El objetivo de todos los cibercriminales es difundir sus virus, gusanos y troyanos a través de tantas computadoras y teléfonos móviles como les sea posible. Esto tarea maliciosa se puede lograr de dos maneras:
- Mediante técnicas de Ingeniería Social
- Infectando un sistema sin que el usuario lo sepa.
Muchas veces, estos métodos se emplean simultáneamente y, por lo general, incluyen distintos procesos para eludir los programas antivirus.
Ingeniería Social
La ingeniería social involucra una serie de técnicas utilizadas para que los usuarios desprevenidos ejecuten archivos infectados o abran enlaces a sitios web comprometidos. Este método es empleado por numerosos gusanos de correo electrónico (Email-worms) y otros tipos de malware.
La tarea de los hackers y creadores de virus es convencer a los usuarios que hagan por si mismos clic a un enlace o abran un archivo infectado. Un ejemplo clásico de este género es el gusano “Love Letter”, que creó una verdadera avalancha de infecciones en mayo de 2000. Según Computer Economics, “Love Letter” sigue siendo el malware más devastador de la historia, en términos de daños financieros. Éste era el mensaje que este gusano mostraba a los usuarios:
Lamentablemente, el “mensaje de amor” fue abierto por una enorme cantidad de personas. Y esto llevó a que decenas de servidores corporativos de correo electrónico colapsaran, debido a que el gusano se enviaba automáticamente a todos los contactos de la libreta de direcciones del usuario que abría el archivo VBS adjunto.
El gusano de correo electrónico “Mydoom”, que apareció en Internet en enero de 2004, utilizaba textos que imitaban mensajes técnicos emitidos por el servidor de emails.
El gusano “Swen” se hizo pasar por un mensaje de Microsoft y disfrazandose de un parche que eliminaba ciertas vulnerabilidades de Windows. No es de extrañar que la gente lo tomara en serio y tratara de instalar este falso parche.
A veces, las cosas excepcionales ocurren. Un evento de esta naturaleza tuvo lugar en noviembre de 2005. Una versión del gusano “Sober” informó a los usuarios que la policía alemana estaba investigando a las personas que habían visitado sitios web ilegales. Este mensaje fue leído por un hombre que visitaba con frecuencia sitios de pornografía infantil. Sorprendentemente, el usuario creyó que el mensaje era auténtico y se entregó a la policía por su propia voluntad.
Los enlaces a sitios infectados y archivos ocultos dentro de correos electrónicos se han vuelto muy populares en los últimos tiempos, debido a que las plataformas utilizadas para difundir estos mensajes son ampliamente utilizadas: emails, sistemas de mensajería instantánea, salas de chat IRC en Internet, etc. Los virus móviles, en tanto, se entregan a través de mensajes SMS. Los mensajes infectados suelen contener textos atractivos que animan a los usuarios desprevenidos a hacer clic en los enlaces. Este método de penetración del sistema es el más popular y eficaz, ya que permite que el malware pueda evadir los filtros antivirus del servidor.
Las redes P2P también son utilizadas con bastante frecuencia. Un gusano o un troyano pueden aparecer en una red P2P utilizando un nombre diseñado para llamar la atención, por ejemplo:
- AIM & AOL Password Hacker.exe
- Microsoft CD Key Generator.exe
- PornStar3D.exe
- play station emulator crack.exe
Cuando realizan una búsqueda de programas, los usuarios de redes P2P ven estos nombres, descargan los archivos y los ejecutan.
Otro truco consiste en ofrecer a las víctimas utilidades gratuitas o guías para acceder a los sistemas de pago electrónico. Por ejemplo, a un usuario se le ofrece la posibilidad de obtener libre acceso a Internet / celular, o la posibilidad de descargar un generador de números de tarjetas de crédito, o aumentar su propio saldo de su cuenta en línea. Naturalmente, la víctima de una estafa de este tipo no podrá denunciar este delito con la policía, dado que sus propias intenciones eran ilegales en principio. Los ciberdelincuentes son conscientes de esto y se aprovechan de esta situación en gran medida.
Un estafador anónimo ruso intentó algo inusual en 2005-2006. Envió un troyano a algunas direcciones del sitio “job.ru”, que se especializaba en la contratación de personal. Algunas personas que cargaban sus currículums en este sitio, recibían ‘ofertas de trabajo’ que incluían el troyano. Curiosamente, el ataque estaba dirigido principalmente a direcciones de correo electrónico corporativo. Lo más probable es que los ciberdelincuentes supieran que el personal que recibía el troyano no querría decirles a sus actuales empleadores que los habían infectado mientras buscaban un empleo alternativo. Y tenían razón. A los especialistas de Kaspersky Lab les tomó más de medio año descubrir cómo había logrado este troyano infiltrarse en los equipos de los usuarios.
Hubo algunos casos exóticos en los que varios usuarios recibieron un correo electrónico falso de su banco pidiéndoles que confirmen sus claves de acceso. Lo que ocurría en realidad era que, sin saberlo, los usuarios le estaban enviando sus credenciales a un estafador. El procedimiento que cada persona debía seguir para entregar las claves era tan complicado como ridículo: imprimir un documento, rellenar el formulario y enviarlo por fax al número de teléfono indicado.
Otro caso inusual sucedió en Japón en el otoño de 2005, cuando criminales cibernéticos utilizaron un servicio de entregas a domicilio para distribuir CDs infectados con un troyano spyware. Los discos se entregaban a los clientes de un banco japonés, cuyas direcciones habían sido robadas de la base de datos del banco.
Técnicas de implementación
Los cibercriminales utilizan distintas técnicas para introducir códigos maliciosos en un sistema. La más común es la explotación de vulnerabilidades en las funciones de seguridad del sistema operativo (o software). Las vulnerabilidades permiten que un Net-Worm o un troyano se infiltren en la máquina de la víctima y se ejecuten.
De hecho, las vulnerabilidades son errores en los códigos o en las lógicas de funcionamiento de los distintos programas. Los sistemas operativos actuales y las aplicaciones son complejas en su estructura y tienen una amplia funcionalidad, lo que hace que sea casi imposible evitar errores en su diseño. Esta circunstancia es activamente explotada por los escritores de virus y los cibercriminales.
Un ejemplo son los gusanos de correo “Nimda” y “Aliz”, que explotaban vulnerabilidades de Outlook. Con el fin de iniciar el archivo del gusano, sólo bastaba con abrir el mensaje infectado, o poner el cursor sobre él en la ventana de vista previa.
Los programas maliciosos también explotan activamente vulnerabilidades en los componentes de red de los sistemas operativos. Esta técnica fue utilizada por “CodeRed”, “Sasser”, “Slammer”, “Lovesan (Blaster)” y otros gusanos que trabajaban bajo el sistema operativo Windows. Linux se vio afectado también por los gusanos “Ramen” y “Slapper”, que penetraban las computadoras a través de vulnerabilidades presentes en este sistema operativo y sus aplicaciones.
La implementación de un código malicioso a través de páginas web se ha convertido recientemente en una de las técnicas de infección más populares. Esta técnica aprovecha las vulnerabilidades presentes en los navegadores de Internet. Los hackers plantan en el sitio un archivo infectado y un programa de script que explota las vulnerabilidades del navegador. Cuando un usuario ingresa en la página infectada, el programa script descarga el archivo infectado a la computadora del usuario a través de la vulnerabilidad y lo ejecuta.
Para infectar tantas máquinas como le sea posible, es necesario convencer a un gran número de usuarios para que visiten la página web. Esto puede lograrse por diferentes medios, por ejemplo mediante el envío de mensajes de spam que contengan la dirección de la página infectada, o enviando enlaces a través de sistemas de mensajería instantánea. A veces, los estafadores incluso utilizan los motores de búsqueda para estos fines. El texto colocado en una página infectada es procesado por los motores de búsqueda y el enlace a esta página se incluye entonces junto con los demás resultados de búsqueda.
Otro tipo de malware especializado son los troyanos pequeños diseñados para descargar y ejecutar troyanos más grandes. Éstos entran en la computadora de un usuario, por ejemplo a través de una vulnerabilidad del sistema, y luego descargan e instalan otros componentes maliciosos desde Internet. Estos troyanos suelen cambiar las configuraciones del navegador con el fin de facilitar el camino de otros troyanos.
Una vez descubiertas, las vulnerabilidades son rápidamente corregidas por las empresas desarrolladoras de software. Sin embargo, rápidamente nuevas vulnerabilidades aparecen y tanto los hackers como los creadores de virus comienzan a explotar estas nuevas fallas casi de inmediato. Con el fin de incrementar la cantidad de equipos infectados, muchos troyanos de la categoría “bots” utilizan nuevas vulnerabilidades cada vez que éstas son identificadas. Asimismo, las vulnerabilidades de programas ampliamente utilizados como por ejemplo Microsoft Office® se aprovechan a menudo para introducir nuevos troyanos.
Por desgracia, el período comprendido entre el descubrimiento de una nueva vulnerabilidad y su explotación por parte de los gusanos y troyanos es cada vez más corto. Como resultado, los desarrolladores de software y los fabricantes de antivirus se encuentran constantemente luchando contra el tiempo. Las compañías deben corregir los errores encontrados tan pronto como les sea posible, realizar las modificaciones que corrigen el problema (normalmente conocido como ‘parche’) y distribuirlo a todos sus usuarios mediante una actualización. A su vez, los fabricantes de antivirus deben liberar de inmediato una solución que detecte y bloquee todos los archivos y paquetes de red que se aprovechan de esta vulnerabilidad.
Uso simultáneo de las técnicas de implementación y los métodos de Ingeniería Social
Muchas veces, los cibercriminales utilizan ambos métodos mencionados de manera simultánea: la ingeniería social, para atraer la atención de una víctima potencial, y los medios técnicos, para aumentar las posibilidades de que un objeto infectado penetre en un sistema.
Por ejemplo, el gusano de correo electrónico “Mi mail” era distribuido como un archivo adjunto. El correo electrónico contenía un texto especialmente diseñado para ser atractivo para el usuario con el fin de ejecutar una copia del gusano desde un archivo ZIP adjunto, los creadores de este virus explotaron una vulnerabilidad presente en Internet Explorer. Al abrir el archivo, el gusano creaba una copia de sí mismo en el disco y se lanzaba sin ningún tipo de advertencias por parte del sistema. Por cierto, este gusano fue uno de los primeros programas maliciosos diseñados para robar datos personales de las cuentas de servicios en línea de los usuarios.
Otro ejemplo de este tipo son los correos que contienen spam con encabezados que dicen “hola” o “mira lo que dicen de ti”. Este texto usualmente viene acompañado de un enlace a un sitio web. Los análisis demostraron que varios de estos sitios web contenían una secuencia de comandos que descargaba el troyano “LdPinch”, diseñado para robar contraseñas de la computadora mediante la explotación de una vulnerabilidad en Internet Explorer.
Evadiendo los programas antivirus
El objetivo de los cibercriminales es introducir un código malicioso en las máquinas de sus víctimas. Para lograr su objetivo, deben ya sea obligar al usuario a lanzar un archivo infectado o penetrar en el sistema a través de una vulnerabilidad que evada los sistemas de detección del antivirus. No es de extrañar que los estafadores traten de incluir técnicas de evasión frente a los programas antivirus. De hecho, para lograr este cometido, los criminales utilizan diferentes técnicas. Las más comunes son las siguientes:
- Programas empaquetados y cifrados. La mayoría de los gusanos y troyanos actuales vienen comprimidos y cifrados. Es más, los programadores Black-Hat diseñaron utilerias especiales capaces de empaquetar y cifrar los archivos al mismo tiempo. Por ejemplo, todos los archivos de Internet procesados con “CryptExe”, “Exeref”, “PolyCrypt” y algunas otras utilerías eran maliciosos. Con el fin de detectar tales gusanos y troyanos, los programas antivirus debían agregar nuevos métodos de descompresión y decodificación, o contar con una firma diferente para cada muestra de un programa malicioso. Esto conduce inevitablemente a una disminución en las tasas de detección, ya que ninguna empresa desarrolladora de antivirus dispone de cada una de las muestras de todas las piezas de malware existentes.
- Códigos Mutantes: consiste en mezclar el código del troyano con instrucciones de ‘Spam’, lo que permite alterar la apariencia del malware, al tiempo que conserva su funcionalidad de troyano. A veces, la mutación ocurre en tiempo real, es decir, cada vez que el troyano se descarga desde un sitio web infectado. Esto significa que todos, o casi todos, los troyanos que se descargan en los equipos de los usuarios son diferentes. El gusano “Warezov”, que causó algunas infecciones masivas graves en el segundo semestre de 2006, es un ejemplo claro de esta técnica.
- Técnicas de ocultamiento: Las denominadas tecnologías “rootkit” son empleadas por los troyanos para interceptar y sustituir funciones del sistema que permiten que el archivo infectado sea invisible tanto para el sistema operativo, como para los programas antivirus. A veces, incluso las llaves del registro donde se aloja el troyano están ocultas. Estas técnicas son utilizadas activamente por el troyano backdoor “HacDef”.
- Bloqueo de antivirus y de sus sistemas de actualización de bases de datos. Muchos troyanos y gusanos de red adoptan medidas especiales para evitar la detección por parte de los programas antivirus: buscan la presencia de programas de seguridad en la lista de aplicaciones activas del sistema y tratan de bloquearlos, dañar sus bases de datos e interrumpir sus procesos de actualización. Los programas antivirus deben defenderse adecuadamente, asumiendo el control de la integridad de sus bases de datos y ocultando sus procesos a los troyanos.
- Disfrazar el código en un sitio web. Las páginas web que contienen troyanos pronto son descubiertas por las compañías antivirus, es decir, que los analistas de virus estudian el contenido de estas páginas y añaden cada nueva versión de los troyanos a sus bases de datos. Ahora bien, con el fin de evitar el análisis de los antivirus, una página web puede ser modificada. Así, si la solicitud es enviada por una compañía antivirus, lo que se descarga es un archivo inofensivo, en lugar de un troyano.
- Ataques “cuantitativos”. Es la creación y distribución de grandes cantidades de nuevas versiones de troyanos a través de Internet, en un corto período de tiempo. Como resultado, las compañías antivirus reciben enormes cantidades de nuevas muestras y necesitan de mucho tiempo y esfuerzo para analizar cada una de estas muestras, lo cual le da al código malicioso una oportunidad adicional para penetrar con éxito los equipos de los usuarios.
Estas técnicas son utilizadas por los ciberdelincuentes para contrarrestar los programas antivirus. Las actividades de los estafadores crecen cada año. Hoy en día, es posible hablar de una “carrera tecnológica-armamentística” entre los antivirus y las industrias de virus. Al mismo tiempo, el número de hackers individuales y grupos criminales también está creciendo, al igual que su profesionalismo. Todos estos factores aumentan considerablemente la complejidad y el volumen de trabajo de las empresas antivirus que buscan desarrollar soluciones de seguridad eficaces.