Cerca de 30.000 páginas web son infectadas cada día y más de la mitad se alojan en servidores Apache, según un estudio

 fuerteventuradigital nos cuenta:

Cerca de 30.000 páginas web son infectadas cada día y más de la mitad se alojan en servidores Apache, dato que demuestra que este tipo de problemas no es exclusivo de Windows, según un estudio publicado hoy por Sophos. En lo que va de año se ha visto un importante incremento de ataques vía web, que ya ha sobrepasado a las amenazas vía correo electrónico como medio preferente para los “cibercriminales” motivados financieramente.-

El estudio de Sophos tomó una muestra de un millón de páginas web de las cuales el 29% alojaban “malware” (software “malicioso” para el ordenador). De los sitios web que contenían “códigos maliciosos”, sólo uno de cada cinco habían sido diseñados específicamente para actividades perversas, mientras el 80% restante estaban “maquillados” como sitios legítimos en los que había víctimas de “hackers” que ofrecían consejos para evitar sus trampas.Por otra parte, un 28% de las páginas fueron bloqueadas porque eran pornográficas o de apuestas mientras el 19% contenían “spammers” (generadores de correo basura) y el 4% fueron clasificadas como ilegales debido a que se vendía “software” pirata o eran sitios “phishing” (páginas que simulan ser bancos o cajas de ahorros para robar claves e informaciones personales de los clientes).

“Con el 80% de todas las páginas web infectadas encontradas en sitios legítimos, hay que insistir en el hecho de por qué los servidores web no toman las medidas necesarias para asegurar correctamente sus servidores” afirmó el consultor tecnológico senior de Sophos, Graham Cluley. “Medidas simples como mantenerlos actualizados con parches de seguridad ayudarían a atajar este problema, con menos agujeros de seguridad y menos riesgo de infección”.

“”Mal/Iframe” es un claro ejemplo de la creación de ataques web dirigido y que explota sitios web vulnerables sin importar que su contenido se refiera a cocina o a pornografía” continuó Cluley. “Las soluciones de seguridad deben ir más allá de bloquear sitios web basándose en categorías, un sitio de apuestas puede parecer una amenaza, pero a veces un nombre inocuo puede albergar el más grande de los peligros”. Por países, China, seguida de EE.UU. y Rusia son los más afectados por este tipo de infecciones, provocadas principalmente por archivos del tipo “Mal/Iframe” y “Troj/Fujif”.

En los ataques vía correo electrónico, el informe ha desvelado que entre los piratas empieza a generalizarse el uso de archivos PDFs adjuntos; un ejemplo notable ha sido el gusano “LiarVB-A” que ofrecía información sobre el sida vía llaves USB además del gusano “Hairy” con el reclamo de que el joven mago Harry Potter había muerto.

Malware caducado

antivirusgratis nos cuenta que:

En la época de los virus para DOS los especímenes se mantenían activos durante años. Hoy día el malware no suele ser autosuficiente, sino que depende de una infraestructura basada en servidores en Internet con los que se comunica.-

Cuando esa infraestructura es desactivada, el malware ya no es útil para sus propósitos.

Los que somos menos jóvenes (o más viejos) recordaremos a virus como Viernes 13, Brain, Ping-Pong, Barrotes, etc. Además de por ser los primeros con los que nos topamos, perduran en nuestra memoria porque estuvieron con nosotros mucho tiempo.

Cuando los virus eran virus, es decir, cuando se autoreplicaban de archivo en archivo o de disco en disco, las epidemias eran más similares a la de los virus biológicos. Un virus aparecía en una zona geográfica concreta, por ejemplo en una universidad, y su área de influencia iba propagándose de forma lenta a través de los usuarios que compartían disquetes y archivos infectados. Tenía que transcurrir varios meses para llegar a ser una epidemia de ámbito internacional.

No había forma de erradicarlos completamente. El virus era autosuficiente, así que en cualquier momento y lugar podía aparecer un nuevo brote si los ordenadores que tenían contacto con el virus no contaban con un antivirus actualizado.

Con la explosión de Internet aparecieron los gusanos de propagación masiva por correo electrónico. La distribución de éstos era mucho más explosiva, en apenas unas horas podían dar la vuelta al mundo y llegar a cientos de miles de sistemas. También perduraban en el tiempo, algunas variantes de Netsky han dado la lata durante muchos meses en los Tops de clasificación de malware.

Ahora que vivimos la época de los troyanos con fines lucrativos, nos topamos con un malware mucho menos perenne, de usar y tirar, que necesita reciclarse constantemente con nuevas variantes, y que da lugar a gran cantidad de especímenes caducados.

Por un lado tenemos que los troyanos no son autosuficientes en su distribución/replicación, a diferencia de los virus y gusanos que ellos mismos se encargan de llegar a otros PCs. Hoy día los troyanos se distribuyen en alguna campaña puntual de spam, o a través de la web.
Pasado ese primer envío masivo y manual, o desactivada la web desde la que se distribuye, esa variante del troyano es probable que nunca más vuelva a distribuirse.

Además, los propios troyanos suelen tener una dependencia de infraestructura externa. Imaginemos un troyano “downloader” que se encarga de descargar otros componentes. En el momento que se desactiva el servidor desde donde realiza las descargas, ya no podrá llevar a cabo su acción.

Pensemos ahora en el autor del troyano Gpcode. Lo distribuye a través de spam. En las máquinas que se ejecuta, el troyano cifra los archivos sensibles del ordenador (documentos, imágenes, y un largo etcétera de extensiones), y pide un rescate al usuario para descifrar y volver a recuperar esos archivos. La forma de contacto es una dirección de e-mail en un servidor de correo público de Rusia. Cuando las autoridades consiguen que el proveedor del servicio de correo desactive esa dirección de e-mail, esa versión del troyano será inútil para el autor ya que no puede ponerse en contacto con sus víctimas para llevar a cabo el chantaje y, por tanto, no volverá a utilizarla ni distribuirla. Deberá crear una nueva versión.

Situaciones similares se pueden dar con muchos otros tipos de troyanos, por ejemplo, un malware dedicado a hacer pharming local para redirigir a los usuarios infectados a páginas de phishing cuando visiten determinados bancos. Lo que hace el troyano es modificar el archivo hosts de Windows para redirigir los dominios de un determinado banco a la IP del servidor web que hospeda las páginas falsas. Cuando el banco tiene conocimiento de este tipo de fraude inicia una actuación para desactivar las páginas de phishing. En el momento que lo logra, que suele ser cuestión de horas, a lo sumo días, el troyano será inútil, nunca más se distribuirá de nuevo. El autor se verá obligado a crear nuevas versiones.

Un ejemplo de este último caso puede verse en:
http://blog.hispasec.com/laboratorio/232

La realidad es que un porcentaje del malware específico que detecta un antivirus ya está “fuera de mercado”, no nos afectará. Si los antivirus deben detectar ese “malware caducado” es una cuestión que no sólo depende de ellos, ya que las evaluaciones antivirus actuales fomentan lo contrario: que se detecte de todo, incluso muestras que no son dañinas. Si los antivirus tienen problemas para diferenciar el malware, del grayware y el goodware, los evaluadores y comparativas antivirus sencillamente no saben.

Al ritmo actual del crecimiento del número de variantes, el mantener firmas de detección de todo el malware histórico podría dar lugar a algunos problemas de tamaño/rendimiento. Hace ahora algo más de 4 años denominé el problema como “efecto ZOO”, en la noticia
http://www.hispasec.com/unaaldia/1562

Entonces el problema del tamaño de firmas parecía no preocupar a los desarrolladores antivirus, ya que el principal cuello de botella es el acceso a los archivos a analizar.

Hoy día sigue siendo manejable, al menos en cuanto a volumen que no a estrategia, pero la curva de crecimiento sigue imparable y amenaza con pasar a medio plazo de la necesidad de reconocer 20.000 muestras hace unos años a 2 millones.
¿Seguimos anclados como las comparativas pidiendo que los antivirus detecten de todo aunque no nos afecte?
¿O pedimos antivirus modernos adaptados a una realidad diferente?

SPAM: del PDF al FDF

Tras la avalancha de mensajes de spam en PDF, llega una nueva variante muy similar pero que utiliza la extensión .FDF en los archivos adjuntos. Se trata del mismo perro con diferente collar, ya que en realidad no utiliza el formato Forms Data Forma (FDF).

El pasado mes de junio dábamos buena cuenta de la popularización del formato PDF como vía para enviar spam. Este viernes, desde F-Secure, avisaban de la nueva avalancha de spam FDF que corresponde al formato Forms Data Format, y que efectivamente está llegando en plan masivo a los buzones de correo.

Si bien, examinando el interior de uno de esos archivos podemos comprobar que los spammers lo único que hacen es cambiar la extensión de .PDF a .FDF, y que el formato real del archivo sigue siendo PDF.

Esta nueva estrategia del cambio de extensión, en su lucha sin final de burlar a los filtros antispam, aprovecha que la extensión .FDF está también asociada a Acrobat Reader y los abre automáticamente.

Para interpretar el formato, Acrobat Reader no se deja llevar por la extensión, sino por la cabecera que aparece en la primera línea del archivo. El spam que está llegando, en vez de tener la cabecera del formato Forms Data Format, que sería %FDF-1.2, contiene la cabecera %PDF-1.5 que indica al lector que debe procesarlo como un archivo PDF.

Estamos ante una treta más de los spammers que no debería plantear mayores problemas a las soluciones antiphishing. Es más, dado que la extensión .FDF no es tan común como .PDF, los administradores de correo podrían llegar a plantearse introducir un sencillo filtro en los servidores para impedir la llegada de esta nueva plaga a los buzones de los usuarios.

Fuente: Hispasec