La esteganografía digital es usada por los cibercriminales para evitar la detección por parte de los sistemas de seguridad. Los sectores de salud, administraciones públicas y educación, principales objetivos para los ciberdelincuentes, según McAfee.
McAfee Inc. ha dado a conocer su informe de amenazas McAfee Labs Threats Report: June 2017, que examina el origen y el funcionamiento interno del ladrón de contraseñas Fareit, analiza los 30 años de historia de las técnicas de evasión utilizadas por los autores de malware, explica el concepto esteganografía como técnica de evasión, evalúa los ataques en diferentes industrias y, por último, revela las tendencias en crecimiento del malware, ransomware, malware móvil y otras amenazas acaecidas en el primer trimestre de 2017.
“Hay cientos, si no miles, de técnicas de evasión anti-seguridad, anti-sandbox y anti-analista que son utilizadas por los autores de malware y que pueden ser adquiridas en la Dark Web”, afirma Vicent Weafer, vicepresidente de McAfee Labs. “El informe de este trimestre nos recuerda que la evasión ha evolucionado, desde el intento de ocultar simples amenazas ejecutándose en un solo contenedor, hasta ocultar amenazas complejas dirigidas a entornos empresariales durante un periodo prolongado de tiempo y a paradigmas completamente nuevos como técnicas de evasión diseñadas para el ‘machine learning’.
30 años de técnicas de evasión de malware
Los desarrolladores de malware comenzaron a experimentar con diversas técnicas con el objetivo de esquivar los productos de seguridad en los años 80, cuando un ejemplar de malware se defendió cifrando parcialmente su propio código; de este modo, su contenido fue ilegible para los analistas de seguridad. El término “evasión técnica” engloba todos los métodos utilizados por el malware para evitar su detección, análisis y comprensión. McAfee Labs clasifica las técnicas de evasión en tres grandes categorías:
• Técnicas anti-seguridad. Se utilizan para evitar la detección por parte de motores antimalware, contención de aplicaciones u otras herramientas que protegen el entorno.
• Técnicas anti-sandbox. Se utilizan para detectar el análisis automático y esquivar a los motores que informan sobre el comportamiento del malware. La detección de las claves del registro, archivos o procesos relacionados con entornos virtuales permite al malware saber si se está ejecutando en un sandbox.
• Técnicas anti-analista. Se utilizan para detectar y engañar a los analistas de malware. Por ejemplo, detectando herramientas de monitorización como ‘Process Explorer’ o ‘Wireshark’.
El informe de McAfee Labs de junio 207 analiza alguna de las técnicas de evasión más potentes, el sólido mercado oscuro de la tecnología de evasión, cómo las nuevas familias de malware aprovechan estas técnicas y las perspectivas de futuro, incluyendo la evasión del ‘machine learning’ y de hardware.
Ocultos a plena vista: La amenaza de la esteganografía
La esteganografía es el arte y la ciencia de ocultar mensajes secretos. En el mundo digital, se trata de una práctica que consiste en esconder mensajes dentro de imágenes, pistas de audio, vídeos o archivos de texto. En muchas ocasiones, la esteganografía digital es usada por los cibercriminales para evitar la detección por parte de los sistemas de seguridad. El primer uso conocido de esta técnica en un ciberataque fue en el malware Duqu en 2011. Utilizando una imagen digital, la información secreta se inserta mediante un algoritmo de incrustación, la imagen se transmite al sistema de destino y se extrae la información secreta para que sea usada por el malware. La imagen alterada es, a menudo, difícil de detectar por el ojo humano y por la tecnología de seguridad.
McAfee Labs concibe la esteganografía como la forma más novedosa dentro de esta disciplina, como los campos no utilizados dentro de los encabezados de protocolo TCP/IP que son utilizados para ocultar los datos. Este método está en auge debido, principalmente, a que los atacantes pueden enviar una cantidad ilimitada de información a través de la red usando esta técnica.
Fareit: El ladrón de contraseñas más infame
Fareit apareció por primera vez en 2011. Desde entonces, ha evolucionado en una amplia variedad de formas, incluyendo nuevos vectores de ataque, arquitectura y funcionamiento interno mejorados, y nuevas formas para evitar la detección. Existe un consenso generalizado al considerar que Fareit (el malware de robo de contraseñas más infame), fue utilizado en la brecha al Comité Nacional Demócrata antes de las elecciones a la presidencia de Estados Unidos en 2016.
Fareit se propaga a través de mecanismos como correos electrónicos de phishing, envenenamiento de DNS o exploit kits. Una víctima podría recibir un correo electrónico no deseado que contenga un documento Word, JavaScript o un archivo comprimido como adjunto. En el momento en el que el usuario abre el archivo adjunto, Fareit infecta el sistema, enviando credenciales robadas a su servidor de control y descargando el malware.
La brecha DNC de 2016 fue atribuida a una campaña de malware conocida como Grizzly Steppe. McAfee Labs identificó indicios de Fareit en la lista de indicadores comprometidos publicada en el informe Grizzly Steppe del Gobierno de los Estados Unidos. Se cree que la cepa Fareit es específica para el ataque de DNC y ha aparecido en documentos maliciosos de Word extendidos a través de campañas de correo electrónico de phishing.
El malware hace referencia a varias direcciones de servidor de control que no se observan normalmente en las muestras de Fareit encontradas. Probablemente fue utilizada junto a otras técnicas en el ataque DNC para robar emails, FTP y otras credenciales importantes. McAfee Labs sospecha que Fareit también descargó amenazas más avanzadas como Onion Duke y Vawtrak entre los sistemas de las víctimas con el objetivo de llevar a cabo nuevos ataques.
“Los usuarios, empresas y gobiernos son cada vez más dependientes de sistemas y dispositivos que están protegidos sólo por contraseñas. Estas credenciales son débiles o pueden ser fácilmente robadas, convirtiéndolas en un objetivo atractivo para los ciberdelincuentes”, señala Weafer. “McAfee Labs cree que los ataques basados en robo de contraseñas continuarán creciendo hasta que se realice la transición de autenticación de dos factores para el acceso a los sistemas. La campaña de Grizzly Steppe es un adelanto de las nuevas y futuras tácticas.”
Primer trimestre 2017, actividad de las amenazas
En el primer trimestre de 2017, la red global de inteligencia de amenazas de McAfee Labs registró un notable crecimiento de las ciberamenazas e incidentes relacionados con ciberataques a diferentes industrias.
• Nuevas amenazas. En el primer trimestre de 2017, se registraron 244 nuevas amenazas cada minuto, más de cuatro cada segundo.
• Incidentes de seguridad. McAfee Labs registró 301 incidentes de seguridad que fueron difundidos públicamente en el Q1, un aumento del 53% respecto al cuarto trimestre de 2016. Los sectores salud, administraciones públicas y educación representan más del 50% del total.
• Malware. El número de nuevas muestras de malware se ha incrementado en el primer trimestre alcanzando los 32 millones. El número total de muestras de malware ha aumentado en un 22% en los últimos cuatro trimestres, alcanzando los 670 millones de muestras conocidas.
• Malware móvil. Los informes de malware móvil de Asia se han duplicado en el primer trimestre, contribuyendo a un crecimiento del 57% del índice de infección mundial. El total de malware móvil ha crecido en un 79% en los últimos cuatro trimestres alcanzado los 16,7 millones de muestras. La mayor contribución a este crecimiento fue Android/SMSreg, un programa potencialmente no deseado detectado en India.
• Malware para Mac OS. Durante los últimos tres trimestres, el nuevo malware para Mac OS ha sido potenciado por un exceso de adware. Aunque sigue siendo pequeño en comparación con las amenazas de Windows, el número total de muestras de malware de Mac OS creció un 53% en el primer trimestre.
• Ransomware. Las nuevas muestras de ransomware se han disparado durante el primer trimestre debido a los ataques de ransomware de Congur en dispositivos con sistema operativo Android. El número total de muestras de ransomware ha crecido en un 59% en los últimos cuatro trimestres alcanzando 9,6 millones de muestras conocidas.
• Spam botnes. En abril, el cerebro del botnet Kelihos fue arrestado en España. Kelihos fue el responsable durante muchos años de millones de mensajes de spam que llevaban malware bancario y ransomware. El Departamento de Justicia de Estados Unidos reconoció la cooperación internacional entre autoridades estadounidenses y extranjeras, la Fundación Shadow Server y proveedores de la industria.
Para más información acerca de estos temas o más estadísticas sobre el panorama de riesgo durante el Q1 de 2017, visite http://www.mcafee.com/ o acceda al informe completo (no requiere registro).