Ataques de malware basados ​​en correo electrónico, julio de 2012: Krebs on Security

La publicación del mes pasado que examinó los principales ataques de malware basados ​​en correo electrónico recibió tanta atención y comentarios provocativos que pensé que valía la pena revisarla. Lo armé porque las víctimas de robos cibernéticos rara vez descubren o revelan cómo se infectaron con el troyano que ayudó a los ladrones a desviar su dinero, y quería probar la sabiduría convencional sobre la fuente de estos ataques.

Ataques de malware basados ​​en correo electronico julio de 2012

Principales ataques de malware y sus tasas de detección de antivirus, últimos 30 días. Fuente: UAB

Si bien los datos del mes pasado nuevamente muestran por qué esa sabiduría sigue siendo convencional, creo que vale la pena revisar el tema periódicamente porque sirve como un recordatorio de que estos ataques pueden ser más sigilosos de lo que parecen a primera vista.

Los datos de amenazas se basan en informes diarios compilados por los estudiantes de informática forense y administración de seguridad en la Universidad de Alabama en Birmingham. Los informes de la UAB rastrean las principales amenazas basadas en correo electrónico de cada día e incluyen información sobre la marca o el señuelo falsificado, el método de entrega del malware y enlaces a virustotal.comque muestran la cantidad de productos antivirus que detectaron el malware como hostil (virustotal.com escanea cualquier archivo o enlace enviado utilizando alrededor de 40 herramientas antivirus y de seguridad diferentes, y luego proporciona un informe que muestra la opinión de cada herramienta).

Como indica el cuadro que compilé anteriormente, los atacantes cambian el señuelo o la marca falsificada con bastante frecuencia, pero las opciones populares incluyen nombres conocidos como American Airlines, Ameritrade, Craigslist, Facebook, FedEx, Hewlett-Packard (HP), Kraft, UPS y Xerox. En la mayoría de los correos electrónicos, los remitentes suplantaron el nombre de la marca en el campo «De:» y utilizaron imágenes incrustadas robadas de las marcas suplantadas.

El único detalle en el que probablemente se centrarán la mayoría de los lectores de este informe es la tasa de detección atrozmente baja de estas muestras de malware enviadas como spam. En promedio, el software antivirus detectó estas amenazas sobre 22 por ciento del tiempo el primer día fueron enviados y escaneados en virustotal.com. Si tomamos la puntuación media, la tasa de detección cae a solo el 17 por ciento. Eso es en realidad inferior a las tasas de detección promedio y mediana del mes pasado, 24.47 por ciento y 19 por ciento, respectivamente.

A diferencia de la mayoría de las misivas envenenadas que examinamos el mes pasado, que dependían de que los destinatarios hicieran clic en un enlace que los lleva a un sitio equipado con un kit de explotación diseñado para descargar y ejecutar software malicioso de manera invisible, la mayoría de los ataques en los últimos 30 días funcionaron solo cuando el destinatario abrió un archivo ejecutable comprimido.

1664550470 618 Ataques de malware basados ​​en correo electronico julio de 2012

Imagen falsa falsifica UPS en un ataque el 25 de junio de 2012

Sé que muchos lectores probablemente pondrán los ojos en blanco y murmurarán que cualquier persona con dos dedos de frente sabrá que no se abren archivos ejecutables (.exe) enviados por correo electrónico. Pero muchas de las versiones de Windows ocultarán las extensiones de archivo de forma predeterminada y, en estos casos, los atacantes suelen cambiar el icono asociado con el archivo ejecutable comprimido para que parezca un Microsoft Word o PDF documento. Y, aunque no vi este ataque en los ejemplos enumerados anteriormente, los atacantes podrían usar la función de anulación integrada de derecha a izquierda de Windows para hacer que un archivo .exe parezca un .doc.

Obviamente, debería aparecer una advertencia de que el usuario está a punto de ejecutar un archivo ejecutable si hace clic en un archivo .exe disfrazado de documento de Word, pero todos sabemos cuán efectivas son estas advertencias (especialmente si la persona ya cree el archivo es un documento de Word).

Hubo al menos un ataque interesante detallado anteriormente en el que el correo electrónico malicioso tenía una trampa explosiva con un mensaje HTML que redirigiría automáticamente el cliente de correo electrónico del destinatario a un sitio de explotación malicioso si esa persona tuviera la mala suerte de simplemente abrir la misiva en un cliente. que tenía habilitada la lectura de HTML. Muchos proveedores de correo web ahora bloquean la representación de la mayoría del contenido HTML de forma predeterminada, pero a menudo está habilitado o los usuarios a veces lo habilitan manualmente en el software de cliente de correo electrónico como Microsoft Outlook o Mozilla Thunderbird.

Una copia de la hoja de cálculo que se muestra arriba está disponible en formato Microsoft Excel y PDF.

Deja un comentario