El Centro de Protección contra Malware (MMPC), de Microsoft, ha descubierto un fragmento de código, de una amenaza que se propaga por las redes sociales, es un nuevo Bot llamado
Andrómeda, el cual es muy similar al Malware: ZeuS y SpyEye,
conocidos por su actividad y peligrosidad en todo el mundo.
Antes de continuar con el análisis de la noticia, conviene recordar que es un Bot y/o una BotNet, en seguridad informática.
¿Qué es un Bot?
Botnet es un término que hace referencia a un conjunto de robots informáticos o bots,
que se ejecutan de manera autónoma y automática. El artífice de la
botnet (llamado pastor) puede controlar todos los ordenadores/servidores
infectados de forma remota.
Método de Infección de Andromeda
Todo el proceso de infección comienza en redes sociales donde un
comentario, de apariencia inocente, oculta una página que insta al
usuario a dar "click" [Intervención del usuario] en otro enlace.
Una vez que se da click en el segundo enlace, la confiada víctima es dirigida a contenido malicioso que carga un iframe, el cual hace referencia a un servidor que aloja una variante del kit de exploits Blackhole.
Posteriormente, dicho servidor sondea el navegador en busca de vulnerabilidades hasta encontrar una forma de entrar. En el ejemplo proporcionado por MMPC, un plug-in obsoleto de Java permite que el ataque tenga lugar, dando al perpetrador acceso no autorizado al sistema mediante elevación de privilegios.
Una vez que se da click en el segundo enlace, la confiada víctima es dirigida a contenido malicioso que carga un iframe, el cual hace referencia a un servidor que aloja una variante del kit de exploits Blackhole.
Posteriormente, dicho servidor sondea el navegador en busca de vulnerabilidades hasta encontrar una forma de entrar. En el ejemplo proporcionado por MMPC, un plug-in obsoleto de Java permite que el ataque tenga lugar, dando al perpetrador acceso no autorizado al sistema mediante elevación de privilegios.
El resultado final es infectar al usuario con un gusano conocido como Worm:Win32/Gamarue.A, el cual se sospecha es parte de Andrómeda.
¿Cómo se propaga?
Gamarue.A es conocido por su fácil propagación de una computadora a
otra, en algunos casos, copiándose a sí mismo a dispositivos removibles o
de red.
Los archivos adjuntos en correos electrónicos, también son comunes para la propagación de este tipo de gusano, pero para infectar completamente un sistema, el atacante tiene que hacer un poco de ingeniería social.
Los archivos adjuntos en correos electrónicos, también son comunes para la propagación de este tipo de gusano, pero para infectar completamente un sistema, el atacante tiene que hacer un poco de ingeniería social.
¿Cómo nos protegemos?
Hace un mes, cuando fue vista por primera vez, no muchos proveedores de soluciones de seguridad detectaban la amenaza; ahora un antivirus actualizado debería mantenerle a salvo.
Este tipo de métodos de infección se basan en una técnica de ataque denominada "ingeniería social", es decir, necesita la intervención del usuario para continuar, en esta ocasión el "vector de ataque" elegido ha sido la plataforma facebook lo que permite al atacante muchas victimas potenciales.
Recordar, que para que tenga éxito este Malware necesita de la Intervención del Usuario.
No obstante, seguir nuestras recomendaciones para una defensa en profundidad:
- Mantener actualizado las aplicaciones Adobe Flash Player, Adobe Reader PDF, Java Plug-ins.
- Manterner actualizado al día el Antivirus.
- Manterner actualizado el Navegador Web (véase la ultima actualización de Google Chrome).
- Mantener actualizado el Sistema Operativo.
- Desconfiar de "comentarios" en facebook de gente desconocida, precausión y sentido común.
0 comentarios:
Publicar un comentario