Los investigadores de seguridad de Check Point han expresado su preocupación ante el constante crecimiento de las infecciones mRAT (Mobile Remote Access Trojans, en inglés, o Troyanos Móviles de Acceso Remoto en español) y la gran distribución que está teniendo por parte de los cibercriminales. Este tipo de infecciones busca hacerse con el control administrativo de los dispositivos móviles, graba todo lo que se escribe (a modo de keylogger en PC), toma el control de la cámara y el micrófono, entre otras funciones más avanzadas.

Los Troyanos Móviles de Acceso Remoto no siempre fueron una amenaza, es más, quizás más dispositivos de los que piensas tiene uno instalado, el problema es que ahora se utilizan con fines maliciosos. Estas aplicaciones son kits de vigilancia para dispositivos móviles que se comercializan para garantizar la seguridad y tiene funciones como el conocido control parental, que permite bloquear ciertas opciones para proteger el sistema de los más pequeños. En cambio, los cibercriminales utilizan estas aplicaciones con otros fines no tan agradables, y pueden ser descargados sin el consentimiento del usuario mediante programas maliciosos instalados por el usuario, o simplemente ingresando a un vínculo enviado por correo electrónico o mensajes de texto.

Como ejemplo, desde Check Point recuerdan un caso sucedido a finales del año pasado, cuando un mRAT de vigilancia infectó a dispositivos Android e iOS de los partidarios del movimiento Occupy Central de Hong Kong. La amenaza se fue distribuyendo sin el consentimiento de los infectados y se extendió mediante enlaces enviados y recibidos de la aplicación de mensajería WhatsApp.

“Los mRAT ofrecen un potente conjunto de capacidades, lo que les hace tremendamente interesantes para los cibercriminales. Permiten pasar por alto los controles de seguridad en los sistemas de gestión del móvil, dándoles la posibilidad de espiar llamadas o reuniones, extraer información de los correos electrónicos corporativos y mensajes de texto, así como rastrear la ubicación de los ejecutivos. También son capaces de interceptar las comunicaciones en las aplicaciones de terceros”, indica Mario García, director general de Check Point para España y Portugal.

Desde Check Point señalan que, todas las características mencionadas hacen que los mRAT sean comparados con los ataques spear-phishing contra las redes convencionales que ya han tenido víctimas de alto perfil durante los últimos meses, empresas como Target, Marcus, Anthem, Neiman, e inclusive la más conocida, Sony Pictures.

“Sirven como trampolines hacia las redes empresariales, permitiendo a los atacantes dirigirse a organizaciones específicas e inclusive individuos concretos dentro de las mismas para obtener acceso oculto a los datos corporativos sensibles”, explica Mario García.

Las firmas Check Point y Lacoon han realizado recientemente un estudio donde se analizaron las comunicaciones de más de 900 mil dispositivos móviles durante varios meses, en los informes se explicó que las tasas de infección por mRAT más significativas provenían de países como Estados Unidos, y se distribuían de igual manera, tanto en Android como iOS. También se logró descubrir que en varias oportunidades los mRAT estaban enviando tráfico desde dispositivos móviles mediante redes Wi-Fi por largos períodos de tiempo, hablamos de semanas y meses.

Para protegerse de estas amenazas los expertos aconsejan una seguridad móvil que permita proteger los dispositivos estén donde estén. Es de suma importancia la corrección sobre el dispositivo para bloquear en el momento cualquier actividad o tráfico generado por los mRAT que están circulando por la red.

Las organizaciones tienen que implementar soluciones que puedan identificar cualquier comportamiento sospechoso de una aplicación, en el dispositivo del usuario o en la red corporativa, para poder localizar y aminorar el daño que puede causar el mRAT. Si bien esta amenaza ataca más que nada a objetivos que son de interés para los cibercriminales, también un usuario “doméstico” puede verse involucrado. Los mRAT no siempre son detectados por un sistema anti-malware para dispositivos móviles, por ese motivo es necesario que se utilice el sentido común y no hacer click en cualquier enlace que recibimos, ya sea por mensajería o correo electrónico, y tampoco descargar aplicaciones de tiendas no oficiales.

Las empresas deben tener mucho cuidado de los dispositivos móviles que otorgan a sus empleados, si no son correctamente gestionados y protegidos con precaución es posible que un intruso esté robando información privada.

 

Una vez más Lenovo vuelve a ser noticia en todo el mundo, un caso muy parecido a lo que sucedió meses atrás es lo que se está comentando a estas horas. Cuando comenzaba el 2015, Lenovo fue descubierta por preinstalar en sus equipos el adware Superfish, una herramienta que permitía entre otras cosas, robar datos personales. Si vamos aún más atrás, Lenovo estaba involucrada en suministrarle equipos de su fabricación a las redes de la inteligencia y defensa de Australia, Estados Unidos, Gran Bretaña, Canadá y Nueva Zelanda.

Esta semana, la firma china Lenovo se vio envuelta en un manto de críticas por el hallazgo de un bloatware instalado de fábrica en sus equipos. Quizás para muchos el término bloatware es nuevo, pero a grandes rasgos se trata del reemplazo de un archivo por otro creado por otra persona para sacar beneficios del usuario implicado. Esto no quiere decir que Lenovo juegue a tratar de robar información o espiar la privacidad de sus usuarios, pero ya está poniéndose bastante extraña la insistencia de querer instalar herramientas invasivas en sus productos.

Fueron varios los usuarios que denunciaban que algunos equipos de la firma china instalaban software sin su consentimiento, inclusive tenían una herramienta interna que seguía instalando programas una vez que se hacía una instalación limpia de Windows luego de formatear el disco duro. Si alguna vez compraste una Notebook de alguna marca conocida, te habrás dado cuenta al iniciarla por primera vez que tiene programas instalados por el fabricante, que en muchos casos los terminas desinstalando porque no te sirven de nada, pero Lenovo sigue instalando estos programas sin el permiso del usuario luego de formatear el disco duro en alguno de sus modelos, algo muy extraño que no debería ser así.

El reciente caso se viene llevando a cabo en los últimos meses, varias personas que adquirieron un equipo Lenovo se dieron cuenta cómo el sistema sobrescribía de forma automática y encubierta un archivo del sistema cada vez que se iniciaba el equipo, descargando un actualizador de Lenovo e instalando software automáticamente, inclusive haciendo la instalación desde un DVD de Windows que nada tenía que ver con el instalado por el fabricante.

La herramienta descubierta utiliza una característica de Windows oculta para preinstalar un rootkit/bootkit en algunas Notebooks. La instalación está vinculada al servicio Lenovo Service Engine, que viene en el firmware de las motherboards que utiliza el fabricante. Lo que hace es chequear si Windows está instalado, si es así, automáticamente descarga e instala software de Lenovo durante el proceso de inicio, pero justo antes de que se inicie el sistema, y por si fuera poco, sobrescribe algunos archivos originales de Windows. Todo esto para asegurarse de que si el usuario tenía o instalaba el sistema Windows, el software de la firma iba a tener que estar presente sí o sí.

Lenovo Service Engine es una característica que tiene las facultades de instalar software, actualizar drivers, firmwares y otras aplicaciones instaladas en Windows, inclusive si el usuario desinstala el software previamente instalado, Lenovo Service Engine se actualiza automáticamente una vez se reinicia el equipo.

Esta herramienta tiene diferentes características según si es un equipo de sobremesa o un portátil. Para los equipos de escritorio, la descripción de Lenovo explica que “el software no envía ninguna información de identificación personal, pero sí alguna información básica, incluyendo el identificador de modelo, fecha y región a un servidor de Lenovo”. Desde la compañía se dice que el proceso solo se efectúa por única vez, es decir, la primera vez que el equipo se conecta a internet.

Para los equipos portátiles, Lenovo Service Engine instala un programa llamado OneKey Optimizer, según ellos “se utiliza para mejorar el rendimiento del equipo actualizando el firmware, controladores y aplicaciones preinstaladas”.

Lo que hace Lenovo Service Engine es comprobar en cada inicio de sistema si el archivo “autochk.exe” era el instalado por la empresa, o el original del sistema operativo, de no ser así, el equipo sobrescribe el archivo “autochk.exe” de Windows por el creado por Lenovo. A su vez, también genera otros dos nuevos archivos ejecutables llamados “LenovoUpdate.exe” y “LenovoCheck.exe”, y configura un servicio en el equipo para ejecutar uno de ellos cuando el usuario se conecta a internet.

A pesar de los problemas reportados, Lenovo ha escuchado las críticas acerca de los equipos con problemas que están en el mercado hace meses, y ha publicado un parche para solucionar esta “vulnerabilidad”, según ellos. También se lanzó una lista de los modelos afectados en equipos de sobremesa y portátiles que están en el mercado.

Los portátiles son los siguientes:

• Lenovo Flex 2 Pro 15 (Broadwell)
• Lenovo Flex 2 Pro 15 (Haswell)
• Lenovo Flex 3 1120
• Lenovo Flex 3 1470/1570
• Lenovo G40-80/G50-80/G50-80 Touch
• Lenovo S41-70/U41-70
• Lenovo S435/M40-35
• Lenovo V3000
• Lenovo Y40-80
• Lenovo Yoga 3 11
• Lenovo Yoga 3 14
• Lenovo Z41-70/Z51-70
• Lenovo Z70-80/G70-80

Y los equipos de sobremesa:

• Lenovo A540/A740
• Lenovo B4030
• Lenovo B5030
• Lenovo B5035
• Lenovo B750
• Lenovo H3000
• Lenovo H3050
• Lenovo H5000
• Lenovo H5050
• Lenovo H5055
• Lenovo Horizon 2 27
• Lenovo Horizon 2e(Yoga Home 500)
• Lenovo Horizon 2S
• Lenovo C260
• Lenovo C2005
• Lenovo C2030
• Lenovo C4005
• Lenovo C4030
• Lenovo C5030
• Lenovo X310(A78)
• Lenovo X315(B85)

Los usuarios que quieran solucionar este problema, deberán descargar y seguir los pasos detallados en la página de Lenovo según su modelo.

Para equipos de sobremesa (Windows 8.1 y 10): https://support.lenovo.com/cl/es/downloads/ds104373

Para portátiles: https://support.lenovo.com/us/en/product_security/lse_bios_notebook

Lenovo ya discontinuó la instalación de esta herramienta en sus equipos, más específicamente desde junio ya no se están distribuyendo equipos con Lenovo Service Engine.

Una vez más la firma Kaspersky Lab ha publicado datos de su informe sobre amenazas, en esta oportunidad del segundo trimestre del año que corre. Los datos fríos indican que en este período de tiempo se detectaron y rechazaron aproximadamente 379.9 millones de ataques maliciosos desde recursos online ubicados en diversos países, un 19% menos que en el trimestre anterior. En cuanto a este trimestre analizado, un 23.9% de los equipos de los usuarios se vieron involucrados en un ataque web por lo menos una vez, 2.4% menos que el primer trimestre, así mismo se logró detectar 26 millones de objetos maliciosos, cifra muy por debajo del primer trimestre, 8.4% menos.

 

No hay que tomar estos registros a la ligera y pensar que las amenazas cesaron, a pesar de que los datos muestran una leve mejoría en cuanto a la cantidad de piezas únicas detectadas, Kaspersky indica que las amenazas móviles continúan en constante aumento. Las cifras indican que se detectaron 291.800 mil nuevas piezas de malware móvil, 2.8% más que el trimestre anterior, siendo su principal objetivo la banca móvil. Y si hablamos de la banca móvil, se puede poner como ejemplo el troyano Trojan-SMS.AndroidOS.OpFake.cc, que en sus tiempos supo atacar unas 29 aplicaciones financieras y bancarias, causando grandes estragos a los usuarios que hicieran uso de las mismas.

 

Siguiendo con el tema de la banca online, el informe indica que hubieron 5.900.000 millones de notificaciones de infecciones de malware intentando robar dinero mediante el acceso online a las cuentas bancarias de sus víctimas, en el trimestre anterior se registraron 800.000 mil casos menos. Lo que sí tuvo un aumento marcado fueron los ataques dirigidos a objetivos específicos, por lo general siempre suelen ser gubernamentales o grandes empresas que manejen grandes valores para los cibercriminales, las cuatro campañas que más causaron revuelo fueron: CozyDuke, Naikon, Hellsing y Duku 2.0. Otra un tanto diferente es Grabit, los cibercriminales en este caso se centraron en las pequeñas y medianas empresas como sus principales objetivos.

 

Si continuamos hablando de amenazas para dispositivos móviles, recientemente la firma Zimperium ha descubierto una grave vulnerabilidad StageFright que está afectando a los dispositivos con sistema operativo Android.

 

“El 27 de julio, el proveedor de sistemas de seguridad móvil Zimperium anunciaba una vulnerabilidad descubierta en la librería de Android llamada StageFright, responsable de procesar distintos formatos de medios. El escenario más peligroso del ataque era un mensaje especial creado a mano que utiliza el formato MMS, que podría ser procesado con la ayuda de la librería StageFright”, explican desde la firma Fortinet, donde se encuentran analizado minuciosamente la vulnerabilidad.

 

Según explica la firma, al recibir el mensaje malicioso, la aplicación encargada de gestionar los mensajes de tipo MMS muestra una vista previa del contenido en la zona de notificaciones del dispositivo móvil, así es como consigue que el código vulnerable se ponga en marcha para comenzar a hacer de las suyas. Fortinet alerta a los usuarios sobre esta vulnerabilidad, ya que la cataloga como crítica, porque es capaz de afectar al dispositivo móvil sin necesidad de una interacción por parte del usuario, simplemente recibiendo un MMS estaríamos en riesgo.

 

A diferencia de otro tipo de incidencia como exploits, troyanos y otro tipo de malware, StageFright es capaz de actuar por sí mismo, las otras amenazas necesitan que el usuario las instale, ingrese a un enlace, abra un mensaje, etc. ¿Cómo se puede evitar ser víctima de la vulnerabilidad? Según Fortinet es recomendable deshabilitar la descarga automática de mensajes MMS en las aplicaciones que gestionan los mensajes en los móviles, Android Messaging o Google Hangouts son las más populares.

 

Hoy en día no es tan común recibir mensajes MMS con el uso de aplicaciones de mensajería instantánea como Whatsapp, donde prácticamente se puede enviar y recibir cualquier tipo de información, los mensajes de texto y MMS están quedando en desuso poco a poco, pero ya vemos como los cibercriminales continúan tratando de explotar hasta el más mínimo rincón del dispositivo móvil.

Si eres una de esas personas que recibe MMS comúnmente y no quieres deshabilitar la opción de descarga automática, lo mejor sería que actualizaras tu sistema operativo. Hay nuevas versiones de Android que ya cuentan con un parche correctivo que soluciona este problema, CyanogenMod y Blackphone están actualizados contra la vulnerabilidad.

 

El mes de julio está siendo más agitado de lo que se esperaba, en cuanto a vulnerabilidades, ya han salido varias de carácter crítico. Sin dudas este mes quedará marcado por el caso de Hacking Team, Java, y por Flash Player, aunque eso ya no es ninguna novedad y se ha transformado en tema corriente. Lo que nos trae aquí el día de hoy es el reciente descubrimiento de cuatro vulnerabilidades 0-Day en Internet Explorer.

 

La firma Zero Day Initiative, responsable del descubrimiento y publicación de las mismas explican que, todas permiten la ejecución de código por los atacantes si su víctima utiliza  una versión de Internet Explorer vulnerable. El atacante no es capaz de acceder al sistema sin el permiso del usuario, para ingresar de forma exitosa el usuario debe entrar a un sitio web específico o abrir un archivo malicioso.

Las vulnerabilidades son muy parecidas entre sí y buscan manipular ciertos elementos del navegador, veamos cómo actúan cada una de ellas:

 

Número 1: Identificada como ZDI-15-359, es la primera vulnerabilidad descubierta, se relaciona con la forma en la que Internet Explorer procesa los arrays que representan las celdas en tablas HTML. Los atacantes pueden acceder al equipo mediante la manipulación de los elementos del final de un array en las celdas HTML, aquí es donde se utiliza la vulnerabilidad para ejecutar código malicioso en torno al proceso que se esté ejecutando en ese momento.

 

Número 2: Lleva el nombre ZDI-15-360, se lleva a cabo mediante la manipulación de los objetos CAttrArray. Controlando a su gusto los elementos de un documento, el atacante puede forzar un puntero suspendido que fuese reutilizado cuando se haya liberado. Al igual que la anterior, se puede ejecutar código malicioso en torno al proceso que se esté ejecutando en ese momento.

 

Número 3: Con el nombre ZDI-15-361, se lleva a cabo en el manejo de objetos CCurrentStyle, para explotarla se tendría que manipular los elementos de un documento y el atacante podría forzar un puntero suspendido que fuese reutilizado una vez que se haya liberado. Y nuevamente, se puede ejecutar código malicioso en torno al proceso que se esté ejecutando en ese momento.

 

Número 4: La última descubierta, bajo el nombre ZDI-15-362, para este caso en particular, se produce en el manejo de objetos CTreePos. Al manipular los elementos de un documento, un atacante podría forzar un puntero suspendido que fuese reutilizado una vez que se haya liberado. Nuevamente el atacante puede aprovecharse de la vulnerabilidad para ejecutar código malicioso en torno al proceso que se esté ejecutando en ese momento.

 

Actualmente no existe un parche que solucione estos problemas en el navegador de Microsoft, y Zero Day Initiative divulgó la información sobre las vulnerabilidades según su política, si luego de 120 días de notificarle a la compañía sobre los fallos no hay una actualización, se procede a hacer públicos los informes. Una política muy similar a la utilizada por Google, pero con más plazo para que los responsables tratan de parchear los problemas.

 

La vulnerabilidad está afectado a absolutamente todas las versiones de Internet Explorer, inclusive si usas Windows en tu dispositivo móvil estás en peligro. Desde Zero Day Initiative explican que se desconoce el alcance que podría llegar a tener estos fallos de seguridad, y cómo serán manipulados en caso de que Microsoft no los parchee a la brevedad, hay miles de personas que utilizan Internet Explorer y se encuentran en peligro en este momento.

 

Si usas Internet Explorer para navegar diariamente por la red, te recomendamos algunas cosas para que reduzcas las posibilidades de ser afectado por las vulnerabilidades 0-Day, o quizás te animes a probar otro navegador diferente hasta que se pueda solucionar el problema.

 

La vulnerabilidad no se activa sin el consentimiento del usuario, por lo tanto, el que tiene que estar alerta eres tú. El atacante buscará que accedas a un sitio o abras un archivo para hacerte caer en su trampa, no abras correos y mucho menos descargues adjuntos de desconocidos, la primera barrera de defensa es el propio usuario.

 

En cuanto a lo que software se refiere, es posible configurar Internet Explorer para que nos advierta cuando vaya a ejecutar Active Scripting, de lo contrario se puede desactivar Active Scripting en el apartado de seguridad de Internet como en la Intranet Local.

Una herramienta de mucha utilidad es el Kit de Herramientas de Experiencia de Mitigación Mejorada (EMET 5.2) de Microsoft, esto ayuda a prevenir la explotación de diversas vulnerabilidades y se usa generalmente en las empresas, no es nada difícil de manejar para un usuario normal, pero se requiere ciertos conocimientos básicos sobre el tema. EMET combate las técnicas de evasión DEP y ASLR, junto con otros métodos de explotación que vienen dando vuelta por la red.

 

Usa una solución antivirus que contenga un sistema de bloqueo de exploits, esto de dará una seguridad extra en caso de que te topes con alguno. Pero no te confíes, no siempre las defensas de los antivirus van a detectar todos los exploits que salen a la luz, estos se detectan en base a un análisis en su comportamiento que no siempre es el mismo para cada caso.

 

 

 

La hora de la verdad ha llegado, Windows 10 es una realidad desde el pasado 29 de julio, fecha marcada para aquellos que dispongan de Windows 7, 8 u 8.1. La actualización se está llevando a cabo a un gran ritmo, y parece ser que varias personas han decidido migrarse al nuevo sistema de Microsoft, se estima que unas 14 millones de personas ya han descargado el sistema en las primeras 24 horas de salida. Posiblemente este éxito se deba a la nueva política de Microsoft de actualizar al nuevo sistema Windows 10, sin ningún tipo de costo extra al poseer una licencia original de los anteriores mencionados.

 

Se especula que Windows 10 será el sistema operativo definitivo de Microsoft y se irá actualizando a lo largo de los años, mejorado en su interface, nuevas características muy atractivas, hacen al sistema operativo un híbrido entre sus sucesores. Microsoft ofrece gratuitamente la actualización durante un año, y es posible hacerla sin perder ninguno de nuestros datos, pero la firma Acronis ha publicado una serie de consejos a tener en cuenta antes de instalar Windows 10.

 

El primer consejo, en caso de tener varios equipos en tu hogar, es probarlo en uno, familiarízate con los pasos que tienes que dar a lo largo del proceso de instalación, no los actualices todos juntos a lo loco. Prueba el sistema operativo y todos los programas que tengas instalados, si utilizas algún programa para trabajo u otro que te es de suma importancia diariamente, asegúrate que funciona como debería. Windows 10 es muy parecido al 8.1, pero no quiere decir que en el 100% de los casos funcionen todas las aplicaciones. Algo a destacar es que si no te convenció Windows 10, tienes un período de tiempo de un mes para volver a tu anterior sistema operativo, pasado ese mes de prueba, ya no podrás dar marcha atrás.

 

En caso de que hayas decidido dar marcha atrás, al querer volver a Windows 10 más adelante tendrás que hacer una instalación desde cero, no podrás hacer la actualización que ofrece Microsoft por primera vez. Tendrás que tener el CD de instalación de Windows 7 u 8 que vino con tu equipo, o descargar el archivo de imagen ISO desde la página de Microsoft, al momento de instalarlo te pedirá una licencia que deberías tenerla de cuando te compraste el equipo.

 

Como segunda opción podrías tener una licencia OEM, que son esas que vienen preinstaladas en el equipo por el propio fabricante, esto ocurre generalmente en las Notebooks, para este caso no tendrás que descargar nada, solamente utilizar la partición que viene por defecto en el disco duro, allí podrás hacer un recovery del equipo.

 

Otro punto, si utilizas los viejos sistemas operativos consulta los requisitos de tu equipo, chequea que tengas lo mínimo indispensable para lograr correr Windows 10 de manera eficiente. En muchos casos los equipos de más de 5 años les cuesta adaptarse a los nuevos sistemas y quedan algo lentos, por eso es necesaria una actualización en el hardware. Los programas que utilizas se actualizan con el paso del tiempo y cada vez consumen más recursos, eso hace que a los equipos les cueste un poco más procesar todos los datos y se requiere algo más potente.

 

Desde Microsoft han aclarado que es recomendable hacer copias de seguridad antes de migrar a Windows 10. Se debe respaldar toda la información importante que se encuentre almacenada en el disco duro a un CD o pendrive, hacer la actualización sin un respaldo puede suponer perdida de información, esto no se da en la mayoría de los casos, pero nunca está de más ser precavido. Microsoft ha explicado que los fallos del sistema inesperados pueden dañar o incluso eliminar archivos, Windows 10 no es solamente una actualización como las demás, es la instalación de un nuevo sistema totalmente diferente al que tengas, y el proceso de instalación podría borrar carpetas que son importantes para tí.

 

No solo respaldes tus archivos, si te es posible, crea un respaldo de todo el sistema mediante una imagen “.iso”, esto te permitirá conservar el sistema en su totalidad, contraseñas, preferencias, programas, toda esta información muchas veces no es posible guardarla en una únidad extraíble. Crear un archivo de imagen de disco guarda tu Windows intacto en caso de que la actualización provoque algún fallo y tengas que volver a instalar todo de cero.

 

Una vez que hayas completado todas estas medidas preventivas, estarás listo para dar el siguiente paso a Windows 10. Te recordamos que es poco probable que pierdas información al actualizar al nuevo sistema operativo, pero nunca está de más ser precavidos ya que el sistema acaba de lanzarse hace unos días y nunca se sabe si puede contener algún tipo de error a futuro.