El domingo a la noche, por 88º vez, la Academia de las Artes y las Ciencias Cinematográficas de los Estados Unidos otorgó a algunos de los mejores actores, directores y películas de 2015 los premios más prestigiosos del cine: los Oscar. Pero este evento fue precedido por otra ceremonia, la entrega de los Premios Razzie (o Anti Oscar). En este caso, los organizadores premian exactamente todo lo contrario: las peores actuaciones en la gran pantalla.
Pero estas Frambuesas de Oro no se limitan al mundo del cine. Del mismo modo que el público tuvo que soportar películas malas, los usuarios informáticos han tenido que soportar las graves consecuencias de las creaciones maliciosas de los autores de malware. Por eso, examinamos con mayor detenimiento los códigos maliciosos que más perjudicaron la vida de sus víctimas, y les asignamos sus propias categorías.
Efectos visuales finales
A juzgar por los este aspecto, uno de los premios Razzie de malware iría a los atacantes que utilizaron la familia de malware BlackEnergy para atacar las empresas de energía eléctrica ucranianas. Los resultados de su actividad maliciosa se observaron durante la penúltima semana de 2015 en toda la región Ivano-Frankivsk, donde cientos de miles de viviendas fueron afectadas por los cortes de energía.
El escenario de ataque fue simple: un empleado de la empresa energética recibió un correo electrónico de phishing con un documento adjunto malicioso. El texto adjunto trataba de convencer a la víctima de que ejecutara una macro incorporada en el mensaje. Si lograba engañar a la víctima, terminaba infectada con BlackEnergy Lite.
Una vez activadas, las variantes de BlackEnergy Lite le permitían al operador del malware comprobar algunos criterios específicos con el fin de evaluar si la computadora infectada realmente pertenecía al objetivo deseado. En caso de que así fuera, se enviaba al sistema el dropper de una variante normal de BlackEnergy.
Para conocer más detalles sobre este ataque, lee las múltiples publicaciones de We Live Security.
Diseño de vestuario
Podríamos otorgar otra Frambuesa de Oro a una serie de troyanos clicker de sitios pornográficos, también conocidos como Android/Clicker, descubiertos recientemente por el investigador de ESET Lukáš Štefanko. ¿Y por qué premiarlos en esta categoría? Gracias a su capacidad para enmascararse y hacerse pasar por juegos populares, cambiar constantemente su disfraz y engañar a los usuarios para que instalen la aplicación en sus dispositivos desde la mismísima tienda oficial de Android, Google Play.
Después de la instalación, estos troyanos clicker generan clics falsos en anuncios publicitarios de sitios pornográficos para aumentarles los ingresos a sus operadores, robando a los anunciantes y dañando las plataformas de publicidad. Desde el punto de vista del usuario, generan una gran cantidad de tráfico de Internet, lo que puede afectar negativamente a los usuarios cuyos planes de datos son medidos.
“Hubo muchas campañas de malware que atacaron a Google Play, pero ninguna había durado tanto tiempo ni había alcanzado un número tan elevado de infiltraciones exitosas”, explica Lukáš Štefanko, investigador de malware de ESET. Junto con sus colegas, ya ha identificado 343 troyanos clicker de sitios pornográficos en Google Play en el transcurso de los últimos siete meses, cada uno de los cuales fue descargado, en promedio, 3.600 veces.
Peor guionista y director cambiario
Otro código malicioso que nos llamó la atención fue el troyano bancario Corkow, orientado a empresas. Podríamos decir que fue el peor guionista del año pasado, ya que alteró el tipo de cambio del rublo/dólar, que varió entre 55 y 66 RUB/USD, un rango mucho más amplio de lo habitual.
A pesar de que solo le causó a la víctima pérdidas económicas marginales, constituyó un ataque notable contra una plataforma comercial, y en realidad logró hacer una serie de pedidos por un valor de más de 200 millones de dólares (sumando las operaciones de compra y las de venta). Afortunadamente, el “guión” era tan malo que no se llegó a ejecutar en su totalidad.
“El ataque tuvo una duración de solo 14 minutos e inmediatamente después, el malware recibió un comando para eliminarse a sí mismo del sistema infectado y borrar todos los rastros de sus actividades”, explica Anton Cherepanov, un investigador de malware de ESET.
Peor jugador de cartas online
Para seguir con la metáfora de la Frambuesa de Oro, hay un tipo de malware que realmente se destacó debido a la forma en que opera. Win32/Spy.Odlanor, también conocido como Poker Cheater, se aseguró un lugar entre los nominados como el peor jugador de cartas online del año.
Sus actividades maliciosas estaban dirigidas específicamente a dos sitios de póquer muy populares: Full Tilt Poker y PokerStars.
En primer lugar, se metió en las computadoras de las víctimas como una infección por páginas web al descargar aplicaciones de uso más general (desde fuentes que no eran los sitios oficiales de descarga) o a través de programas relacionados con el póquer, como bases de datos de jugadores o calculadoras.
Tras lograr infectar un equipo, comenzaba a tomar capturas de pantalla de las ventanas de los clientes de póquer en la máquina objetivo y las enviaba al equipo remoto del atacante. Esto le daba al actor malicioso una ventaja, que no solo le permitía ver las cartas de su oponente, sino también el ID del jugador, que luego podía utilizar para realizar un seguimiento de la víctima y conectarse a las mismas mesas de juego. En sus versiones posteriores, Odlanor empeoró, ya que también robaba datos, como las contraseñas guardadas en varios navegadores web.
Fuente:https://www.welivesecurity.com/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
