Tag Archive: Kaspersky


careto

El malware cada vez es más y más sofisticado. Hemos visto ejemplos como Flame o Stuxnet salir a la luz después de llevar varios años en la sombra. Kaspersky Labs ha añadido hoy una pieza más a esa lista: The Mask o Careto.

Los investigadores se encontraron, prácticamente de casualidad, con un malware que se aprovechaba de una vulnerabilidad en productos Kaspersky para hacerse invisible en el sistema. El hecho de que no se conociese ningún otro malware que la estuviese usando despertó su curiosidad y se empezó a investigar de dónde venía ese exploit.

El equipo de investigación de Kaspersky se ha encontrado con un malware muy complejo, que explota varias vulnerabilidades 0-day, con versiones para varios sistemas operativos y que ha estado funcionando desde 2007 (como mínimo).

Careto se propagaba a través de mensajes de correo electrónico. Las URL’s parecían familiares. Es más, muchas de estas URL’s simulaban ser enlaces a páginas de diarios españoles (un ejemplo: politica.elpais.linkconf . net), pero en realidad dirigían a servidores que lanzaban ataques contra el visitante según su navegador y sistema operativo. Los investigadores han encontrado exploits para Java, Flash, y plugins para Chrome y Firefox en cualquier SO (Windows, Mac o Linux).

Una vez que el exploit accedía al sistema, descargaba dos paquetes de software: Careto y SGH. Careto funciona con permisos de usuario, mientras que SGH, un rootkit, se ejecuta en el núcleo del sistema. Para no levantar sospechas, ambos estaban firmados con un certificado de una compañía falsa.

Ya instalados en el sistema, Careto y SGH obtenían datos sensibles del ordenador: claves de cifrado, configuraciones de VPN y escritorio remoto, claves SSH… También se comunicaban usando HTTPS con los servidores C&C (Command and Control), de los que recibían órdenes y a los que transmitían resultados. Además, revisando los registros de esos servidores, Kaspersky Labs ha encontrado pruebas de que Careto también podría tener versiones para Android e iOS.

> ¿Quién esta detrás de careto?

En estos casos la autoría no se puede determinar fácilmente. Sin embargo, teniendo en cuenta la sofisticación del malware y los objetivos (instituciones, embajadas, compañías energéticas y activistas principalmente), lo más probable es que Careto haya sido creado por un Estado y no por unos hackers independientes.

Pero hay más. Lo primero es que en los ejecutables hay varias cadenas en español, incluyendo la muy reveladora clave de cifrado Caguen1aMar. La lista de dominios de phishing usados en los correos electrónicos contiene principalmente diarios españoles. Además, la mayoría de las víctimas tienen IP de España, de países hispanohablantes, de Francia o de Marruecos. También es llamativa la presencia de Gibraltar. Bruce Schneier especula con que todo esto apunta a España como fuente del malware.

También podrían ser pistas falsas, por supuesto, en cuyo caso serían pistas falsas muy bien puestas.

En resumen, Careto es un malware muy inusual, y que según Kaspersky está por encima de Duqu, Gauss, RedOctober o Icefog en cuanto a sofisticación. Una muestra más de que la seguridad informática ya no es cosa de hackers encerrados en un sótano, sino de grupos enteros dedicados a la seguridad dirigidos por agencias estatales.

Fuente | Kaspersky

La política de actualizaciones automáticas llevada a cabo por la compañía en las últimas versiones de sus sistemas operativos están dando sus frutos.

Los productos de Microsoft ya no figuran en la lista de Kaspersky de los 10 más inseguros debido a sus vulnerabilidades. En la lista de Kaspersky, Oracle Java ocupa el primer y segundo lugar, con advertencias de “Altamente crítico” y “Extremadamente crítico” respectivamente. Encontramos después a Adobe Flash en las posiciones tercera y cuarta. Otro producto de Adobe, Acrobat y su Reader, ocupa la quinta plaza.

La sexta y séptima posición están ocupadas por productos de Apple, QuickTime y iTunes, con vulnerabilidades calificadas como altamente críticas. La octava posición está ocupada por Winamp. Cierran la lista productos de Adobe nuevamente: Adobe Shockwave Player y el reproductor de Adobe Flash.

Hace unos años Microsoft habría terminado la lista, pero a partir del lanzamiento de Windows Vista, la compañía cambió su política con las actualizaciones automáticas. Windows 7 se basa en eso y en Windows 8 se ha dado un paso más. También es cierto que la compañía de seguridad VUPEN ha encontrado la primera vulnerabilidad 0-day en Windows 8 e Internet Explorer 10.

Destacar del informe de Kaspersky que el 28% de ataques a dispositivos móviles fueron dirigidos contra Android 2.3.6. En el tercer trimestre del año, el 56% de exploits aprovecharon vulnerabilidades de Java y, atentos: 91,9 millones de URL’s sirven código maligno, con un incremento del 3% respecto del segundo trimestre.

Viendo estas cifras, dan ganas de no tener Java en el equipo, salvo que sea absolutamente imprescindible. Ya que no se puede evitar que haya por ahí personajes empeñados en amargar la vida del usuario, es muy importante disponer siempre del software más actualizado.

Vía | TNW

“Creo que hoy en día es completamente imprudente ofrecer este tipo de servicio sin una autenticación de dos factores, pues de lo contrario el servicio se hace propenso a técnicas básicas de robo de datos”

Costin G. Raiu, director del equipo de investigación y análisis global (GReAT) de la compañía de seguridad informática Kaspersky Lab, expresó sus dudas sobre el recién lanzado servicio iCloud de Apple en términos de seguridad y privacidad. “Creo que hoy en día es completamente imprudente ofrecer este tipo de servicio”, aseguró Raiu en un comunicado difundido por la empresa.

A continuación lea el comunicado completo redactado por el mismo Raiu:

“Tras el lanzamiento de iCloud para desarrolladores por parte de Apple, la batalla para dominar el mercado de los sistemas operativos centrados en la nube finalmente ha estallado. Por supuesto, el verdadero punto clave en esto es el iOS5, el nuevo sistema operativo de Apple que aprovechará al máximo el uso de la nube. Esto indica que Apple se mueve en la misma dirección que Google y Microsoft al diseñar y planear la implementación de un sistema operativo que esté completamente integrado con la nube. Es más, la declaración de Steve Jobs sobre el interés de Apple en crear un sistema operativo que no dependa del sistema de almacenamiento local de archivos reafirma esta conclusión.

¿Y qué significa esto desde el punto de vista de la seguridad? Básicamente estamos hablando de la misma clase de riesgos inherentes a ChromeOS (el sistema operativo de Google). Todo su contenido digital podrá ser accesible a aquel que conozca su contraseña. Creo que hoy en día es completamente imprudente ofrecer este tipo de servicio sin una autenticación de dos factores, pues de lo contrario el servicio se hace propenso a técnicas básicas de robo de datos.

Por supuesto, aunque la seguridad de hecho sea mejorada con métodos de autenticación multifactoriales, no cambia el hecho de que toda la información está disponible en la nube, en un solo lugar. Justamente como lo acaba de aprender Sony recientemente, la nube no siempre es impenetrable. Al contrario, su naturaleza fundamental la hace un blanco interesante para los cibercriminales, y sin duda seguirán enfocados en vulnerarla.

En el caso hipotético de que tanto la nube como el dispositivo del cliente fueran 99.99% seguros, todavía existe otro punto vulnerable: la red que comunicará, enviará, recibirá y autenticará a los clientes. Desde este punto de vista, podríamos enfrentarnos a un nuevo brote de ataques en la capa de la red, en donde la información del usuario puede ser interceptada, falsificada, denegada o distorsionada. Por lo tanto, podremos ser testigos de nuevos y más sofisticados ataques en este ámbito”.

Fuente

A %d blogueros les gusta esto: