como los creadores de malware hacen dinero fácil con tácticas intimidatorias, tienden cada vez más a distribuir aplicaciones no autorizadas y troyanos de “alertas” falsas, que muestran errores o mensajes de infección falsos. en la mayoría de los casos, los troyanos de alertas falsas son los que descargan las aplicaciones no autorizadas que detectan claves de registro y archivos falsos como malware. a veces, son las propias aplicaciones no autorizadas las que introducen los archivos para detectarlos después; en estos casos, la aplicación no autorizada garantiza la clasificación como “troyano” (estos troyanos están incluidos en la Figura 4). También hemos observado muchos casos de adware instalado por troyanos. la categoría de troyano Downloader-Ua es una familia que utiliza tácticas de ingeniería social para descargar programas falsos. Descubierta a finales de 2004, esta familia emplea vulnerabilidades del modo en que el reproductor de Microsoft Windows Media utiliza la tecnología de gestión de derechos digitales embaucando a los usuarios para descargar archivos multimedia de diseño especial31,32. esta misma familia
de troyanos atacó de nuevo en 2008 persuadiendo a los usuarios de que se bajaran un reproductor de MP3 falso para oír una selección de temas, pero a la vez descargaba montones de adware en el sistema33.
en comparación con años anteriores, el crecimiento de las aplicaciones no autorizadas (PUP y troyanos) ha sido exponencial en 2008 (Véase la Figura 4).
Para medir la frecuencia de los productos antispyware no autorizados que distribuyen los troyanos Downloader, analizamos una serie de direcciones IP desde las que se iniciaban estas descargas. la consulta realizada en el dominio hosts-files.net devolvió 158 dominios asociados a una misma dirección IP34
(véase la Figura 5). 1.000 500 0 2008 previsión 2007 2006 2005 Aplicaciones no autorizadas
Figura 4: A diferencia del adware y el spyware, las aplicaciones no autorizadas (PUP y troyanos) han aumentado drásticamente en 2008. (Fuente: McAfee Avert Labs)
PUP Troyano
cada uno de los dominios que contiene la Figura 5 muestra un antispyware personalizado o un “limpiador del sistema” no autorizados. las páginas también aparecen en varios idiomas. al analizar 620 páginas, descubrimos que se habían creado páginas y aplicaciones en 24 idiomas, lo que indica que las amenazas se han extendido mucho más allá de los países angloparlantes. en más de una ocasión la misma IP estaba asociada a múltiples dominios, en algunos casos hasta 200 dominios diferentes. Una consulta de la palabra clave “Fsa” (que hosts-files.net describe como una clase de dominios que albergan aplicaciones no autorizadas) devolvió cerca de 3.600 dominios que distribuyen aplicaciones no autorizadas35.
Figura 5: Varios nombres de host están asignados a una sola dirección IP que distribuye aplicaciones localizadas no autorizadas.
NOTAS
1 http://www.antispywarecoalition.org/documents/2007glossary.htm
2 optout (no participar), gibson research corp. http://www.grc.com/optout.htm 3 http://en.wikipedia.org/wiki/compensation_methods
4 (Fuente: sitio Web de Zango. http://www.cdt.org/headlines/headlines.php?iid=51 5 http://www.benedelman.org/news/062907-1.html 6 http://en.wikipedia.org/wiki/compensation_methods#Pay-per-click_.28PPc.29 7 http://www.benedelman.org/ppc-scams/ 8 http://msmvps.com/blogs/spywaresucks/archive/2007/08/22/1128996.aspx 9 http://www.theregister.co.uk/2007/09/11/yahoo_serves_12million_malware_ads/ 10 http://www.secureworks.com/research/threats/ppc-hijack/ 11 http://www.csc.com/cscworld/012007/dep/fh001.shtml 12 http://www.usgs.gov/conferences/presentations/5socialengineeringInternal externalThreat%20Dudeck.ppt 13 http://download.microsoft.com/download/c/e/c/ cecd00b7-fe5e-4328-8400-2550c479f95d/social_engineering_Modeling.pdf 14 http://mashable.com/2006/10/11/myspace-adult-content-viewer-more-adware/ 15 http://securitylabs.websense.com/content/alerts/1300.aspx 16 http://www.fortiguardcenter.com/advisory/Fga-2007-16.html 17 http://blog.washingtonpost.com/securityfix/2006/07/ myspace_ad_served_adware_to_mo.html 18 http://securitylabs.websense.com/content/alerts/3061.aspx 19 http://securitylabs.websense.com/content/alerts/738.aspx 20 http://www.avertlabs.com/research/blog/index.php/2006/12/04/404-not-just-file- not-found/ 21 http://www.cantoni.org/2008/06/04/google-notebook-spam 22 http://www.benedelman.org/spyware/nyag-dr/ 23 http://www.oag.state.ny.us/media_center/2005/apr/apr28a_05.html 24 http://www.internetlibrary.com/cases/lib_case358.cfm 25 http://blogs.zdnet.com/spyware/?p=655 26 http://www.ftc.gov/opa/2006/11/zango.shtm 27 http://www.ftc.gov/bcp/edu/microsites/spyware/law_enfor.htm 28 http://onguardonline.gov/spyware.html 29 http://www.antispywarecoalition.org/ 30 http://www.oag.state.ny.us/media_center/2007/jan/jan29b_07.html 31 http://www.pcworld.com/article/119016/risk_your_pcs_health_for_a_song.html 32 http://vil.nai.com/vil/content/v_130856.htm 33 http://www.avertlabs.com/research/blog/index.php/2008/05/06/fake-mp3s- running-rampant/ 34 http://hosts-file.net/?s=67.55.81.200&sDM=1#matches 35 http://hosts-file.net/?s=Browse&f=Fsa
conclusión
sólo desde el punto de vista estadístico, parece claro que el adware y el spyware están disminuyendo. sin embargo, las sugerentes tácticas de ingeniería social que se utilizan para distribuir estos PUP siguen entre nosotros, distribuyendo troyanos y aplicaciones no autorizadas. con el ascenso del modelo del lado servidor (PPc) en la distribución publicitaria, sin duda aparecerán tácticas mejoradas de ingeniería social que incitarán a los usuarios a hacer clic en estos anuncios y generar ingresos para los afiliados. la distribución de adware y troyanos seguirá ganando terreno en los sitios de redes sociales. aunque el número total de programas de adware y spyware ha descendido, no prevemos que en un futuro próximo surjan soluciones fáciles para el problema de los programas no deseados. siendo las empresas de adware quienes pagan estas instalaciones, su deber moral sería llevar un seguimiento de cada instalación y detener rápidamente cualquier mala distribución posible de su software. Pero ¿lo harán de verdad?
el cambiante panorama de amenazas y el aumento de los troyanos con fines lucrativos nos obliga a permanecer atentos y enseñar a trabajadores y usuarios particulares a entender mejor lo que supone la amenaza de la ingeniería social.
Aditya Kapoor es investigador sénior en Mcafee
avert labs. conoció la ingeniería inversa hace seis años cuando investigaba en la Universidad de luisiana en lafayette para su tesis de doctoral, que versó sobre un algoritmo de desensamblaje para resolver la ocultación de código. en Mcafee, Kapoor se ha especializado en análisis de rootkits, comparación de códigos de bytes y análisis de comportamiento. le gusta viajar y estudiar diferentes culturas y arquitecturas.