Virus y gusanos recientes

Netsky

Según señala la compañía Fortinet, durante los pasados meses, la presencia del Adware/BetterInternet, registrado por primera vez en febrero, sigue acaparando los primeros puestos de la lista, constituyéndose como un problema que no cesa de crecer, y parece que no dejará de hacerlo durante los próximos meses. Mientras que Netsky, tras dos años desde su descubrimiento, vuelve a situarse entre las diez principales amenazas en marzo, registrando un 11,6 por ciento de toda la actividad maliciosa registrada. Pero a pesar de lo que se podría pensar en un primer momento de este hecho el resurgimiento de un viejo virus inactivo que vuelve otra vez a escena-, el equipo de Fortinet señala que la única razón por la que este código malicioso ha vuelto a funcionar es que hoy en día los gusanos tienden a adoptar un perfil bajo, como el de Netsky, para no atraer la atención de los vigilantes de la red.

Evolución del phishing: el arte de la decepción

El “phishing”, envío masivo de mensajes electrónicos que fingen ser notificaciones oficiales con el fin de obtener datos personales y bancarios de los usuarios para hacerse pasar por ellos en diversas operaciones online, es uno de los delitos informáticos en auge en todo el mundo. Los meses siguen pasando y el phishing no para de crecer sin posibilidad de freno aparente; muestra de ello es su incremento en más de un 1 por ciento entre marzo y abril, lo que representa un significativo crecimiento de las amenazas no replicativas, informa la compañía.

El informe realizado por el equipo de Fortinet señala dos nuevas tendencias de estas estafas por Internet: por un lado, Rock Phish Kit, ya que en el mes de marzo se registró la presencia de kits de phishing, un conjunto de herramientas y documentación para que cualquier persona con escasas nociones técnicas pueda montar un ataque phishing en sólo unos minutos. El kit con mayor presencia el pasado mes fue Rock Phish, una modalidad que contiene plantillas especialmente diseñadas para bancos.

Además, este kit se caracteriza por el formato de su URL: http//[nombre del dominio]/r1/[letra], siendo la letra el elemento que indica la falsa página del banco que se está presentando. Asimismo, Rock Phish Kit proporciona scripts PHP para la captura de datos y hospedaje en sitios asiáticos.

En segundo término se encuentra la Estafa 419. Denominada así por el número del artículo del código penal de Nigeria que viola esta actividad, Estafa 419 es un fraude por el cual el estafador obtiene dinero de la víctima en concepto de adelanto a una cuenta de una supuesta fortuna que le ha prometido, y que consiste generalmente en una porción de una supuesta herencia bancaria o de una cuenta bancaria abandonada, entre otras variantes. Los estafadores envían miles de correos electrónicos de este tipo, normalmente en países en guerra como Nigeria, con la esperanza de que alguien muerda el anzuelo y así solicitarles que ellos mismos vayan realizando los trámites, pidiéndoles cada vez ingresar más y más dinero en concepto de “tarifa de servicio”, sin recibir nada a cambio.

No obstante, el informe realizado por Fortinet señala la aparición de un nuevo tipo de amenaza en el mes de marzo que combina la estafa 419 con el phishing. Este fraude consiste en invitar a las víctimas a abrir una cuenta gratuita en un banco online, regalándoles una determinada cantidad de dinero como bienvenida, vinculado al correo 419. Pronto la llamativa suma mencionada en el correo electrónico aparece en la cuenta online que la víctima acaba de abrir en ese banco, y en el momento en el que la víctima quiera transferir esa suma inexistente a su cuenta bancaria ordinaria, se le cobrará los clásicos honorarios por enviar esa cifra al banco.

El phishing como virus social en MSN y MySpace.com

El informe realizado por Fortinet acerca de la actividad maliciosa registrada en abril señala que muy probablemente MSN pasará a ser el primer site del phishing, a causa de su popularidad entre los usuarios de la Red. Los usuarios de MSN reciben un boletín a través del cual se les engaña para que envíen sus datos de usuario y contraseña con la supuesta intención de comprobar su identidad, pero una vez que el usuario introduce sus datos, un mensaje de error aparece en su pantalla. Este mensaje vuelve a solicitar al usuario que introduzca los datos, y es en este segundo paso cuando se almacenan sus credenciales para su posterior uso fraudulento.

Esta operación, que no parece causar grandes daños, tiene como objetivo su utilización para poner en marcha a los gusanos IM (mensajería instantánea). Y es que, aunque hace ya tiempo que se anunció su llegada, los gusanos de mensajería instantánea aún no han proliferado por la Red, ya que los autores de esos virus se encuentran ante el problema de que mientras que las direcciones de correo electrónico son sencillas de recopilar, los identificadores IM son más difíciles, lo que dificulta el proceso de envío. Por ello, una vez que recopilen esos datos de los usuarios, será mucho más sencilla que la gente acepte transferir archivos desde uno de sus contactos que desde un extraño, por esa razón los mensajes iniciales de infección deben provenir de usuarios reales para que sean eficaces.

Otro de los site más populares de la red, MySpace.com, también se ha visto invadido por virus. En un primer momento, el usuario recibe un mensaje en el que se anuncia la disponibilidad de un revolucionario software gratuito que permite a los usuarios de MySpace.com rastrear quién está leyendo su perfil colgado en myspace. Los usuarios que pinchan en el enlace señalado son redireccionados a myfriendspy.com, una página en la que se señala que únicamente tienen acceso a ese software los usuarios que “verifiquen su cuenta”. Tras este paso, el site explica al usuario que el software no está disponible en esos momentos, pero que pueden incluir esa página en sus favoritos y visitarla a menudo para estar al tanto de la disponibilidad del mismo. Mientras tanto, se ofrece al usuario la posibilidad de utilizar ese software gratuito a través de Zango, con los correspondientes enlaces que llevan al usuario a la página Web de la compañía de adware, de manera que cada vez que un usuario se descargue el software, Zango les cobra por ello.

Asimismo, se encuentra otro spam socialmente propagado de MySpace.com a través de profilepeep.com, que utiliza la misma técnica de atracción para la que conseguir un software gratuito de rastreo de usuarios, mediante un supuesto boletín informativo. El consejo de los expertos de Fortinet es el de no confiar nunca en los correos electrónicos que parecen boletines informativos, así como desechar la idea de los rastreadores de usuarios, ya que es un mito/leyenda muy utilizado para atraer, mediante engaños, a los usuarios y estafarlos.

Por último, el equipo de Fortinet detectó en abril la presencia del virus W32/Polipos, un virus que aunque no ha tenido una fuerte presencia el pasado mes podría causar un gran número de daños en los equipos de todo el mundo, al ser un virus polimórfico -cambia su código aleatoriamente con la idea de confundir a los antivirus- difícil de detectar. Afortunadamente, este virus no ha empleado el envío masivo de correos electrónicos para su difusión por la red. W32/Polipos se propaga a través de la red P2P de intercambio de archivos entre usuarios, situándose en las carpetas compartidas a la espera de que usuarios remotos se las descarguen.