En la actualidad, los criminales cibernético están utilizando cuatro métodos típicos para obtener dinero de sus víctimas, revela la investigación del panorama de amenazas hecha por FortiGuard Labs de Fortinet. La investigación realizada del 1 de octubre al 31 de diciembre del 2012 también destaca una creciente actividad en las variantes del kit de malware móvil Plankton, para publicidad en Android, así como el aumento en el análisis de las vulnerabilidades de los servidores web por parte de grupos hacktivistas.
En los últimos tres meses, los laboratorios FortiGuard han identificado cuatro piezas de malware que han aumentado y mostrado altos niveles de actividad en un período muy corto de tiempo (desde un día hasta una semana). Los siguientes ejemplos reflejan cuatro métodos típicos que los criminales cibernéticos están utilizando en la actualidad para obtener beneficios económicos con sus programas maliciosos:
1 Simda.B: Este sofisticado malware se hace pasar por una actualización de Flash con el fin de engañar a los usuarios para obtener todos los derechos para una instalación completa. Una vez instalado, el malware roba las contraseñas del usuario, permitiendo a los delincuentes infiltrarse en las cuentas de redes sociales y de correo electrónico de la víctima para distribuir spam o malware, acceso a cuentas de administrador web para alojar sitios maliciosos y el desvío de dinero de sistemas de pago de cuentas en línea.
2 FakeAlert.D: Este falso antivirus notifica a los usuarios de malware a través de una ventana pop-up de aspecto muy convincente que indica que su computadora ha sido infectada con el virus, y que, por una tarifa, el falso antivirus los eliminará de la computadora de la víctima.
3 Ransom.BE78: Este ransomware es una pieza de malware que le impide a los usuarios acceder a sus datos personales. Usualmente, la infección impide que la máquina de un usuario arranque o encripta los datos en el equipo de la víctima y luego exige el pago de la clave para descifrarlo. La diferencia principal entre el ransomware y el falso antivirus es que el ransomware no le permite elección a la víctima con respecto a la instalación. El ransomware se instala en la máquina de un usuario de forma automática y luego exige el pago para ser eliminado del sistema.
4 Zbot.ANQ: Este troyano es el componente en el “lado del cliente" de una versión del tremendo kit criminal Zeus. Éste intercepta los intentos de un usuario al iniciar una sesión bancaria en línea y luego utiliza la ingeniería social para engañar al usuario en la instalación de un componente móvil del malware en sus teléfonos inteligentes. Una vez que el elemento móvil se encuentra instalado en su lugar, los cibercriminales pueden interceptar la confirmación de mensajes SMS bancarios y posteriormente pueden transferir los fondos a una cuenta temporal de dinero.
"Si bien los métodos de malware para obtener recursos monetarios han evolucionado a lo largo de los años, los cibercriminales hoy parecen ser mucho más abiertos y desafiantes en sus demandas de dinero, exigiendo retornos más rápidamente", dijo Guillaume Lovet, gerente senior del equipo de Respuesta de Amenazas de FortiGuard Labs.
“Ahora bien, no sólo se trata de la extracción silenciosa de las contraseñas, se trata también de la intimidación para los usuarios infectados a cambio de pagos para protegerse. Sin embargo los pasos básicos para protegerse no han cambiado, el usuario debe seguir contando con las soluciones de seguridad instaladas en sus equipos, deberá actualizar su software periódicamente con las últimas versiones y parches, así como también deberá ejecutar exploraciones regulares y basarse mucho en el sentido común”, agregó.
Malware de publicidad móvil para Android
En el último reporte de amenazas, FortiGuard Labs también detectó un aumento en la distribución del kit publicitario de Android Plankton. Esta pieza de malware incorpora un conjunto de herramientas comunes en el dispositivo Android las cuales despliegan anuncios no deseados en la barra de estado del usuario, realiza un seguimiento y rastreo de la Identidad Internacional del Equipo Móvil (IMEI) de los usuarios y con ello ubica íconos en el escritorio del dispositivo.
En los últimos tres meses, la actividad del kit se desplomó. En cambio, los laboratorios FortiGuard han detectado la aparición de kits de anuncios que parecen estar directamente inspirados en el kit de Plankton y actualmente se han acercado a la misma actividad con la que Plankton estaba operando intensamente hace tres meses.
Herramienta de análisis Hacktivista a toda marcha
En el tercer trimestre de 2012, FortiGuard Labs detectaron altos niveles de actividad de ZmEu, una herramienta que ha sido desarrollada por hackers rumanos para escanear los servidores web que ejecutan versiones vulnerables del software de administración MySQL (phpMyAdmin), con el fin de tomar el control de esos servidores. Desde septiembre, el nivel de actividad ha aumentado nueve veces antes de que finalmente se estabilizara en diciembre.
Para proteger los servidores Web contra esta amenaza, FortiGuard Labs recomienda actualizar a la última versión del PhPMyAdmin.