Autorun, Conficker y OnLineGames siguen a la cabeza de las amenazas en este verano

No obstante, se ha observado un aumento de las amenazas  que se inyectan en páginas web legítimas y que, debido a la confianza que muchos usuarios tienen en esas webs, hace que bajen la guardia y se infecten.

En época de vacaciones, los cibercriminales no se toman descanso y este mes han estado especialmente activos, sobre todo en relación con la aparición de varios códigos maliciosos que explotan una grave vulnerabilidad, aún sin corregir, en todas las versiones de Windows, para propagar malware a través de los dispositivos de memoria conectados a los puertos USB y a través de  la función para compartir archivos de Windows y WebDav.

Este exploit se aprovecha de un fallo en el manejo de archivos .lnk  y .pif que permite que se ejecute código malicioso con tan sólo acceder a una unidad extraíble o carpeta compartida, sin necesidad de que el usuario ejecute ningún archivo.

Este agujero de seguridad fue aprovechado por el troyano Stuxnet, un ejemplar de malware con el objetivo de atacar a los sistemas de gestión de infraestructuras críticas (SCADA) específicos, concretamente a sistemas de la empresa Siemens. Tras descubrirse la vulnerabilidad y hacerse pública la misma, varias familias de malware han empezado explotarla para propagarse y la tendencia en las próximas semanas y meses es de que siga aumentando.  Microsoft publicó un Fix it para mitigar las consecuencias de la vulnerabilidad pero aún no se ha lanzado un parche que la solucione definitivamente.

Además, se dio un incremento de los ataques a sistemas Windows XP, aprovechando una vulnerabilidad en el centro de ayuda y soporte que se descubrió el mes pasado. Este problema es aún más grave si tenemos en cuenta que Microsoft ha dejado de soportar las versiones de Windows XP con solamente SP2 y ya no recibirán más parches de seguridad.

"La aparición de la vulnerabilidad CVE-2010-2568 en los sistemas Microsoft puede suponer un nuevo punto de inflexión como lo fueron Conficker o el malware que se aprovecha de la funcionalidad Autorun en su día. Estamos ante un nuevo vector de ataque, fácil  de  aprovechar por los cibercriminales y que, aunque Microsoft solucione lanzando un parche dentro de poco, puede traer cola durante varios meses debido a la cantidad de usuarios que no instalan actualizaciones críticas o siguen usando sistemas operativos que han dejado de recibir soporte, como Windows XP SP2 o Windows 2000”, dice Josep Albors, responsable técnico de Ontinet.com.

El portal de vídeos YouTube fue uno de los sitios más afectados por las vulnerabilidades detectadas durante el mes de julio. El portal sufrió un ataque que permitía  insertar código en los comentarios que podían redirigir a los usuarios a sitios web no deseados, o mostrar cualquier tipo de enlace para descargar archivos maliciosos. Sin embargo, el equipo de desarrollo solucionó estos fallos en pocas horas por lo que no tuvo demasiadas consecuencias.

Los productos de Apple, iTunes y Quicktime también se vieron afectados por un conjunto de vulnerabilidades. Algunas cuentas de iTunes fueron incluso utilizadas para comprar aplicaciones de forma masiva y conseguir colocarlas entre las más vendidas.

Los navegadores tampoco han estado a salvo de los ataques de los cibercriminales en julio. Firefox fue actualizado dos veces en sólo unos días y los usuarios de Safari vieron como sus datos personales podían quedar expuestos debido a una vulnerabilidad en el manejo de la característica de autocompletado.  Otros servicios web como Chatroulette, vieron comprometida su seguridad, al comprobarse que se podían espiar las comunicaciones de los usuarios y usar técnicas de phising dirigido con la información obtenida.

En las últimas semanas, los casos de phishing, fraude y problemas de privacidad también han tenido repercusión. Además de los ya típicos casos de phishing a entidades bancarias, se usaron otro tipo de técnicas, como encuestas online, mensajes sms avisando de falsas transferencias, o la suplantación de empresas como Amazon o YouTube. La base de datos de usuarios de The Pirate Bay  fue accedida por un grupo de investigadores argentinos que, según ellos, sólo pretendían demostrar la debilidad de la protección de estos datos, sin pretender utilizarlos.  Por último, fueron detectados correos que decían venir del servicio de almacenamiento de imágenes online Imageshack y que eran usados para que el usuario accediese a un sitio web malicioso y descargase malware.

Ranking de amenazas en España

En el ranking de las 10 amenazas más difundidas en España durante el mes de julio la primera posición es para las diversas variantes de la familia de gusanos Win32/Conficker, que más de un año y medio después de su primera detección sigue situándose entre las principales amenazas en España. Win32/Conficker ha sido responsable de hasta un 10,60% de las infecciones.

La segunda posición del ranking está ocupada por INF/Autorun, un código malicioso que se ampara en la función de autoarranque desde unidades de memoria extraíbles en Windows para infectar los equipos de los usuarios. A pesar de que la difusión de INF/Autorun se puede evitar desactivando la función de autoarranque en Windows, este código sigue siendo uno de los más prevalentes, y responsable de hasta un 7,85% de las infecciones.

En la tercera posición encontramos a Win32/PSW.OnLineGames, que vuelve a subir su porcentaje de detección hasta el 5,97%. Esta familia de troyanos suele incluir funciones de rastreo del uso del teclado (keyloggers) y de ocultación (rootkits), con lo que consiguen recopilar y transmitir los datos de acceso y autenticación en los juegos online sin ser detectados por los usuarios.

Para Fernando de la Cuadra, director de educación de Ontinet .com, “nos encontramos en un momento muy delicado, en el que el tiempo libre de los usuarios por las vacaciones hace que usen más los juegos on-line y estén más tiempo conectados a las redes sociales”. Según de la Cuadra, “no cabe duda de que los códigos que se aprovechan de esta situación van a campar a sus anchas en los sistemas sin protección o con protecciones poco fiables”.

En las últimas semanas se han detectado bastantes casos de webs legítimas comprometidas y que se encontraban sirviendo malware. Esta tendencia en alza junto con la aparición de la nueva vulnerabilidad de Microsoft, puede hacer cambiar la tendencia en los próximos meses en lo que respecta a las primeras posiciones del ranking.