Características y funcionamiento del Malware

Publicado en Artículos, Seguridad,


Tweet about this on TwitterShare on Google+4Share on Facebook0Share on LinkedIn0

Mucho se ha escrito en relación al Malware, aún así siguen existiendo discrepancias con respecto a los términos que usualmente se usan para referirse al conglomerado de terminologías usadas al momento de hablar de Software Malicioso. El objetivo de este Paper es reunir, de la forma más objetiva posible, la información necesaria para realizar un estudio práctico y con un enfoque directo para aclarar las posibles dudas y encontrar soluciones concretas, al menos en términos inmediatos, para evitar el “contagio” de Malware y así no ser parte de las estadísticas.

¿Qué es el Malware?

Podríamos comenzar con un poco de historia, ya que antes de que se comenzara a usar el término Malware existía otra terminología para referirse al software que buscaba causar algún tipo de daño a un sistema informático; estoy hablando del tiempo en que todo comenzó: Los virus informáticos.

Ese era el único término usado, no existía otro, así que desde ese punto de vista era mucho más simple de comprender. Si tu PC comenzaba a tener síntomas propios de una “infección viral” la respuesta era bastante sencilla: es un virus!

Ahora las cosas han cambiado, en mi opinión: bastante. Hay toda una lista de términos usados cuando hablamos de software malicioso, es toda una familia!. En la mayoría de los casos – y esto es una opinión particular – resulta hasta tedioso estar usando tantos términos al hablar de este tema, que sin importar las características particulares que acompañan a cada uno de los tantos tipos de software malicioso que hay el punto sigue siendo el mismo: un puñado de código que busca ocasionar algún daño en un sistema informático.

Quizás por eso, hoy en día hablamos de Malware para referirnos a todos los “bichos” con intenciones dañinas que circulan por las redes. Así que en resumen, el Malware (del inglés Malicious Software) es el tipo de software que de una u otra forma busca infiltrase, dañar o extraer datos de un computador.

Cada uno de los diferentes tipos de Malware existentes tiene sus propias características, sus propios métodos de réplica, infección y transmisión; aquí estaremos hablando un poco de cada uno de ellos, aunque hay que tener en cuenta que al momento de estar escribiendo estas líneas es muy posible que se este inventado un nuevo término para algún tipo de Malware con características nuevas, que haya evolucionado a la par de la tecnología y las herramientas anti-malware existentes.

Comencemos entonces a estudiar el panorama actual

Virus

Los virus informáticos son parte de la familia del Malware, podemos decir que fueron los primeros de este cuento. Según nos dice la historia, el primero de ellos fue conocido como Creeper, creado al rededor de 1972. Infectó, en aquel entonces a un equipo IBM de la serie 360; la particularidad de este virus era mostrar un mensaje en pantalla que decía “I’m a creeper… catch me if you can!” (Soy una enredadera, agárrame si puedes). Como método de desinfección se creó la primera vacuna o antivirus conocido llamado Reaper (cortadora).

Características y métodos de propagación

El objetivo principal de un virus es crear un mal funcionamiento en un computador, sin tener permiso o conocimiento por parte del usuario. En su comportamiento, buscan infectar archivos ejecutables, agregando parte de su código al código del archivo “víctima”; también usan esta técnica como forma de propagación. Posterior a la infección, el archivo víctima, en donde el código del virus queda alojado, queda residente en la memoria RAM del computador, tomando de esta forma el control del computador. Parte del funcionamiento de los virus es crear un acceso directo a si mismo de forma tal que pueda ejecutarse cada vez que el computador es encendido, esto es posible bien sea copiándose a sí mismo en la carpeta starup en el caso de Windows o por medio de llaves del registro como es el caso de:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

También es posible hacerlo integrándose a los servicios de inicio del sistema operativo.

Mediante su método de infección el virus se asegura de que todo archivo infectado sea a su vez capaz de infectar a otros archivos, por lo tanto los posibles métodos para impedir o desinfectar dichos archivos pueden ser un poco complicados cuando el virus ya ha infectado una cantidad considerable de archivos.

Otra de las características más comunes en los virus es el gran consumo de recursos del sistema, ergo, vienen los “cuelgues”, problemas generados en la productividad, pérdida de datos y demás.

En algunos casos se ha llegado a decir que los virus tiene la capacidad de “replicarse” a sí mismos sin embargo no es así. Cuando un software nocivo tiene la capacidad de réplica es considerado un “Gusano” ( del ingés Worm) del cual hablaremos más adelante.

En sus inicios los virus solo tenían una vía de transmisión: los disquetes; a medida que la tecnología fue avanzando también lo hicieron los virus, ergo sus vías de transmisión. Hoy en día podemos decir que las principales son las redes sociales, innumerables sitios fraudulentos en Internet o incluso legítimos, a través de correo electrónico incluso utilizando técnicas de Spam, dispositivos de almacenamiento como USB/CD/DVD/Discos portátiles y las populares redes P2P.

Métodos de protección

Si bien es cierto que al momento de pensar en como protegernos de los virus lo primero que pensamos es en un Antivirus, no es la única herramienta disponible, y en la mayoría de los casos no llega a ser suficiente. Como se dijo anteriormente, los virus y sus métodos evolucionan; los antivirus y los métodos de protección también lo deben hacer. Podemos clasificar los diferentes métodos en 2 grupos a saber:

  • Activos
    • Antivirus: programas informáticos cuyo objetivo es detectar y neutralizar los virus informáticos
    • Filtros de ficheros: consiste en generar filtros dentro de una red creando así un patrón de conducta más selectivo; este método puede ir desde filtros de correos hasta técnicas a través de un Firewall
  • Pasivos
    • Sentido común! Quizás sea el método más efectivo para evitar infecciones virales en un computador y evitar incluso ser parte de la propagación masiva de los mismos. Consiste en una serie de tips bastante sencillos pero muy eficientes tales como evitar el uso de dispositivos de almacenamiento (USB/CD/DVD) de dudosa procedencia, o en su defecto realizar un escaneo de los mismos con un antivirus; evitar el uso de software pirata; no realizar descargas desde Internet a menos que se tenga la certeza de que no contiene infecciones; evitar abrir correos electrónicos de remitentes desconocidos; tratar (en lo posible) de estar informados del ámbito tecnológico, sobre todo de las amenazas informáticas.

Ningún sistema de cómputo será 100% seguro, el objetivo es minimizar los posibles daños, usando el sentido común, un Firewall, una solución antivirus con detección proactiva brindada por la heurística, actualizar periódicamente el sistema operativo, realizar copias de seguridad de los archivos más críticos; estas son, quizás, las recomendaciones más comunes, pero la realidad nos dice que en algunos casos son olvidadas.

Los tipos de Malware más conocidos son:

  • Troyanos
  • Gusanos
  • Polimórficos
  • De acción directa
  • De enlace o directorio
  • De macro
  • Encriptados
  • Bombas lógicas
  • De boot
  • Virus falsos
  • Residentes
  • De fichero
  • etc.

Tipos de Virus

Existen diferentes características para cada virus informático como ya se ha mencionado, se les solía clasificar como:

  • Virus de macro: Un macro es una secuencia de ordenes de teclado y mouse asignadas a una tecla en particular, muy usadas en documentos del tipo Office. Los virus de macros afectan a los documentos que los contienen.
  • Virus de archivos: Este tipo normalmente escribe código dentro de los ejecutables (archivos .exe, .com, etc) También es capaz de infectar archivos cargados desde disquetes, USB, unidades de red y al estar residentes en la memoria, infectarán todo archivo que sea ejecutado. Algunos virus de este tipo son Jerusalem y Cascade.
  • Virus del sector de arranque y el sector de arranque maestro: Infectan sectores de arranque y booteo de los disquetes, dispositivos de almacenamiento masivo, discos duros, incluso hasta la tabla de particiones de los discos.
  • Virus múltiples: Infectan tanto los archivos ejecutables como sectores de booteo
  • Hoax o falsa alarma de virus: son mensajes, generalmente distribuidos por correo electrónico que comparten similitudes con los emails del tipo “cadenas” Por lo general el contenido de estos mensajes es de alertar sobre un virus, como por ejemplo “Empresa Famosa ha informado de este virus”, “Si te envían un email que dice Tal cosa no lo abras es un virus” y así por el estilo.

Sin embargo, como todo en la tecnología los tipos de virus también han evolucionado, incluso hasta el punto en el que han aparecido las imitaciones de virus. Como ya he mencionado antes, aunque no son lo mismo y presentan diferencias entre sí, a los virus se les suele clasificar en la actualidad de la siguiente forma:

Gusanos (Worm)

Los gusanos, conocidos también como Worm o Iworm (Internet Worm – Gusano de Internet) son programas creados con la intención de reproducirse a través de los diferentes medios de comunicación como las redes P2P, el correo electrónico (posiblemente este sea el más común), sistemas de mensajería instantánea; gran parte de su objetivo es poder llegar a la mayor cantidad posible de computadores. Hay que hacer notar que en algunos casos los Gusanos informáticos solo son usados como medio de propagación para algún otro tipo de Malware.

Según nos cuenta la historia, el primer programa nocivo de este tipo data de 1988, llamado Morris por su creador Robert Tappan Morris, a quien (como dato curioso) le dieron 3 años de libertad condicional, 400 horas de servicio a la comunidad y una multa de $10.050. Se piensa que este episodio llevó a algunas grandes empresas a desarrollar los primeros Firewalls.

Otra de sus características es la de realizar ataques informáticos del tipo DDoS (Distributed Denial of Service) El ataque Distribuido de Denegación de Servicios es una derivación o ampliación del ataque tipo DoS (Denial of Service – Denegación de Servicio) el cual, a través de la generación de un gran flujo de datos usando varios puntos de conexión es capaz de causar que un sistema de cómputo quede inaccesible a sus usuarios. Esto provoca la pérdida de conexión, pérdida de datos e incluso pérdida de dinero para las empresas que sufren este tipo de ataques.

En la actualidad, sistemas operativos como Windows 2000, XP y Server 2003 han llegado a ser infectados sin ningún tipo de intervención por parte del usuario por virus como Sasser y Blaster, pero ¿cómo? El simple hecho de estar conectados a internet ya nos hace posibles víctimas para este tipo de virus inteligentes, que usan métodos de propagación agresivos. Existen diferentes formas de hacerlo, por medio de puertos abiertos en el computador, vulnerabilidades del sistema operativo que aún no han sido descubiertas o subsanadas, redes locales, etc; de ahí la importancia de mantener los computadores con todas las actualizaciones disponibles.

Los gusanos pueden replicarse a sí mismo y en gran volumen, por ejemplo, después de haber infectado un computador puede enviar una copia de si mismo a todos los contactos de la cuenta de correo electrónico que consiga en ese computador. También son capaces de causar sobrecargas en el sistema infectado debido al consumo de recursos que hacen del mismo. Uno de los gusanos más conocidos en fechas recientes es Conficker. Este gusano fue desarrollado para atacar sistemas operativos de Microsoft, explotando una vulnerabilidad en el servicio de Windows server que es usado por la mayoría de los sistemas operativos Windows.

Más recientemente, descubierto en 2010 el gusano Stuxnet desarrollado en cooperación entre el Gobierno de EEUU e Israel, afecta directamente a equipos con Windows. Es el primer gusano “conocido” desarrollado para espiar y reprogramar sistemas industriales, como plantas nucleares. Según un informe oficial del New York Times, se trata de un troyano desarrollado y financiado por Israel y Estados Unidos con el fin de atacar las centrales nucleares iranies.

Una de las diferencias entre Virus y Gusanos es que éste último no necesita infectar archivos sino como se dijo anteriormente, su propósito es mantenerse operativo en la memoria y duplicarse. Por lo general los Gusanos causan problemas en el tráfico de las redes consumiendo ancho de banda, a diferencia de los virus que buscan infectar y dañar archivos en el computador de la víctima.

Por estas características mencionadas, es muy habitual poder detectar una infección de gusanos, ya que debido a su replicación en grandes volúmenes consumen los recursos del sistema hasta llegar incluso a agotarlos por completo, evitando así que las operaciones más comunes se conviertan en tareas sumamente pesadas de procesar.

Troyano (Caballo de Troya)

TroyanosUn troyano es un software malicioso, presentado de manera inofensiva y/o legítima al usuario, al ser éste ejecutado ocasionará daños en el computador. El término troyano proviene del caballo de madera usado por los griegos para infiltrarse en la ciudad de Troya y capturarla. La definición clásica de un troyano es un programa que aparece como un programa legítimo pero al ejecutarlo ocasiona daños. Los troyanos no son autopropagables, característica que los distingue de los virus y gusanos.

Hoy en día, los troyanos suelen instalarse en secreto y lanzan su carga maliciosa sin que el usuario se entere de ello. Gran parte de los modernos programas delictivos (crimeware) la componen distintos tipos de troyanos que son específicamente diseñados con propósitos netamente maliciosos. Los más comunes son los troyanos backdoor (a menudo incluyen un keylogger), los troyanos espía, los troyanos ladrones de contraseñas, y los troyanos proxy que convierten el equipo del usuario en un centro de distribución de spam.

En principio los troyanos se hacían con el propósito de ocasionar la mayor cantidad de daño posible en un equipo infectado, esta tendencia ha venido cambiando con los años, hacia el robo de datos bancarios o información personal.

Parte de su historia nos cuenta que también han sido utilizados para operaciones de sabotaje, incluso casos sonados como el del Sabotaje al gasoducto siberiano en el 82 por parte de la CIA.

Así que en resumen, el objetivo principal de un troyano es permitir a un individuo (el atacante) el acceso remoto a un sistema (víctima). Una vez dentro, el atacante puede acceder al sistema de forma remota y realizar diferentes acciones sin necesitar permiso, como:

  • Utilizar la máquina como parte de una botnet
  • Instalación de otros programas maliciosos
  • Robo de información personal (bancaria, contraseñas, códigos de seguridad, etc)
  • Borrado o modificación de archivos
  • y un largo etc

Breve y didáctico video introductorio sobre Malware

Bombas lógicas

Las bombas lógicas son consideradas como una parte de código insertado en algún programa, por lo general son accionadas mediante un reloj de tiempo. El software que es inherentemente malicioso, como virus o gusanos informáticos, frecuentemente contiene bombas lógicas que ejecutan alguna acción en un tiempo predefinido o cuando cierta condición se cumple.

Hoax

El Hoax o Bulo no son realmente un virus ni tienen capacidad de réplica, son mensajes de contenido falso que incitan al usuario a hacer copias y enviarla a sus contactos. Suelen apelar a los sentimientos morales (“Ayuda a un niño enfermo de cáncer”) o al espíritu de solidaridad (“Aviso de un nuevo virus peligrosísimo”) y, en cualquier caso, tratan de aprovecharse de la falta de experiencia de los internautas novatos.

A diferencia del fraude el cual tiene normalmente una o varias víctimas y es cometido con propósitos delictivos y de lucro ilícito, el bulo tiene como objetivo el ser divulgado de manera masiva haciendo uso de los medios de comunicación, siendo el más popular de ellos en la actualidad Internet, encontrando su máxima expresión en los foros y en las cadenas de mensajes de los correos electrónicos. No suelen tener fines lucrativos o no son su fin primario y sin embargo pueden llegar a resultar muy destructivos.

La Asociación de Internautas, grupo independiente de internautas en pro de los derechos de los usuarios de Internet, ha realizado un estudio independiente a 3.129 internautas demostrando que 7 de cada 10 no saben distinguir entre una noticia verdadera y un rumor/ bulo, esto es grave, y es algo  que se puede subsanar atacando a la “ignorancia” de los usuarios.

Keylogger

Los keylogger son programas que registran las teclas que el usuario pulsa y los atacantes los usan para obtener información confidencial (nombres de usuario, contraseñas, números de tarjetas de crédito, PINs, etc.). Los troyanos backdoor suelen incorporar un keylogger en su funcionamiento. Pero no solamente pueden ser programas, sino que también los hay como Hardware.

Los sistemas comerciales disponibles incluyen dispositivos que pueden conectarse al cable del teclado y al teclado mismo. Escribir aplicaciones para realizar keylogging es trivial y, como cualquier programa computacional, puede ser distribuido a través de un troyano o como parte de un virus informático o gusano informático.

Phishing

El phishing es un tipo muy específico de ciberdelincuencia diseñado para engañar al usuario, haciéndole revelar información financiera confidencial. Los ciberdelincuentes crean un sitio web fraudulento que se parece casi completamente al sitio web de un banco legítimo, o al de cualquier otro sitio web en el que se realicen transacciones online, como por ejemplo e-Bay. Los delincuentes intentan engañar al usuario para que visite este sitio e introduzca sus datos confidenciales, como su nombre de usuario, su contraseña o su PIN. Por lo general, los ciberdelincuentes envían correos masivos con un hipervínculo al sitio fraudulento.

Video explicativo de Phishing y cómo protegerse de el

Rootkit

Este término describe una colección de programas que un atacante puede usar para evitar su detección mientras intenta acceder de forma ilegítima a un equipo. Aunque el término se originó en el ambiente Unix, se suele aplicar a las técnicas que los autores de troyanos para Windows usan para ocultar sus actividades ilegítimas. Se ha incrementado el uso de los rootkits para ocultar las actividades de los troyanos. Cuando se instalan en el sistema, los rootkits no sólo son invisibles ante los usuarios, sino que también están diseñados para evitar la detección de las soluciones de seguridad. El hecho de que mucha gente utilice la cuenta de adminsitrador, en vez de crear una cuenta separada con acceso restringido, facilita que los ciberdelincuentes instalen un rootkit.

Actualmente, el término es usado mas generalmente para referirse a la ocultación de rutinas en un programa malicioso. Por ejemplo, los rootkits evitan que un proceso malicioso sea visible en la lista de procesos del sistema o que sus ficheros sean visibles en el explorador de archivos. Este tipo de modificaciones consiguen ocultar cualquier indicio de que el ordenador esta infectado por un malware.

Drive-by Downloads

En una descarga del tipo “drive-by“, el equipo del usuario se infecta con solo visitar un sitio web que contenga un código malicioso. Los ciberdelincuentes buscan en Internet servidores vulnerables que puedan capturar. En estos servidores, los ciberdelincuentes inyectan su código malicioso (a menudo en forma de script malicioso) en las páginas web. Si el sistema operativo del equipo o una de sus aplicaciones no cuenta con los debidos parches, un programa malicioso se descargará en el equipo de manera automática cuando visite la página web infectada.

Spyware

Es un programa, que funciona dentro de la categoría malware, que se instala furtivamente en un ordenador para recopilar información sobre las actividades realizadas en éste. Estos programas pueden controlar las teclas que el usuario acciona (“keyloggers”), recopilar información confidencial (contraseñas, números de tarjetas de crédito, PINs, etc.), direcciones de correo electrónico o rastrear los hábitos de navegación en Internet del usuario. Además, el spyware inevitablemente afecta el rendimiento del equipo infectado.

Los programas espía pueden ser instalados en un ordenador mediante un virus, un troyano que se distribuye por correo electrónico, como el programa Magic Lantern desarrollado por el FBI, o bien puede estar oculto en la instalación de un programa aparentemente inocuo. Algunos programas descargados de sitios no confiables pueden tener instaladores con spyware y otro tipo de malware.

Spam (correo basura o correo no deseado)

Se llama spam, correo basura o mensaje basura a los mensajes no solicitados, no deseados o de remitente no conocido, habitualmente de tipo publicitario, generalmente enviados en grandes cantidades (incluso masivas) que perjudican de alguna o varias maneras al receptor.

Se envía en cantidades masivas por spammers (elaboradores de spam) que se lucran gracias al reducido porcentaje de destinatarios que les responden. El spam también se usa para robar informasción confidencial (phishing) y para propagar códigos maliciosos.

Botnets (ataques distribuidos)

El término se usa para designar una red de ordenadores controlados por ciberdelincuentes mediante troyanos u otros programas maliciosos. Este tipo de redes son usadas para el envío masivo de spam o para lanzar ataques DDoS contra organizaciones como forma de extorsión o para impedir su correcto funcionamiento. La ventaja que ofrece a los spammers el uso de ordenadores infectados es el anonimato, que les protege de la persecución policial.

Rogue software y Ransomware

Los rogue software hacen creer al usuario que la computadora está infectada por algún tipo de virus u otro tipo de software malicioso, esto induce al usuario a pagar por un software inútil o a instalar un software malicioso que supuestamente elimina las infecciones, pero el usuario no necesita ese software puesto que no está infectado.

Los Ransomware (criptovirus o secuestradores) hacen inaccesibles determinados ficheros en el ordenador y coacciona al usuario víctima a pagar un “rescate” (ransom en inglés) para poder acceder a la información. Generalmente lo que se hace es cifrar los ficheros con los que suela trabajar el usuario, por ejemplo, documentos de texto, hojas Excel, imágenes, etc.

Exploit

Este tipo de software se aprovecha de un agujero o de una vulnerabilidad en el sistema de un usuario para tener el acceso desautorizado al sistema. Con frecuencia, esto incluye cosas tales como la violenta toma de control de un sistema de cómputo o permitir la escalada de privilegios o un ataque de denegación de servicio.

Backdoor

Un backdoor o “puerta trasera” es un método para eludir los procedimientos normales de autenticación a la hora de conectarse a una computadora. Una vez que el sistema ha sido comprometido (por un troyano por ejemplo) una puerta trasera puede ser instalada para permitir un acceso remoto más fácil en el futuro. Las puertas traseras también pueden ser instaladas previamente al software malicioso para permitir la entrada de los atacantes. Puede ser utilizado por responsables de sistemas o webmasters con diversos fines dentro de una organización, pero también puede ser utilizados por atacantes para realizar varias acciones en el ordenador infectado.

El Fraude y las amenazas en Internet

El fraude en Internet se basa en la utilización maliciosa de tres elementos sobre los que se construye el engaño. La presencia de estos elementos varía según el tipo de fraude y son utilizados de manera complementaria.

  • La ingeniería social es la herramienta más utilizada para llevar a cabo toda clase de estafas, fraudes y timos sobre los usuarios más confiados a través del engaño. Estas técnicas consisten en utilizar un reclamo para atraer la atención del usuario y conseguir que actúe en la forma deseada, por ejemplo convenciéndole de la necesidad de que reenvíe un correo a su lista de direcciones, que abra un archivo que acaba de recibir que contiene un código malicioso, o que, como ocurre en el phishing, proporcione sus códigos y claves bancarias en una determinada página web. Para captar la atención del usuario que recibe el correo, se utilizan referencias a temas de actualidad, nombres de personajes famosos, denuncias de injusticias o catástrofes humanitarias o fechas significativas como la Navidad. Además, los timadores advierten de consecuencias negativas para el usuario que no siga sus indicaciones.
  • El correo masivo y no deseado, conocido como spam, constituye el mejor y más barato mecanismo de difusión de cualquier información y, por lo tanto, de cualquier intento de fraude.
  • El malware, virus, gusanos, troyanos, keyloggers, capturadores de pantalla, etc, diseñados específicamente para realizar tareas fraudulentas interceptan los datos que el usuario intercambia con una determinada entidad o las pulsaciones de su teclado.

Como podemos ver en este resumen de amenazas, ya no solo se trata de virus y troyanos, sino una serie de técnicas que han podido evolucionar y que hoy en día se han funcionado para realizar sofisticados ataques.

Todo lo expuesto anteriormente no es más que “la punta del iceberg”, bien podríamos continuar nuestra lista de amenazas y malware, ya que como se ha mencionado estos métodos siguen evolucionando.

Veamos ahora como es el proceso de un ataque de Malware

Ciclo de un ataque de Malware

Cuando se intenta detallar un ataque informático para comprender su funcionamiento, es importante diferenciar cada una de las distintas etapas que lo componen. Al investigar una amenaza es importante identificar las técnicas utilizadas en el desarrollo, propagación y recopilación de información con el objetivo de analizar y proteger a los usuarios. En el siguiente gráfico se ven las etapas del ciclo:

La primera etapa dentro del ciclo de un ataque informático es el análisis de qué es lo que se quiere hacer, en esta instancia un ciber criminal diagrama cuál es la información que quiere obtener y si el mismo es viable o no. Una vez que decide si va a continuar con el ataque o no, procede a desarrollar el código malicioso u obtener un crimepack por el cuál debe pagar una suma de dinero (algunos ejemplos son Zeus y SpyEye), que le permitan montar su plataforma para realizar los ataques, otra de las opciones es que le paguen a un botmaster para que instale su malware en la red de computadoras zombis que administra.

Otra de la técnicas más comunes son los ataques de phishing a través de correos falsos, si bien no se suelen utilizar códigos maliciosos para este fin, muchos usuarios ingresan a sitios maliciosos al no reconocer que el correo no es verídico.

Una vez que la etapa de desarrollo ha finalizado el siguiente paso es la campaña de propagación de la amenaza. En este momento, el atacante define cuál va a ser la metodología utilizada para viralizar su ataque y llegar a la mayor cantidad de víctimas posible. Entre los métodos más conocidos se encuentra el envió masivo de correos electrónicos, la publicación de noticias en las redes sociales, infecciones a través de dispositivos USB o a través de una página web con contenido malicioso.

Desde una cuenta falsa de correo se envía a una serie de usuarios un mensaje con un contenido X, aquellos usuarios que accedan al correo y caigan en el engaño, pueden comprometer su sistema si no cuentan con una solución de seguridad o acceder a un sitio falso en dónde deberán ingresar sus credenciales, en caso de que se trate de un phishing. Sea cual sea el ataque, en una primera instancia se envia a una cantidad de posibles víctimas, suponiendo una etapa inicial de 100 cuentas de correo a las que se envía el ataque. Con que solo el 5% caiga en el engaño el usuario y contraseña de esas personas quedan en manos del atacante, luego puede utilizar dichas cuentas para volver a enviar la información a los contactos, durante una nueva campaña de propagación.

Una vez que se ha liberado el ataque y la propagación del mismo a tantos usuarios como se aposible, el atacante comienza a recopilar la información que para luego volver a realizar campaña o vender los datos que ha robado de los usuarios infectados en el mercado negro. Según el último informe de LACNIC para Latinoamérica, los datos de una tarjeta de crédito se venden en el mercado negro en un promedio de 0,98 centavos de dólar cada una. Durante esta etapa de recopilación de información, el atacante almacena entre otras cosas:

  • Credenciales de acceso a cuentas de bancos
  • Credenciales de acceso a cuentas de correos
  • Credenciales de acceso a las redes sociales (Facebook, Twitter, etc)
  • Información personal del usuario

Sin importar para qué plataforma es desarrollado el ataque, estas 5 etapas (Análisis, Desarrollo, Propagación, Infección de los sistemas y Recopilación de información) se vuelven parte de un proceso cíclico ejecutado una y otra vez por los atacantes con un único objetivo: vulnerar la seguridad del usuario o sus sistemas para obtener información que luego utilizan para su beneficio.

Licencia de Creative CommonsCaracterísticas y funcionamiento del Malware by Expresión Binaria is licensed under a Creative Commons Reconocimiento-NoComercial-CompartirIgual 3.0 Unported License


Fuentes consultadas: Wikipedia | Youtube | Kaspersky | Microsoft | Symantec | Infospyware | ESET

Características y funcionamiento del Malware
4.67 (93.33%) 6 votos

Etiquetas: , , , , , , ,


Deja un comentario

Cuanto es 20 + 12 ?
Please leave these two fields as-is:
IMPORTANTE! Necesitas resolver la operación matemática para poder continuar.

Newsletter

Redes sociales

Centro de soporte

Centro de recursos