El Guardián

Este mercado del malware es completamente online. En cientos de forosse compran y se venden todo tipo de creaciones y herramientas decrimeware. La mayoría de estas páginas han sido localizadas en lospaíses del Este europeo, pero las mafias extienden sus redes por todoel planeta.

Si un ciber-delincuente quiere comprar un troyano, tendrá que pagarentre 350 y 700$. Un troyano password-stealer (ladrón de contraseñas),por ejemplo, cuesta 600$, mientras que un troyano Limbo, que tienemenos funcionalidades, está en torno a los 500$, aunque se ha llegado avender por 350$. Ambos están diseñados para el robo de contraseñas deacceso a bancos online.

Si quisiera hacerse con un troyano que capture cuentas de servicios depago, como Webmoney, el ciber-delincuente debería desembolsar 500$,pero, a veces, incluso se hacen ofertas. Así, se han dado casos en losque a los 100 primeros que adquirieron este malware se les cobró sólo400$.

El siguiente paso del ciberdelincuente será dar con una serie dedirecciones de correo a las que enviar el troyano. Para ello, lebastará con visitar otra de las páginas de este mercado del malware. Enella se ofrecen listados de cuentas de correo de todos los tamaños.

Los precios oscilan entre los 100 dólares por el millón de direccionesy los 1.500 por 32 millones. Si, además, desea enviar links que dirijana una descarga de su troyano a usuarios de mensajería instantánea,puede comprar, por ejemplo, un millón de direcciones de ICQ por 150$.

¿Cuál es el siguiente paso? Asegurarse de que su código malicioso no lova a detectar ningún antivirus. Por una cantidad de entre uno y cincodólares por ejecutable a ocultar, puede alquilar un servicio queprotegerá su malware contra aquellas herramientas de seguridad queindique. Si el ciber-delincuente quiere hacerlo él mismo, puede hacersecon un software de cifrado polimórfico llamado Polaris por sólo 20dólares.

Llegado aquí, ya sólo le queda enviar los correos electrónicos paradistribuir el troyano. Para ello, puede alquilar un servidorexclusivamente para enviar spam. El precio está en torno a los 500$.Ahora, el ciber-delincuente sólo tendría que esperar a que la infeccióndiese resultados.

Para saber si el malware es rentable, basta con hacer unos sencilloscálculos. Si un troyano cuesta 500 dólares y una lista de correo de unmillón de direcciones unos 100 dólares, el gasto será de 600. Sólo coneste material, estará en disposición de infectar a un millón depersonas.

Se pueden sumar también a los gastos los 20 dólares que cuesta elprograma de cifrado y 500 más por el servidor para enviar spam. Con unporcentaje de éxito de apenas un 10% (realmente bajo), el hackerlograría colocar su troyano en el ordenador de 100.000 personas.

Si de esa cifra, consigue robar datos bancarios a otro 10%,significaría que tiene a su disposición las cuentas bancarias de 10.000personas. Basta imaginar el dinero que puede tener una persona normalen su banco y multiplicarlo por 10.000 para conseguir la cifra debeneficio del ciber-delincuente.

Los que somos menos jóvenes (o más viejos) recordaremos a virus como
Viernes 13, Brain, Ping-Pong, Barrotes, etc. Además de por ser los
primeros con los que nos topamos, perduran en nuestra memoria porque
estuvieron con nosotros mucho tiempo.

Cuando los virus eran virus, es decir, cuando se autoreplicaban de
archivo en archivo o de disco en disco, las epidemias eran más
similares a la de los virus biológicos. Un virus aparecía en una zona
geográfica concreta, por ejemplo en una universidad, y su área de
influencia iba propagándose de forma lenta a través de los usuarios
que compartían disquetes y archivos infectados. Tenía que transcurrir
varios meses para llegar a ser una epidemia de ámbito internacional.

No había forma de erradicarlos completamente. El virus era
autosuficiente, así que en cualquier momento y lugar podía aparecer
un nuevo brote si los ordenadores que tenían contacto con el virus no
contaban con un antivirus actualizado.

Con la explosión de Internet aparecieron los gusanos de propagación
masiva por correo electrónico. La distribución de éstos era mucho más
explosiva, en apenas unas horas podían dar la vuelta al mundo y llegar
a cientos de miles de sistemas. También perduraban en el tiempo,
algunas variantes de Netsky han dado la lata durante muchos meses en
los Tops de clasificación de malware.

Ahora que vivimos la época de los troyanos con fines lucrativos, nos
topamos con un malware mucho menos perenne, de usar y tirar, que
necesita reciclarse constantemente con nuevas variantes, y que da
lugar a gran cantidad de especímenes caducados.

Por un lado tenemos que los troyanos no son autosuficientes en su
distribución/replicación, a diferencia de los virus y gusanos que ellos
mismos se encargan de llegar a otros PCs. Hoy día los troyanos se
distribuyen en alguna campaña puntual de spam, o a través de la web.
Pasado ese primer envío masivo y manual, o desactivada la web desde
la que se distribuye, esa variante del troyano es probable que nunca
más vuelva a distribuirse.

Además, los propios troyanos suelen tener una dependencia de
infraestructura externa. Imaginemos un troyano "downloader" que se
encarga de descargar otros componentes. En el momento que se desactiva
el servidor desde donde realiza las descargas, ya no podrá llevar a
cabo su acción.

Pensemos ahora en el autor del troyano Gpcode. Lo distribuye a través
de spam. En las máquinas que se ejecuta, el troyano cifra los
archivos sensibles del ordenador (documentos, imágenes, y un largo
etcétera de extensiones), y pide un rescate al usuario para descifrar
y volver a recuperar esos archivos. La forma de contacto es una
dirección de e-mail en un servidor de correo público de Rusia. Cuando
las autoridades consiguen que el proveedor del servicio de correo
desactive esa dirección de e-mail, esa versión del troyano será

inútil para el autor ya que no puede ponerse en contacto con sus
víctimas para llevar a cabo el chantaje y, por tanto, no volverá a
utilizarla ni distribuirla. Deberá crear una nueva versión.

Situaciones similares se pueden dar con muchos otros tipos de
troyanos, por ejemplo, un malware dedicado a hacer pharming local para
redirigir a los usuarios infectados a páginas de phishing cuando
visiten determinados bancos. Lo que hace el troyano es modificar el
archivo hosts de Windows para redirigir los dominios de un determinado
banco a la IP del servidor web que hospeda las páginas falsas. Cuando
el banco tiene conocimiento de este tipo de fraude inicia una
actuación para desactivar las páginas de phishing. En el momento que
lo logra, que suele ser cuestión de horas, a lo sumo días, el troyano
será inútil, nunca más se distribuirá de nuevo. El autor se verá
obligado a crear nuevas versiones.

La realidad es que un porcentaje del malware específico que detecta
un antivirus ya está "fuera de mercado", no nos afectará. Si los
antivirus deben detectar ese "malware caducado" es una cuestión que
no sólo depende de ellos, ya que las evaluaciones antivirus actuales
fomentan lo contrario: que se detecte de todo, incluso muestras que
no son dañinas. Si los antivirus tienen problemas para diferenciar
el malware, del grayware y el goodware, los evaluadores y
comparativas antivirus sencillamente no saben.

Por primera vez, un estudio muestra qué es lo que hacemos mal los internautas. Nos informan de ello, desde noticias.com.

Si usted abre correos de remitentes desconocidos; desactiva las medidas de seguridad de los equipos porque le parece que entorpecen el funcionamiento de su ordenador; comparte archivos y software no verificado a través de redes P2P como Emule; o acepta la invitación de contactos de mensajería instantánea sin saber quién hay detrás de ellos; usted está haciendo todo lo posible para que un virus infecte su ordenador.

Toda prevención es poca. A pesar de que el 87% de los hogares españoles tienen instalado algún tipo de antivirus en sus equipos informáticos, más de la mitad están infectados por código malicioso de riesgo alto, según la Primera Oleada del Estudio sobre la Seguridad de la Información realizado por el Instituto Nacional de Tecnologías de la Comunicación (INTECO).

La tecnología no puede garantizar, por sí sola, la seguridad de nuestros ordenadores, que depende también del comportamiento de los usuarios. Pero los españoles parecemos no estar dispuestos a hacer nada más que instalar, uno tras otro, programas antivirus o cortafuegos.

La consecuencia es que un tercio de las computadoras con acceso a Internet en España presentan una protección deficiente, ya que no cuentan con sistemas automáticos ni mucho menos con usuarios proactivos en temas de seguridad.

La buena noticia es que los internautas “temerarios” sólo representan al 8% de los usuarios, pero “en ellos se concentra gran parte del riesgo total del sistema”, según Inteco. Es decir, son pocos, pero las consecuencias de sus actos son muy peligrosos, ya que sus ordenadores actúan como dispersores de amenazas informáticas.

Una de las principales funcionalidades de Pinch es la que permite decir al troyano qué datos debe robar en los computadores que infecte. Así, una de sus pestañas, llamada PWD permite seleccionar el tipo de contraseñas con los que debe hacerse el troyano que van desde passwords del correo electrónico hasta los guardados por las herramientas del sistema. Además, se puede ordenar al troyano que cifre esa información cuando la envíe, de modo que nadie más pueda leerla.

La pestaña SPY permite al ciberdelincuente convertir su troyano en un keylogger, de modo que pueda capturar las pulsaciones del teclado. También, permite diseñarlo para que realice capturas de pantalla del PC infectado, robe datos del explorador o busque determinados ficheros en el sistema de la víctima.

La funcionalidad llamada NET, permite al creador utilizar Pinch para convertir el PC infectado en un Proxy, de modo que pueda utilizarlo para realizar operaciones maliciosas o delictivas sin dejar un rastro propio en la red. Además, desde aquí el ciberdelincuente podrá convertir su creación en un downloader, ordenándole que descargue otros ejecutables en los sistemas comprometidos.

La opción BD, permite especificar los puertos que se abrirán en el equipo comprometido, dotando así de funcionalidades backdoor al troyano. La función ETC, por su parte, permite ocultar al troyano mediante técnicas como el uso de rootkits.

Otra de las funcionalidades más peligrosas de Pinch es la que se encuentra bajo la pestaña WORM. Ésta permitirá al creador añadir funcionalidades de gusano a su creación, de modo que pueda propagarse por sus propios medios, infectando otros ficheros o, incluso, distribuyéndose a sí mismo mediante el envío de correos electrónicos.

Pinch presenta otras opciones como la de convertir las máquinas infectadas en un computador zombie, empaquetar el troyano para dificultar su detección u ordenarle que termine con ciertos procesos del sistema, especialmente, los correspondientes a las soluciones de seguridad.

Por último, esta herramienta también permite definir el modo del retorno de los datos, es decir, cómo debe el troyano mandar a su creador los datos que robe. Pinch da tres opciones: el ciberdelincuente puede recibir los datos vía SMTP, por http o, simplemente, puede ordenar al troyano que deje los datos en un archivo en la máquina infectada para recuperarlos más tarde a través de un puerto abierto por el propio troyano.

Cuando Sinowal.FY se instala en el sistema, procede a cifrar todos losdocumentos del disco duro. Además, crea un archivo llamado“read_me.txt” que contiene las demandas del secuestrador.Concretamente, incluye un texto en el que exige un rescate de 300$ acambio de la liberación de los archivos.

“Este troyano pertenece a la familia Synowal, que tradicionalmente seha dedicado al robo de contraseñas y datos bancarios. En el caso deesta variante, no se contenta sólo con esto, sino que, además, acude alchantaje cifrando la información del usuario de forma que no se puedaacceder a ella. Es un ejemplo de cómo los creadores de malware intentansacar más beneficio con un único ejemplar de malware”, comenta LuisCorrons, Director Técnico de PandaLabs.

Además, para acelerar el pago del rescate, el texto pone una fechalímite para realizar el pago, o de lo contrario, amenaza con que todoslos datos se perderían, aunque esto en realidad, no es cierto, ya queel contenido cifrado permanece en el ordenador.

Este tipo de secuestro no es nuevo. La familia de troyanos PGPCoder yaes veterana en el mundo del ransomware, perfeccionando sus técnicas decifrado cada vez más para que resulte más difícil su descifrado. Otromalware, Ransom.A, amenazaba con borrar un archivo cada 30 minutos,aunque fijaba como rescate una suma bastante más inferior, 10,99$. Elcaso más curioso fue el de Arhiveus.A, que no pedía al usuario dinero,sino que comprara algún producto de cierta farmacia on-line.