Un enfoque alternativo para clasificar los objetos detectados
Con el fin de identificar las tendencias en la evolución del malware, Kaspersky Lab también utiliza un sistema de clasificación alternativo.
Nuevas amenazas siguen apareciendo y las estafas continúan evolucionando. Por esta razón, a menudo es necesario identificar qué subgrupos incluyen las tendencias más destacadas y amenazantes en el desarrollo del malware.
El método de clasificación descrito anteriormente para los gusanos y los virus se basa en las técnicas de propagación que el malware utiliza, mientras que otros programas maliciosos se clasifican de acuerdo a las acciones que realizan. Sin embargo, estas características a menudo no son suficientes para que los analistas identifiquen una tendencia particular en la evolución del malware, por lo que también se utilizan factores adicionales para clasificar determinados objetos. Este enfoque alternativo ayuda a identificar los comportamientos necesarios dentro de una amplia variedad de objetos detectados y agruparlos en categorías.
Kaspersky Lab y muchos otros fabricantes de antivirus usan las siguientes categorías para cubrir algunas de las tendencias más prevalentes, persistentes y amenazantes:
- Crimeware
- Spyware
- Ransomware
- Clientes-Bot
Crimeware
El crimeware incluye todos aquellos programas maliciosos diseñados específicamente para cometer delitos financieros.
Los usuarios malintencionados crean diferentes programas que entran en esta categoría. Estos programas son capaces de detectar las conexiones con un sistema bancario online con el fin de interceptar cualquier dato confidencial que se introduce en portal del sitio. Otros crimeware pueden copiar el contenido del portapapeles cuando se establece una conexión con un sistema de pago electrónico. En este último caso, el cibercriminal no tiene que hacer mucho, la mayoría de las veces los usuarios no introduce sus contraseñas manualmente, sino que copian y pegan los datos desde un portapapeles.
No hay límites en la imaginación de los cibercriminales, constantemente encuentran nuevas y mejores formas de obtener acceso a las cuentas de los usuarios.
Ejemplos de este tipo de programas maliciosos son Trojan-Spy.Win32.Goldun, Trojan-Spy.Win32.Webmoner y todos los programas Trojan-Banker.
Trojan-Banker y Trojan Spy son los tipos más frecuentes en la categoría de crimeware. Sin embargo, de acuerdo con la figura 2 y las reglas de clasificación de los objetos detectados con múltiples funciones, los siguientes comportamientos también tienen funciones que pueden ser utilizadas para cometer delitos financieros (aunque se utilizan con menos frecuencia que Trojan-Banker y Trojan Spy): Trojan, Backdoor, Virus, IM-Worm, P2P-Worm, IRC-Worm, Worm, Email-Worm y Net-Worm.
El crimeware es una subcategoría de la categoría “malware” y puede correlacionarse con otras subcategorías de programas maliciosos.
Spyware
El spyware incluye aquellos programas maliciosos que se utilizan para rastrear las acciones del usuario y/o recoger todo tipo de datos sin su consentimiento.
Esta categoría abarca también a los keyloggers, que registran en un archivo todas las teclas pulsadas por un usuario y que luego se envían a los cibercriminales. Asimismo, se considera spyware a los programas que recolectan las direcciones de email almacenadas en un equipo sin que el usuario lo sepa.
Ejemplos de spyware incluyen Trojan-Spy.Win32.Keylogger, Trojan-PSW.Win32.PdPinch, y muchos otros. Los programas que muestran un comportamiento Trojan-Spy o Trojan-PSW también se consideran spyware al igual que todos los programas clasificados como Trojan-GameThief, Trojan-IM, Trojan-MailFinder, Trojan-Banker, y Trojan-Notifier.
A pesar de que Trojan-Banker se considera crimeware, también podría clasificarse como spyware, dado que este malware también recoge los datos del usuario. En este caso tenemos una correlación típica entre los subconjuntos crimeware y spyware.
Trojan-Notifier también es considerado como spyware, dado que notifica sigilosamente a los cibercriminales cuando el equipo víctima se conecta a una red.
De acuerdo con las reglas de clasificación de los objetos detectados con múltiples funciones, el spyware también puede abarcar programas que exhiben los comportamientos mencionados anteriormente, es decir, Trojan, Backdoor, Virus, IM-Worm, P2P-Worm, IRC-Worm, Worm, Email-Worm, and Net-Worm.
Nota: a diferencia de muchas compañías antivirus, Kaspersky Lab no incluye programas de Adware en la categoría de Spyware, a pesar de que sean utilizados para recopilar datos con miras a futuras investigaciones de mercado. En opinión de Kaspersky Lab, este tipo de programas maliciosos no son spyware ya que los datos son recopilados bajo el consentimiento de los usuarios. El Adware usualmente se instala en las máquinas cuando el usuario no lee atentamente los acuerdos de licencia, en donde el permiso para recoger estos datos está implícito. Naturalmente, los proveedores de este tipo de programas deliberadamente escriben los acuerdos de licencia de esta manera, pero técnicamente, las empresas advierten a los usuarios que su información será utilizada para estos fines.
Todos los programas maliciosos que realizan acciones pertenecientes a la categoría de spyware son clasificados por Kaspersky Lab como maliciosos y se agrupan dentro de la categoría “Malware”.
Ransomware
El Ransomware incluye todos aquellos programas maliciosos que impiden el acceso normal a ciertos datos o interrumpen el funcionamiento de un equipo y cuya instalación fue realizada sin el consentimiento del usuario. Tales programas son utilizados por los cibercriminales para extorsionar a los usuarios y exigir el pago de un rescate.
Los ejemplos de ransomware incluyen las familias Trojan-Ransom.Win32.Gpcode y Trojan-Ransom.Win32.Krotten. Gpcode cifra los archivos más valiosos para el usuario (documentos, bases de datos, etc.), después bloquea estos archivos y exige el pago de un rescate para restaurar los datos bloqueados. Krotten, en tanto, modifica el registro del sistema, por lo que se torna imposible usar la computadora. El rendimiento del equipo se restaura en algunas ocasiones una vez que el usuario paga el rescate.
El ransomware se compone sobre todo de programas que tienen un comportamiento de tipo Troyano Ransom, pero de acuerdo a las normas de clasificación de objetos con múltiples funciones, los programas con los siguientes comportamientos también se pueden clasificar como ransomware: Trojan, Backdoor, Virus, IM -worm, P2P-Worm, IRC-Gusano, Gusano, Email-Worm y Net-Worm.
Clientes-Bot
Los clientes-bot incluyen todos aquellos programas maliciosos utilizados para unir a los equipos infectados a una botnet (también conocida como red zombi). Las botnets permiten que los cibercriminales centralicen el control de todos los equipos infectados sin que los usuarios lo sepan. Las botnets se crean, por ejemplo, para realizar ataques masivos de spam y de DDoS.
Esta categoría se compone sobre todo de programas que tienen un comportamiento de tipo Backdoor (de puerta trasera), pero de acuerdo a las normas de clasificación de objetos con múltiples funciones, los programas con los siguientes comportamientos también pueden ser incluidos en esta categoría: Virus, IM-Worm, P2P-Worm, IRC-Gusano, Gusano, Email-Worm, y Net-Worm. De hecho, los gusanos a menudo cumplen la función de unir los equipos infectados a una botnet.