Etiqueta: antivirus

Troyano Bancario Emotet vuelve con intensidad a España y Portugal

Según informa nuestros Partners en Seguridad ESET y Panda Security, además de nuestros propios clientes que nos estan notificando de la recepción de dichos correos electrónica, regresa el Troyano Emotet con más fuerza con campañas afectando a varias regiones del mundo. Una elevada cantidad de correos están recibiendo usuarios españoles de remitentes aparentemente confiables y que adjuntan un documento Word.

Antes de nada, hay que tener en cuenta que la recepción de este correo y la descarga del Word que adjunta no suponen que el equipo esté comprometido, ya que aun no se ha ejecutado nada. Incluso la apertura del documento puede resultar inocua si tenemos la opción de ejecutar macros desactivada, tal y como suele venir por defecto. No obstante, le invitamos a continuar leyendo para entender un poco más este peligroso Troyano Bancario.

La evolución de Emotet

Según Panda Security, aunque empezó sencillamente como un troyano bancario, ahora ha evolucionado y se parece más a un botnet. Los operadores criminales del malware alquilan sus capacidades de carga para permitir a otros cibercriminales entregar su propio malware como payload segundario. Una vez dentro de una red, tiene la capacidad de propagarse a otras máquinas mediante ataques de fuerza bruta, intentando entrar en el equipo utilizando contraseñas de una lista incluida en el malware.

Un malware con gran alcance

La organización sin fines de lucro, The Spamhaus Project, ha publicado un análisis en profundidad del malware. Según han descubierto, hay unos 47.000 equipos infectados con Emotet en todo el mundo que están emitiendo alrededor de 6.000 URLs maliciosas que llevan a sitios web que sirven como vector de infección. Es el malware que se distribuye de manera más activa en estos momentos: representa un 45% de las URLs que se utilizan para la descarga de malware, según Panda Security.

Emotet: descripción y evolución

Según comenta ESET en su publicación, Emotet no es precisamente un desconocido en el mundo de las amenazas informáticas. Activo desde 2014 estamos ante un troyano bancario que ha sufrido numerosas revisiones, desde entonces y que lo han convertido en uno de los códigos maliciosos más destacados en su campo: el robo de credenciales bancarias. Su método de propagación preferido es el correo malicioso o malspam con ficheros o enlaces adjuntos que tratan de convencer a los usuarios para que pulsen sobre ellos o los abran.

Para conseguirlo utiliza asuntos muy escuetos pero directos, tales como “Propuesta”, “Respuesta” o “Nueva Plantilla”, acompañados de cuerpos de mensaje breves y sin añadir información adicional. El peligro radica en el enlace incluido o fichero adjunto, ya que si el usuario pulsa o los abre, se iniciará la cadena de ejecución del malware que terminará instalando Emotet en el sistema y comprometiendo su seguridad.

El principal objetivo de Emotet son las credenciales bancarias, aunque a lo largo de los años ha ido evolucionando para incluir nuevos módulos que lo han convertido en un malware complejo y polimórfico. Esto le permite mejorar su capacidad de permanecer oculto, aumentar sus posibilidades de propagación o instalar otras variantes de malware. No obstante, tal y como veremos más adelante, hay medidas de seguridad que permiten detectarlo a tiempo antes de que logre infectar el sistema.

Con respecto a sus víctimas, Emotet no hace distinción y se dirige tanto a usuarios particulares como pymes, corporaciones y entidades gubernamentales. Su objetivo es recopilar la mayor cantidad posible de credenciales financieras para así conseguir sustraer elevadas cantidades dinero desde las cuentas de sus víctimas y a sus creadores no parece importarles de donde venga ese dinero.

Fases del ataque del Troyano Emotet

Según ESET, si el usuario que recibe este correo hace caso omiso a los indicios que le muestran que se encuentra ante una amenaza y abre el fichero adjunto veremos como se utiliza una técnica bastante conocida para conseguir ejecutar código malicioso. Aparentemente, se muestra un documento legítimo pero con un aviso donde se indica que el archivo se encuentra en un modo de vista protegida y que, para poder ver su contenido, hace falta pulsar sobre la barra amarilla que se muestra en la parte superior con la opción de “Habilitar edición”.

Documento usado como cebo informando al usuario de la necesidad de habilitar la edición

Este aviso que contiene el documento no es más que una imagen, incluida por los delincuentes incluyen para tratar que el usuario desactive de forma voluntaria una de las medidas de seguridad más efectivas de las que dispone Microsoft Office y que impide la ejecución automática de código mediante macros.

En el caso de que el usuario muerda el anzuelo, se ejecutarán una serie de macros que, a su vez, ejecutarán código en PowerShell. Este código forma parte de la segunda fase del ataque y consiste en contactar con dominios comprometidos por los atacantes para descargar un archivo malicioso.

Parte del código de una de las macros incluidas en el archivo Word – Fuente: Diario

El archivo malicioso descargado activa la tercera fase del ataque y actúa como dropper o descargador del archivo que contiene el troyano. Este troyano también está alojado en dominios comprometidos que los delincuentes van cambiando continuamente, así como también cambia el ejecutable del Emotet para dificultar su detección. Se puede obtener una lista detallada de los dominios comprometidos y los C&C gracias a la cuenta de Twitter de Cryptolaemus.

En el caso de que la solución antivirus no hubiese detectado nada hasta este punto y se ejecutase la tercera fase del ataque, con la descarga del dropper desde uno de los sitios comprometidos, se podría detectar esta amenaza por alguna de las capas de seguridad de las soluciones Antivirus como la de ESET o por el análisis avanzado de la memoria de este fabricante. Este análisis permite detectar un código malicioso cuando intenta ejecutarse volcándose en la memoria del sistema y permite detectarlo y eliminarlo antes de que consiga comprometer el sistema.

El mismo principio se aplicaría en el caso de que el malware lograse descargar Emotet en el sistema, añadiendo además la posibilidad de ejecutar el archivo malicioso en una sandbox aislada que permitiera ejecutar de forma controlada el malware y confirmar sus objetivos maliciosos para proceder a su eliminación.

Conclusiones

Ya hemos comentado en nuestro blog en reiteradas oportunidades de que la mejor protección es la de NO ABRIR NADA QUE NO SE CONOZCA, sobre todo si viene por correo electrónico. La gran desventaja de este ataque es que se estan utilizando direcciones de correo electrónico de usuarios CONOCIDOS, lo cual dificulta la precaución ya que nos confiamos al ser un remitente del que recibimos emails y que ya ha sido infectado. No podemos acabar este artículo sin invitarle a proteger su inversión y sus datos de manera proactiva, adquiriendo una solución antivirus como las de ESET o una solucion más completa, como nuestra conocida NOVA Advanced Defense 360, que incluye Antivirus y Antiransomware.

Si desea adquirir ESET ahora, solo debe visitar nuestro portal principal del blog de PCNOVA y en la columna derecha encontrara el apartado «Todas las Soluciones ESET a tu alcance», desde allí podrá descargar e instalar su producto inmediatamente.

Si lo prefiere , puede también optar por NOVA Advanced Defense 360 (con motor de Panda Security) en nuestra Tienda online de PCNOVA.

Ricardo González Darkin

Consultor Técnico / Especialista en Soluciones IT para Educación y la Pequeña y Mediana Empresa

Proveedor de Servicios Gestionados IT: Cloud – Conectividad – Comunicación – Domótica – Impresión – Movilidad –  Seguridad – Virtualización y Web.

Microsoft Security Essentials, certificado por Av Test

image Este artículo que he leído de nuestros amigos de DOSBIT me gusta, ya que se habla de un producto quizá poco conocido, pero que al parecer esta teniendo buena receptividad y mejores resultados entre los usuarios. Se trata del Microsoft Security Essentials, producto antivirus GRATUITO de Microsoft. Al parecer, aunque no es el mejor, ya se encuentra entre los mejores. Para aquellos que tienen su software original (ya que verifica este elemento antes de poder realizar la descarga) le recomendamos que lo pruebe, nosotros ya lo hemos hecho con alguno de nuestros clientes y los resultados  han sido  más que satisfactorios. A continuación el texto original:

La suite gratuita de seguridad de Microsoft Security Essentials ha sido muy bien valorada según un estudio de Av Test (The Independient  IT-Security Institute).

Según el informe, la suite de seguridad de los de Redmond ha obtenido un 4, 4.5 y 5.5 puntos sobre 6 en las categorías de protección, reparación y usabilidad respectivamente. En cuanto a nivel de protección los más altos fueron Panda Internet Security 2010, Symantec Norton Internet Security 2010, G Data Internet Security 2010/2011  y  AVG Internet Security 9.0.

En el otro extremo de la balanza tenemos que aplicaciones tan conocidas como McAfee Internet Security 2010, Norman Security Suite 8.0 o Trend Micro Internet Security Pro 2010 ni siquiera han sido certificadas en las pruebas realizadas.

Pruébenlo, y ofrecenos tus comentarios  en este blog.

Ricardo González Darkin
Consultor / Técnico Informático
NOGALNOVA S.L
Barcelona, España
http://www.pcnova.es

Falta de medidas de seguridad básicas aumenta la proliferación de virus.

Una vez más, en este caso el fabricante ESET, emite un informe en donde identifica cuál (o cuáles) son los problemas a la hora de proliferar los virus: falta de medidas de seguridad básica por parte de los usuarios. Las memorias usb, que tanto usamos, es la fuente principal de proliferación de virus, dada su facilidad de uso y su extraordinaria facilidad de infección. Para aquellos que lean este post, les aconsejo que visiten la web de  pandasecurity e instalen en sus memorias usb lo que ellos denominan una vacuna: Antimalware. Panda USB Vaccine, les ayudará, como una medida muy efectiva de seguridad, a deshabilitar el “autorun” de las memorias, que es el causante de la fácil propagación de estas infecciones.

SET elaboró un informe donde destaca a Conficker como la amenaza más difundida en los últimos meses y entre las principales causas destaca el uso masivo de los puertos USB. Por su parte, Fernando de la Cuadra, director de Educación de Ontinet.com, distribuidor en España de las soluciones de ESET el problema radica en que “los usuarios siguen sin ser conscientes de los peligros que entraña compartir dispositivos y conectarlos a distintos equipos sin las medidas de seguridad básicas”.

El informe destaca que el uso masivo de los puertos USB como principal fuente de difusión de las amenazas y la dejadez de los usuarios a la hora de adoptar medidas de seguridad básica hacen que virus como Conficker o Autorun permanezcan entre los más difundidos en todo el mundo, y que incluso hayan aumentado su incidencia en distintos países como Italia o Gran Bretaña.
Los datos indican que los usuarios españoles tienen las mismas carencias en cuanto a hábitos de seguridad informática que los usuarios del resto de países. Para Fernando de la Cuadra, director de Educación de Ontinet.com, distribuidor en España de las soluciones de ESET, el problema radica en que “los usuarios siguen sin ser conscientes de los peligros que entraña compartir dispositivos y conectarlos a distintos equipos sin las medidas de seguridad básicas”.
Para De la Cuadra, “es importante que los usuarios sean conscientes de que para disfrutar de una vida digital segura, es importante no bajar la guardia en ningún momento, y adquirir hábitos básicos de seguridad”. Entre ellas, apunta que “se deben actualizar los sistemas operativos, contar con programas antivirus instalados y actualizados y revisar los dispositivos de memoria que conectamos a los equipos y las descargas de archivos que hacemos, tanto de Internet como de los propios dispositivos conectados”.

Fuente: ITSITIO. Redacción. Autor: Pamela Stupia. 24-08-2009.

Espero sepan aprovechar estas recomendaciones y no se conviertan en propagadores sino en supresores de  este mal que aqueja a  todos los ordenadores.

Ricardo González Darkin
Consultor / Técnico Informático
Certified IT Administrator EUCIP

NOGALNOVA S.L
Barcelona, España
http://www.pcnova.es