amenazas tradicional. Estos ataques sin archivo parecen estar tomando el lugar de los ataques de rootkit.
Por lo menos, el tercer trimestre de 2015 nos recordó que, si bien siempre debemos innovar para mantenernos por delante de la curva de la tecnología de las amenazas, nunca debemos descuidar las soluciones de sentido común, tales como las mejores prácticas para obtener codificación de aplicaciones seguras, y la capacitación de los usuarios para contrarrestar las tácticas siempre presentes como el phishing dirigido.
Un análisis de dos meses de casi 300.000 aplicaciones móviles realizado por McAfee Labs condujo al descubrimiento de dos troyanos de banca móvil responsables de aprovecharse de miles de cuentas de banca móvil a lo largo de Europa oriental. Conocidos en la industria como "Android/OpFake" y “Android/Marry”, las dos cepas de malware fueron diseñadas para aprovechar las ventajas de la mala codificación de aplicaciones móviles conectadas a las de los a proveedores de servicios de back-end, que gestionan datos de aplicaciones.
Las aplicaciones móviles, a menudo dependen de los servicios back-end para el almacenamiento seguro de datos y las comunicaciones. Dicho esto, los desarrolladores de éstas, son responsables de la implementación y la configuración de la integración de sus aplicaciones móviles con los servicios de back-end. Los datos del usuario podrían estar expuestos si los desarrolladores de aplicaciones no siguen las guías de seguridad de los proveedores de back end- derivado de la creciente cantidad de negocios personales y profesionales realizados en la nube móvil.
McAfee Labs encontró evidencia que gracias a ambos troyanos, los ciberdelincuentes explotaron la codificación de back-end, abusaron de los privilegios de raíz para instalar sigilosamente código malicioso y habilitaron un esquema de mensajes SMS para robar números de tarjetas de crédito y ejecutar transacciones fraudulentas. Los dos troyanos de banca móvil interceptaron y expusieron 171.256 mensajes SMS de 13.842 clientes de banca, y ejecutaron remotamente comandos en 1.645 dispositivos móviles afectados.
Intel Security afirma que los desarrolladores deben prestar mayor atención a las mejores prácticas de codificación de back-end y a la guía de programación segura suministrada por sus proveedores de servicios. También recomendamos a los usuarios descargar sólo aplicaciones móviles de fuentes conocidas, y seguir las mejores prácticas de rooting para sus dispositivos.
McAfee Labs también registró un aumento de cuatro veces en la detección de macros durante el último año, llegando a la mayor tasa de crecimiento de la categoría desde 2009. Su retorno a un lugar destacado ha sido provocado por campañas de phishing dirigido, destinadas a engañar a los usuarios de las empresas para que abran documentos adjuntos de correo electrónico que contienen malware. Estos nuevos macros también exhiben una capacidad de permanecer ocultos, incluso después de haber descargado sus cargas maliciosa
Las macros maliciosas eran la pesadilla de los usuarios en los noventas, pero disminuyeron después de que los proveedores de plataformas como Microsoft tomaron medidas para reprogramar las configuraciones predeterminadas, parando la ejecución automática de éstas.
Mientras que anteriormente las campañas de los macros se enfocaban en todos los usuarios, la nueva actividad de malware se enfoca principalmente en las grandes organizaciones acostumbradas a utilizarlas como programas fáciles de construir para satisfacer las necesidades repetitivas. Hoy, los correos electrónicos están diseñados socialmente para parecer legítimos bajo el contexto de los negocios de la organización, de modo que los usuarios de manera automática, sin pensar, habiliten la ejecución del macro.
Además de mejorar el conocimiento del usuario de phishing dirigido, Intel Security recomienda a las organizaciones ajustar las configuraciones de seguridad de macros en nivel "alto", y configurar los gateways de correo electrónico para filtrar específicamente archivos adjuntos que contengan macros.
McAfee Labs registró 74.471 muestras de ataques sin archivo durante los tres primeros trimestres de 2015. Los tres tipos más comunes de malware sin archivo cargan su infección directamente en el espacio de memoria legítima de una función de plataforma, escondiéndose detrás de un API a nivel de kernel, o se esconden dentro del registro del sistema operativo.
La mayoría de las infecciones maliciosas dejan algún tipo de archivo en un sistema, que puede ser detectado, analizado y resguardado. Los ataques más recientes, como Kovter, Powelike y XswKit, han sido diseñados para aprovechar los servicios de plataforma de sistema operativo para entrar en la memoria sin dejar rastros en el disco.
Intel Security recomienda navegación y prácticas de correo electrónico seguras, junto con protección web y de correo electrónico para bloquear los vectores de ataque.
Mayor información en https://mcafee.app.box.com/s/fjg380nksl3ot69dy1eofviktt43g617
|
