La controversia de 'Kraken' y la inteligencia de Nuwar
Por Angela Ruiz
[email protected]
Ha causado una gran controversia los recientes informes de
una gran botnet denominada 'Kraken'. Según investigadores de
Damballa, una compañía de seguridad dedicada a luchar contra
las redes de computadoras zombis, Kraken sería culpable de
infiltrar troyanos no detectados en los equipos de los
usuarios. El informe se basa en una vigilancia de varios
meses a las comunicaciones de esta red.
Damballa es reacia a proporcionar información acerca de sí
misma, porque afirma que eso debilitaría su capacidad para
garantizar la seguridad de sus clientes. La compañía
monitorea el tráfico de Internet, a fin de tratar de
distinguir las comunicaciones automáticas que identifican a
las botnets.
Su reciente investigación, afirma que han sido infiltrados
más de 400 mil sistemas, y que uno de cada diez de los
mismos, serían empresas que ocupan un lugar dentro de las 500
de mayor crecimiento.
Innumerables reportes de noticias afirman que el malware
detrás de la botnet, solo es detectado por una pequeña
cantidad de productos de seguridad. Otros indican que la
detección ha mejorado mucho desde que la red fue detectada
por Damballa y empezó a ser monitoreada (finales de 2007).
Historias similares de grandes redes de máquinas zombis, que
rivalizan con los ataques del gusano Storm (Nuwar para ESET),
también han sido reportadas recientemente, incluyendo 'Mega-
Dik (Mega-D)' y 'May Day', según Damballa, una de las mayores
fuentes del spam actual.
Tal como ocurrió con estos dos incidentes, el anuncio de
'Kraken', ha traído varios reportes de otros investigadores,
incluso de quienes afirman que el malware en cuestión es de
hecho muy bien conocido, y posiblemente integrante de la
familia de los 'Bobax', un gusano que se propaga como adjunto
en un mensaje de correo electrónico.
La confusión ha vuelto a resucitar el debate sobre los
nombres del malware, y también la complejidad de medir el
tamaño de una botnet. En este caso, los investigadores de
Damballa aparentemente secuestraron la comunicación utilizada
por los servidores de la red para lograr su informe, que
insumió casi 4 meses de trabajo.
Las exageraciones de la prensa, y los informes de algunos
vendedores de software de seguridad, no ayudan a dejar claro
cuan grave puede ser el tema.
Por ejemplo, el tamaño de la red que propaga el Storm o
Nuwar, se ha estimado desde decenas de miles de sistemas
hasta varios millones, con grandes fluctuaciones a través del
tiempo, y según la fuente de los datos. Entre tanto, otras
botnets como las que propagan amenazas como el Rbot, han
llegado a tener para los informantes, igual o mayor
penetración.
Muchos analistas han observado una marcada incoherencia entre
la atención que ha recibido de los medios el Nuwar y sus
verdaderas repercusiones, impulsado principalmente por su
alta fluidez, y oportunas técnicas de ingeniería social.
Por ejemplo, y como si se tratara a una respuesta a la
historia de la red Kraken, el Nuwar ha cambiado otra vez de
rumbo, enviando esta vez una ola de mensajes dirigidos a
nuevas víctimas, utilizando esta vez una táctica común en
otros malwares, la de hacerse pasar por un software de
decodificación de video (más conocido como 'códec').
Abandonando el tema del amor de sus mensajes anteriores, el
Nuwar está utilizando ahora un tema ya empleado por amenazas
como el Zlob, la descarga de falsos códecs que llevan a la
ejecución de programas maliciosos.
Su más reciente aparición, muestra un enlace que lleva a una
página web con un aviso de un códec necesario para leer un
formato de video. Si el usuario hace clic en el enlace, es
redirigido a un ejecutable llamado StormCodec.exe (detectado
como Nuwar.GG por ESET NOD32 Antivirus).
Es curioso que el archivo tome el nombre que la industria de
la seguridad le puso a esta amenaza (Storm Worm no es el
nombre que sus creadores le dieron al crearlo). Pero el nuevo
engaño, mantiene cosas del anterior esquema, como el título
"I love you" en la falsa página.
El rápido ritmo de los cambios en la ingeniería social del
Nuwar, es una prueba que sus controladores están muy atentos
a la ejecución de sus campañas. Cuando ven que un tema no es
eficiente, pueden cambiar rápidamente de estrategia.
Historias como las de la red Kraken pueden contener muchos
puntos que no quedan del todo claros cuando llegan a la
prensa no especializada, o son reproducidas por sitios que
solo buscan títulos sensacionalistas para vender más
publicidad. Pero Nuwar demuestra una vez más, que las formas
más sencillas para engañar a las víctimas e infectar sus
equipos, son siempre las más efectivas.
* Relacionados:
Mega-D, una botnet que genera un tercio de todo el spam
http://www.vsantivirus.com/15-02-08.htm
Identificados los autores del insidioso Nuwar
http://www.vsantivirus.com/02-02-08.htm
Nuwar con amor
http://www.eset.com.uy/eset/?subaction=showfull&id=1200583897&n=2
Spam con gusano que cambia cada 30 minutos
http://www.vsantivirus.com/21-08-07.htm
Nueva tormenta de spam con enlaces a troyanos
http://www.vsantivirus.com/29-06-07.htm
Nuevo Nuwar que ataca blogs
http://www.eset.com.uy/eset/?subaction=showfull&id=1199354775&n=2
Nuwar, de nuevo en navidad
http://www.eset.com.uy/eset/?subaction=showfull&id=1198712291&n=2
Fuente: http://www.vsantivirus.com/11-04-08.htm
[email protected]
Ha causado una gran controversia los recientes informes de
una gran botnet denominada 'Kraken'. Según investigadores de
Damballa, una compañía de seguridad dedicada a luchar contra
las redes de computadoras zombis, Kraken sería culpable de
infiltrar troyanos no detectados en los equipos de los
usuarios. El informe se basa en una vigilancia de varios
meses a las comunicaciones de esta red.
Damballa es reacia a proporcionar información acerca de sí
misma, porque afirma que eso debilitaría su capacidad para
garantizar la seguridad de sus clientes. La compañía
monitorea el tráfico de Internet, a fin de tratar de
distinguir las comunicaciones automáticas que identifican a
las botnets.
Su reciente investigación, afirma que han sido infiltrados
más de 400 mil sistemas, y que uno de cada diez de los
mismos, serían empresas que ocupan un lugar dentro de las 500
de mayor crecimiento.
Innumerables reportes de noticias afirman que el malware
detrás de la botnet, solo es detectado por una pequeña
cantidad de productos de seguridad. Otros indican que la
detección ha mejorado mucho desde que la red fue detectada
por Damballa y empezó a ser monitoreada (finales de 2007).
Historias similares de grandes redes de máquinas zombis, que
rivalizan con los ataques del gusano Storm (Nuwar para ESET),
también han sido reportadas recientemente, incluyendo 'Mega-
Dik (Mega-D)' y 'May Day', según Damballa, una de las mayores
fuentes del spam actual.
Tal como ocurrió con estos dos incidentes, el anuncio de
'Kraken', ha traído varios reportes de otros investigadores,
incluso de quienes afirman que el malware en cuestión es de
hecho muy bien conocido, y posiblemente integrante de la
familia de los 'Bobax', un gusano que se propaga como adjunto
en un mensaje de correo electrónico.
La confusión ha vuelto a resucitar el debate sobre los
nombres del malware, y también la complejidad de medir el
tamaño de una botnet. En este caso, los investigadores de
Damballa aparentemente secuestraron la comunicación utilizada
por los servidores de la red para lograr su informe, que
insumió casi 4 meses de trabajo.
Las exageraciones de la prensa, y los informes de algunos
vendedores de software de seguridad, no ayudan a dejar claro
cuan grave puede ser el tema.
Por ejemplo, el tamaño de la red que propaga el Storm o
Nuwar, se ha estimado desde decenas de miles de sistemas
hasta varios millones, con grandes fluctuaciones a través del
tiempo, y según la fuente de los datos. Entre tanto, otras
botnets como las que propagan amenazas como el Rbot, han
llegado a tener para los informantes, igual o mayor
penetración.
Muchos analistas han observado una marcada incoherencia entre
la atención que ha recibido de los medios el Nuwar y sus
verdaderas repercusiones, impulsado principalmente por su
alta fluidez, y oportunas técnicas de ingeniería social.
Por ejemplo, y como si se tratara a una respuesta a la
historia de la red Kraken, el Nuwar ha cambiado otra vez de
rumbo, enviando esta vez una ola de mensajes dirigidos a
nuevas víctimas, utilizando esta vez una táctica común en
otros malwares, la de hacerse pasar por un software de
decodificación de video (más conocido como 'códec').
Abandonando el tema del amor de sus mensajes anteriores, el
Nuwar está utilizando ahora un tema ya empleado por amenazas
como el Zlob, la descarga de falsos códecs que llevan a la
ejecución de programas maliciosos.
Su más reciente aparición, muestra un enlace que lleva a una
página web con un aviso de un códec necesario para leer un
formato de video. Si el usuario hace clic en el enlace, es
redirigido a un ejecutable llamado StormCodec.exe (detectado
como Nuwar.GG por ESET NOD32 Antivirus).
Es curioso que el archivo tome el nombre que la industria de
la seguridad le puso a esta amenaza (Storm Worm no es el
nombre que sus creadores le dieron al crearlo). Pero el nuevo
engaño, mantiene cosas del anterior esquema, como el título
"I love you" en la falsa página.
El rápido ritmo de los cambios en la ingeniería social del
Nuwar, es una prueba que sus controladores están muy atentos
a la ejecución de sus campañas. Cuando ven que un tema no es
eficiente, pueden cambiar rápidamente de estrategia.
Historias como las de la red Kraken pueden contener muchos
puntos que no quedan del todo claros cuando llegan a la
prensa no especializada, o son reproducidas por sitios que
solo buscan títulos sensacionalistas para vender más
publicidad. Pero Nuwar demuestra una vez más, que las formas
más sencillas para engañar a las víctimas e infectar sus
equipos, son siempre las más efectivas.
* Relacionados:
Mega-D, una botnet que genera un tercio de todo el spam
http://www.vsantivirus.com/15-02-08.htm
Identificados los autores del insidioso Nuwar
http://www.vsantivirus.com/02-02-08.htm
Nuwar con amor
http://www.eset.com.uy/eset/?subaction=showfull&id=1200583897&n=2
Spam con gusano que cambia cada 30 minutos
http://www.vsantivirus.com/21-08-07.htm
Nueva tormenta de spam con enlaces a troyanos
http://www.vsantivirus.com/29-06-07.htm
Nuevo Nuwar que ataca blogs
http://www.eset.com.uy/eset/?subaction=showfull&id=1199354775&n=2
Nuwar, de nuevo en navidad
http://www.eset.com.uy/eset/?subaction=showfull&id=1198712291&n=2
Fuente: http://www.vsantivirus.com/11-04-08.htm
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!