Tendencias 2008: Qué nos depara el malware en el futuro

ESET, compañía líder en detección proactiva y desarrollador del multipremiado antivirus ESET NOD32, publica un informe sobre las tendencias que se esperan para el 2008 en códigos maliciosos y seguridad antivirus.

Tal y como ESET adelantó en el 2007, el malware sigue llevando adelante sus acciones dañinas, ampliando sus frentes de ataque y mejorando su efectividad.

Es así que en la actualidad, la variedad de los tipos de malware, como así también las dimensiones que abarcan sus efectos, han ido en aumento destacándose ciertas cuestiones que hacen de este tipo de programas, las amenazas más importantes y más difíciles de combatir en cualquier entorno informático.

Cristian Borghello, Technical & Educational Manager de ESET para Latinoamérica, preparó este informe donde se explican las tendencias que se esperan para el 2008 de los códigos maliciosos y los creadores de malware.

Abuso de confianza del usuario

La Ingeniería Social [1] sigue siendo el elemento más explotado para engañar e infectar al usuario. Esto queda demostrado con la aparición de gran cantidad de malware que utilizan las tarjetas virtuales y los eventos de gran envergadura para incitar al usuario a que descargue un archivo dañino. La realización de los juegos olímpicos durante 2008 seguramente será una importante red para cazar usuarios desprevenidos.

La formación de grandes comunidades online (como MySpace, Orkut, FaceBook y diferentes juegos en línea) también se ha convertido en un importante punto para abusar de la confianza de los usuarios. Actualmente, ya existe gran cantidad de malware disponible para robar los datos privados a los usuarios que participan de estas comunidades. Como siempre, este año Asia ha marcado el rumbo de lo que cabe esperar dentro de poco para este lado del mundo.

También es válido lo mencionado anteriormente para los ataques de phishing, cuyos anzuelos se perfeccionan y se hacen más eficaces. Técnicas antiguas, como por ejemplo pharming local [2], siguen siendo utilizadas masivamente y los principales bancos latinoamericanos (y sus usuarios) se están convirtiendo en el epicentro de estos ataques, a través de correos masivos y troyanos.

Un ejemplo de perfeccionamiento de estas técnicas son los casos en donde los ataques de phishing no implican la clonación de páginas web para robar información sensible de los usuarios sino que, contrariamente a ello, utilizan metodologías mediante las cuales superponen, en la zona de acceso al Home-Banking, una imagen similar a la real.

Por otro lado, los kits de construcción de phishing, si bien tuvieron su auge durante los primeros meses del año 2007 y luego fueron decayendo, no dejan de ser amenazas latentes.

Abuso de recursos de Internet

Teniendo en cuenta este escenario, hoy se continua siendo testigo de que la natural evolución del malware seguirá en aumento y seguirá perfeccionándose con técnicas y metodologías de todo tipo pudiendo alcanzar niveles preocupantes. Por ejemplo, durante el 2007 diversos países ya habían denunciado ciberataques llevados a cabo por troyanos orientados a robar documentación secreta.

Con relación al correo electrónico no deseado y no solicitado -comúnmente denominado spam [3]- se percibe un gran avance en las metodologías de engaño que utilizan los creadores de malware para acaparar la atención de los usuarios; por ejemplo la masificación de mensajes conteniendo imágenes y el nacimiento del spam en archivos PDF y MP3.

El robo de inmensas bases de datos de diferentes organizaciones mundiales permite ataques dirigidos a usuarios a través de spam y de phishing personalizado. Por esto, se volverá más común encontrar que el spam sea dirigido a una persona con nombre y apellido, e incluso en el idioma nativo del propietario de las cuentas de correo.

Por otro lado, aprovechando las nuevas tecnologías de comunicación de las comunidades online ya mencionadas, el spam común y corriente se está trasladando a estas comunidades en formato de splog (comentarios en blogs enlazando a sitios dañinos).

La aparición de servicios gratuitos tipo mash-up, en donde un sitio web no vulnerable “recibe” servicios de otros que pueden ser vulnerables, se está afianzando y cada vez es más normal encontrar enlaces a sitios conocidos que contienen servicios de terceros que apuntan a código dañino. Esto incluso sucede en cualquier buscador y con cualquier tema de referencia.

Vulnerabilidades

Un apartado especial se merecen los errores que todo software tiene como común denominador. La explotación de vulnerabilidades a través de los navegadores es una de las técnicas que más se ha perfeccionado durante el 2007 y día a día surgen nuevos exploits y nuevos scripts [4] (generalmente ofuscados para evadir a las herramientas de seguridad) que aprovechan determinadas debilidades en los sitios web comprometidos y que permiten la instalación de malware en los equipos de los usuarios.

La fusión entre diferentes códigos maliciosos, las diferentes técnicas y la diversificación de las metodologías serán una constante durante el 2008 por permitirle a los delincuentes mayores posibilidades de efectuar alguna estafa con la información de los usuarios, obtenida a través del malware.

Debe remarcarse que la tendencia actual de los creadores de malware es infectar a una gran cantidad de usuarios en forma totalmente silenciosa a través de códigos ocultos en sitios web, para pasar desapercibidos. Sin duda, esta técnica resulta más eficiente que un ataque masivo y rápido que alerta a los usuarios y a las compañías de seguridad.

Por otro lado, la creación de servidores web con contenido malicioso, así como el enlace de los mismos desde sitios web conocidos y previamente comprometidos dieron origen a un “nuevo” concepto: Malware 2.0. Esta analogía hace clara referencia a la Web 2.0, donde cada componente dañino posee un rol dinámico que se apoya también en el comportamiento del usuario ante un sitio web.

Nuevas tecnologías

El aprovechamiento de las nuevas tecnologías sigue creciendo al igual que sus vulnerabilidades y formas de explotación. En este sentido, tecnologías como voz sobre IP no fueron la excepción y también terminaron siendo explotadas por el malware.

Asimismo, se debe hacer referencia a la creación de programas dañinos para productos de reciente aparición como nuevas versiones del iPod y el iPhone. Si bien las infecciones no han sido masivas, son las suficientes como para marcar el camino en este aspecto.

Por otro lado, la utilización de clientes de mensajería instantánea [5] y las redes P2P para propagar malware son moneda corriente, e incluso han alcanzado niveles de infección elevados en Latinoamérica.

La diseminación y posterior infección por intermedio de dispositivos de almacenamiento extraíbles [6] (USB, memorias, flash, etc) que aprovechan las bondades de ejecución automáticas de los sistemas operativos, se ha ido acrecentando desde mediados del 2007 y todo indica que seguirá creciendo aún más.

Las amenazas de siempre potenciadas

Troyanos, gusanos y PUP (Potencial Unwanted Programs; o en castellano programas potencialmente no deseados) son cada vez más sofisticados a punto tal que incorporan capacidades defensivas que hacen que la tarea de análisis y remoción sea más complicada. Por ejemplo, muchos de ellos ya cuentan con la habilidad de detectar cuando son ejecutados en máquinas virtuales o cuando están siendo analizados.

Con respecto a los gusanos y troyanos que han tenido una actuación preponderante durante el 2007, no queda más que esperar su crecimiento debido a que son la herramienta fundamental para la creación de redes botnets [7], como así se demostró con la propagación de SDBot y Nuwar (también conocido como gusano Storm) cuyo único fin es crear redes con miles de nodos de equipos infectados. Los objetivos de estas redes, si bien se manejan múltiples hipótesis, aún se desconoce.