Les xarxes socials es consoliden com a plataforma ideal per a la pràctica del cibercrim

Compartir

Kaspersky Lab ha presentat un informe sobre l’evolució del malware en el segon trimestre de 2010. Segons aquest informe, les xarxes socials es consoliden com a plataforma ideal per a la pràctica del cibercrim, que aprofita la gran popularitat de xarxes com Facebook i Twitter i l’ingent tràfic en les seves pàgines.

Nota de premsa – Kaspersky Lab ha presentat el seu informe sobre l’evolució del malware durant el primer trimestre del 2010. L’Estat Espanyol es situa en el lloc 12 a nivell mundial en creació de malware.

En total s’han neutralitzat 540 milions d’intents d’infecció a ordinadors d’usuaris, fet que suposa un augment de gairebé el 100% respecte al primer trimestre. Novament la majoria dels fets més importants va estar relacionada amb les botnets, però una conclusió clara que cal extraure de l’informe sobre aquest segon trimestre de 2010 és la consolidació de les xarxes socials com a nova víctima preferida per a les seves activitats.

A l’hora d’administrar les botnets (xarxes pirata creades per a la distribució massiva de malware), els cibercriminals han descobert una mina en aquestes xarxes. Fins ara, les primeres passes amb entorns com Facebook o Twitter eren només proves de concepte. Però ja en el mes de maig va aparèixer un utilitari per a crear bots, TwitterNET Builder, que construeix una botnet emprant un compte de Twitter com a centre d’administració.

Per a treballar amb el programa no cal saber programació, fet que la convertia en una “joguina” ideal per als novells: un parell de clics i el bot està preparat. Batejat com a Backdoor.Win32.Twitbot, aquesta “joguina” permet la descàrrega i execució de fitxers nocius, atacs DDoS i visites als llocs web predeterminats pels delinqüents. Per a rebre instruccions, el bot busca a Twitter un compte determinat en el que, en forma de text, es publiquen les ordres del seu amo.

Afortunadament, aquest bot no ha aconseguit fer-se gaire popular, donat el seu comportament primitiu (les instruccions no estan xifrades, sinó que s’envien obertament mitjançant la xarxa social, pel que són fàcils de detectar i desconnectar només tancant el compte). A mitjans de juny no quedaven ja centres d’administració a Twitter, fet que diu molt de la velocitat de reacció dels serveis de seguretat d’aquesta xarxa.

En tot cas, els experts de Kaspersky Lab insisteixen en el fet que les xarxes socials serveixen com cap altre canal per a propagar activament enllaços a programes maliciosos. De fet, aquests experts asseguren que, amb el temps, les xarxes socials podrien reemplaçar el correu electrònic en la innoble tasca de distribuir programes maliciosos. Les xifres confirmen l’efectivitat dels enviaments massius a les xarxes socials. En el transcurs d’un atac dut a terme a la xarxa Twitter, en tan sols una hora 2.000 usuaris van seguir l’enllaç enviat.

Però l’atac més important es va produir en aquest mateix mes de de maig, quan va aparèixer a Facebook un nou tipus d’atac, relacionat amb la introducció de la funció “like”, que controla la llista de coses que li agraden al propietari del compte. Milers d’usuaris es van convertir en víctimes d’aquest atac, que consistia en col·locar a Facebook un enllaç atractiu (per exemple “Mundial 2010 en alta resolució”, o “Les 101 dones més atractives del món”). L’enllaç conduïa a una pàgina ad-hoc, en la qual un escenari Javascript posava un botó invisible just sota el cursor. El botó es desplaçava juntament amb el cursor de manera que, independentment d’on fes clic l’usuari, premia inevitablement aquest botó i, com a conseqüència, afegia al seu “mur” una còpia de l’enllaç. El resultat és que en les “darreres notícies” dels seus amics apareixerà aquest enllaç (“he likes”or “she likes”). L’atac va créixer com una bola de neu: primer seguien l’enllaç els amics, després els amics dels amics, etc.

Després d’afegir l’enllaç al seu “mur”, l’usuari rebia, en efecte, una pàgina on aparentment estava el que havia sol·licitat (un reproductor de vídeo que suposadament transmetia els partits del mundial, o un portal amb fotografies de noies), però en la mateixa pàgina hi havia una campanya comercial que eludia els bloquejadors de finestres publicitàries. L’estafador rebia petites quantitats de diners per cada visita dels usuaris a la pàgina. Atès que hi va haver milers de víctimes d’aquest atac, queda prou clar que la quantitat rebuda pels delinqüents no fou pas petita.

Plataformes alternatives

Aquest trimestre, el malware per a plataformes alternatives ha conquerit noves fronteres. A l’abril va aparèixer un nou backdoor de la família Reshe per a MacOS X, anomenat Backdoor.OSX.Reshe.a. Aquest backdoor permet al delinqüent obtenir un control sense restriccions sobre el sistema infectat: enviar spam, buscar i robar fitxers, descarregar i executar programes, fer captures de pantalla i moltes coses més. El backdoor està escrit en RealBasic i funciona en ordinadors Apple amb processadors PowerPC o Intel. De moment, no s’ha apreciat l’ús massiu d’aquest programa maliciós, però l’arma ja està en mans dels delinqüents.

Ja al juny, uns quants dies després que Google anunciés la seva transició a sistemes operatius alternatius, especialistes de Kaspersky Lab van detectar un nou troià-espia per a Mac OS X. Aquest programa maliciós es disfressava de “sistema publicitari” i es difonia juntament amb productes de programari legítims. A més de robar informació del PC, el programa maliciós també té funcionalitats de backdoor, que permeten als delinqüents enviar instruccions a l’ordinador.

Molts usuaris de Mac OS tenen la falsa sensació d’estar protegits. Estan segurs de que no hi ha amenaces informàtiques que funcionen en el seu sistema operatiu. Però la mateixa Apple reconeix que hi ha codis maliciosos per a Mac. En la darrera actualització de l’OS X 10.6.4, Apple va incloure en el seu escàner antivirus una nova signatura per protegir contra el Backdoor.OSX.Reshe.a. Però aquestes actualitzacions, que no foren anunciades públicament, només fan que l’usuari conservi la seva sensació de falsa seguretat, en comptes de fer-la desaparèixer.

No hi ha sistemes operatius completament segurs. En aquest moment, Mac OS X no és un sistema més segur que, per exemple, Windows 7. Des del punt de vista tècnic, per a què el seu funcionament sigui segur, Mac OS X també necessita protecció contra els programes maliciosos. Si es prenen en compte els incidents esmentats més amunt, és molt possible que aviat sorgeixin atacs dirigits als usuaris dels ordinadors Mac.

Programes nocius a Internet

En el segon trimestre del 2010, Kaspersky ha detectat 157.626.761 intents d’infectar ordinadors a través d’Internet. A continuació s’exposen les principals categories de programes maliciosos que van dominar a Internet.

Estadística de Kaspersky

2º Trimestre 2010: “Top 5” de programes maliciosos a Internet

En el TOP 5 hi ha troians, exploits i programes publicitaris, amb la particularitat que gairebé la meitat (48%) de totes les deteccion
s a Internet va correspondre a troians. El 57% eren scripts maliciosos incrustats pels delinqüents en diversos llocs web. Entre aquests llocs hi havia també llocs legítims, que comptaven amb milers, i en certs casos, amb milions de visitants. Es caracteritzen perquè empren un enllaç, invisible en el navegador, per desviar als usuaris i fer-los visitar la pàgina dels delinqüents. Generalment, els enllaços porten a pàgines amb exploits (i en els esquemes més tradicionals, a conjunts d’exploits), que permeten als delinqüents donar el primer pas en la tasca d’evadir la defensa de l’ordinador i aconseguir l’objectiu final de descarregar i executar qualsevol fitxer.

Un 7,15% de totes les deteccions va correspondre al programari publicitari (AdWare). En el trimestre anterior, un 70% dels programes publicitaris detectats pertanyien a les famílies Zwangi i Boran. En aquest trimestre les famílies Shopper (26,06%) i FunWeb (22,81%) els han arrabassat la supremacia, ja que ambdós van sumar un 49% de les deteccions d’AdWare.

Geografia de les amenaces

En el segon trimestre del 2010 Kaspersky Lab ha detectat 157.626.761 atacs des de recursos d’Internet. Més del 95% dels atacs detectats per la companyia es van realitzar des de 20 països, dels quals l’Estat Espanyol es situa en la dotzena posició.

TOP-20 dels països que hostatgen programes nocius

Segon trimestre del 2010

Primer trimestre del 2010

1

Estats Units

28,99%

1

Estats Units

27,57%

2

Rússia

16,06%

2

Rússia

22,59%

3

Xina

13,64%

3

Xina

12,84%

4

Alemanya

5,89%

4

Països Baixos

8,28%

5

Països Baixos

5,49%

5

Espanya

6,83%

6

Espanya

5,28%

6

Alemanya

6,78%

7

Regne Unit

4,62%

7

Regne Unit

3,29%

8

Suècia

4,34%

8

Filipines

1,60%

9

Ucraïna

2,76%

9

Ucraïna

1,35%

10

Letònia

2,02%

10

Canadà

1,29%

11

Canadà

1,63%

11

Suècia

0,95%

12

França

1,49%

12

França

0,80%

13

Turquia

0,63%

13

Turquia

0,72%

14

Moldàvia

0,55%

14

Austràlia

0,48%

15

República Txeca

0,40%

15

Moldàvia

0,42%

16

Hong Kong

0,40%

16

Letònia

0,31%

17

Tailàndia

0,38%

17

República Txeca

0,31%

18

Filipines

0,37%

18

Luxemburg

0,26%

19

Malàisia

0,37%

19

Malàisia

0,26%

20

Vietnam

0,36%

20

Vietnam

0,25%

Altres

4,33%

Altres

2,80%

Vulnerabilitats

En el segon trimestre del 2010 hem detectat en els ordinadors dels usuaris 33.765.504 aplicacions i fitxers vulnerables. Cal destacar que en un de cada quatre casos detectem en l’ordinador més de set vulnerabilitats obertes.

Sis de les vulnerabilitats del TOP 10 es van trobar en els productes de Microsoft, tres en els productes d’Adobe i una en els de Sun. Però això no significa que els programes d’aquestes companyies continguin gran quantitat d’errors. És més aviat un indici de la popularitat de la qual gaudeixen aquests productes entre els usuaris.

Guillem Alsina