arbol de noticias logo

Árbol de Noticias

La información al alcance de todos

 

TREND Micro

NUWAR ha vuelto. NUWAR, que ya era una amenaza importante en 2006, ahora es una de las herramientas que los ciber criminales están usando en una variedad de amenazas. NUWAR es un ejemplo clásico de las amenazas que afectan hoy a los usuarios de PCs: combinada y secuencial, utilizado para ataques regionales y dirigidos, incluye un componente Web y busca directamente el beneficio económico.

La Historia de NUWAR

El gusano NUWAR surgió por primera vez a finales de 2006, cuando se propagaba a través de mensajes de correo electrónico masivo con asuntos relacionados con la guerra y archivos adjuntos ejecutables capaces de transformar los ordenadores personales en generadores de correos con gusanos infecciosos y spam. El archivo adjunto, cuando se ejecutaba, colocaba un componente descargador en la máquina afectada y plantaba copias del módulo para el envío de correo masivo; después, descargaba otros cuatro componentes. Éstos incluían un nuevo descargador (el cual permitía importar nuevos módulos sin detección) y un rootkit que ocultaba todo el armamento del código malicioso.

Después de su primera aparición antes de Halloween de 2006, apareció una nueva familia de variantes casi un mes después. Probando que la ingeniería social – utilizada ampliamente por el código malicioso en la era de las infecciones – es tan útil en esta era de ataques dirigidos, se descubrió una nueva variación para mejorar la táctica de esta familia de ofrecer supuestas noticias sobre la guerra. Esta variante se conectaba a www.cnn.com y analizaba la sección “Most Popular” del sitio de noticias. Entonces utilizaba los titulares de esta sección como la línea de asunto. Para complementar esto, el nombre que se le daba al archivo adjunto era CNN.EXE o CNN LATEST NEWS.EXE, entre otros.

Una Combinación Poderosa

No fue hasta enero de 2007, cuando llegaron las variantes del troyano a través de mensajes de spam, que NUWAR obtuvo mucha publicidad y fue parte de la primera gran amenaza de 2007. Aprovechando la tormenta “Kyrill” de 200 kmp que azotó a Europa Oriental, una gran cantidad de mensajes de correo electrónico se enviaron a destinatarios confiados conteniendo el asunto “230 muertos provoca la tormenta que afecta a Europa”. Preocupados y curiosos, los receptores que se sintieron atraídos a abrir los archivos adjuntos llamados full clip.exe, full store.exe, full video.exe y read more.exe, metieron sin advertirlo un descargador de troyanos a sus equipos informáticos. 

Esta combinación de ingeniería social, un gusano para propagarse y la tecnología de rootkit para medidas sigilosas, se combinaron en esta variante, utilizaron  WORM_NUWAR.CQ y el troyano TROJ_SMALL.EDW en el Kyrill, para realizar ataques muy dañinos. TROJ-SMALL.EDW creó un botnet basado en P2P no tradicional, ofreciendo un canal por medio del cual todas las máquinas comprometidas podían comunicarse. Para más información sobre esta amenaza combinada, visite


NUWAR y el Fraude

NUWAR también es conocido por crear una red zombi que enviaba spam de “bombeo e inundación”. Este spam es un tipo de fraude financiero que implica la creación de una demanda artificial de acciones para que sus precios se eleven. Es una estafa que ha demostrado ser rentable; cuando los precios de las acciones llegan a su punto más alto, los estafadores venden sus acciones y dejan de crear la demanda artificial, y naturalmente los precios caen incluso más rápido de lo que aumentaron. A principios de 2007, la Comisión de Valores e Intercambio de Estados Unidos suspendió a 35 compañías que supuestamente estarían involucradas en esta forma de spam. Algunos informes indican que esta técnica representa hasta 25% de todo el spam.

En Abril, Trend Micro comunicó que una variante de NUWAR se estaba propagando vía correo electrónico y persuadía a los usuarios para ejecutar su copia al advertirles –irónicamente– de que se había detectado un gusano en sus sistemas. Usando una técnica empleada por un código malicioso anterior, WORM_NUWAR.AOP llegó a través de un archivo ZIP protegido con contraseña como un parche o una solución de seguridad para eliminar el código malicioso. La contraseña estaba incluida en el correo electrónico.

A finales de abril, NUWAR utilizó su técnica una vez más. Esta variante de NUWAR realizó sus asaltos contenidos en un archivo RAR protegido con una contraseña. Identificado por Trend Micro como WORM_NUWAR.AOS, el gusano fue enviado como spam mediante correos que continuaban lo que WORM_NUWAR.AOP inició, aunque con un alcance mayor: los mensajes de correo más recientes declaraban “¡Virus Detectado!” y “Spyware Detectado”, entre otros. Como en el gusano WORM_NUWAR.AOP, el cuerpo del mensaje es un archivo de imagen. Este patrón continuó en julio con la detección de WORM_NUWAR.EN, que tiene mensajes en formato GIF. (Los creadores de código malicioso usan imágenes en un intento por evadir los filtros de contenido de correo electrónico).

Conclusión

Con la liberación de estas variantes parece que NUWAR tardará en desaparecer. En sólo unos meses ha mostrado un patrón interesante de tácticas de ingeniería social. Sus autores siempre parecen estar pendientes de qué eventos explotar o crean tácticas totalmente nuevas para utilizar este código malicioso. NUWAR es ejemplo de lo fuerte que se ha convertido la industria del código malicioso pues se crean nuevas variantes y se utilizan nuevas técnicas para infectar PCs. Una fortaleza estimulada por las ganancias económicas.

Protección contra NUWAR

Como se describe en el artículo anterior, NUWAR es claramente un ataque de ingeniería social, y los usuarios son el principal objetivo. Por tanto, la protección contra los efectos de NUWAR implica la cautela y la vigilancia de los usuarios. Por ejemplo, las líneas de asunto de los correos electrónicos que presentan una declaración que parece muy buena para ser cierta (como “Dinero Rápido”), probablemente son demasiado buenas para ser ciertas. De igual forma, responder a un anuncio enviado por correo electrónico que promueve la venta de software de seguridad no es la mejor forma de adquirirlo, así que ignore dichos mensajes. No abra correos que no espera o que provengan de fuentes de noticias poco fiables; dependa de sitios de noticias de confianza o comunicaciones de éstos. Sea especialmente cuidadoso a la hora de hacer click en las imágenes de correos electrónicos no deseados; los creadores de código malicioso están usando cada vez más spam de imágenes para tratar de evadir la detección. Éstos son sólo algunos ejemplos de prácticas que podrían adoptarse; sin duda, los ciber criminales continuarán maquinando nuevas técnicas de ingeniería social que tentarán incluso al usuario más precavido. Antes de dar clic a un archivo adjunto, o incluso abrir un correo electrónico, pregúntese si solicitó este correo electrónico y si es de una fuente confiable.

Las mejores prácticas para consumidores

También los consumidores deben adoptar las siguientes mejores prácticas para reducir la vulnerabilidad a amenazas como NUWAR que utilizan la ingeniería social:
•    Analizar los archivos adjuntos de correo electrónico y de la mensajería instantánea con software de seguridad como Trend Micro Internet Security 2007
•    Abrir archivos adjuntos sólo de fuentes conocidas o esperadas
•    Eliminar todos los mensajes no deseados o sospechosos sin abrirlos
•    Cuando se navega por la web, utilizar software de seguridad como Trend Micro Internet Security 2007 para protegerse
•    Hacer click en enlaces Web enviados sólo por fuentes conocidas o esperadas
•    Mantener actualizados todos los parches de seguridad del navegador y de la mensajería instantánea
•    Consultar con su proveedor de servicio Internet (ISP) cuál es el nivel de protección que se ofrece contra el código malicioso
•    Aplicar todos los parches de seguridad para el sistema operativo que ofrece el proveedor del mismo, de forma oportuna
Mejores Prácticas para Empresas

Las empresas pueden implementar las siguientes estrategias:
•    Implementar un modelo de múltiples capas que ofrezca seguridad en todos los puntos de entrada posibles – incluyendo el gateway Internet, el gateway de mensajería, los clientes, los servidores y la red. Trend Micro ofrece una variedad de productos y soluciones contra el código malicioso que se adaptan a las necesidades de su empresa.
•    Mantener actualizados todos los parches de seguridad del navegador y de la mensajería instantánea
•    Educar a los empleados sobre las amenazas más recientes, los síntomas de infección, y cómo proteger los servidores, los PCs y los dispositivos móviles:

-    Sólo abrir los archivos adjuntos de fuentes conocidas o esperadas.
-    Eliminar todos los mensajes no deseados o sospechosos sin abrirlos.
-    Hacer click en enlaces Web enviados sólo por fuentes conocidas o esperadas
-    Limitar la navegación por Internet sólo a actividades relacionadas con el negocio.
-    No inhabilitar el antivirus empresarial, el firewall u otra protección de seguridad para Internet.
-    Buscar apoyo de TI si experimenta lo siguiente:
-    El desempeño del sistema se ralentiza.
-    Los archivos se han corrompido o se han eliminado y ya no puede abrirlos.
-    Los programas más utilizados ya no funcionan adecuadamente.
-    Reducción considerable en el espacio del disco duro y la memoria.


Acerca de Trend Micro Incorporated

Trend Micro Incorporated es una multinacional pionera en la gestión de contenidos seguros y amenazas. Fundada en 1988, Trend Micro ofrece software de seguridad, hardware y servicios tanto a usuarios individuales como a corporaciones independientemente de su tamaño.  Con sede en Tokio y operaciones en más de 30 países, las soluciones de Trend Micro pueden adquirirse a través de distribuidores empresariales y de valor añadido y de proveedores de servicios en todo el mundo.  Más información y copias de evaluación de los productos y servicios de Trend Micro

*Trend Micro y el logotipo t-ball son marcas comerciales o marcas registradas de Trend Micro Incorporated. Todos los otros nombres de empresas o productos pueden ser marcas comerciales o marcas registradas de sus propietarios.