Aunque no deja de ser una etiqueta de moda sin una definici\u00c3\u00b3n clara,
\nel concepto de la Web 2.0 hace referencia a una segunda generaci\u00c3\u00b3n
\nde aplicaciones web din\u00c3\u00a1micas e interactivas donde el usuario tiene
\nun mayor protagonismo y participaci\u00c3\u00b3n, frente a las webs est\u00c3\u00a1ticas
\ntradicionales donde el usuario era un receptor pasivo. \u00c2\u00bfExiste tambi\u00c3\u00a9n
\nun nueva generaci\u00c3\u00b3n de malware 2.0?<\/p>\n
Tengo que confesar que cre\u00c3\u00ada que iba a ser original hablando del
\nconcepto Malware 2.0, pero una b\u00c3\u00basqueda en Google me ha sacado de mi
\nerror. Hace menos de un mes la empresa de seguridad PC Tools utiliz\u00c3\u00b3
\nel t\u00c3\u00a9rmino en una nota de prensa donde hablaba de una nueva generaci\u00c3\u00b3n
\nde malware: http:\/\/www.pctools.com\/news\/view\/id\/181\/<\/p>\n
PC Tools hace referencia a caracter\u00c3\u00adsticas que llevamos comentando
\ntiempo atr\u00c3\u00a1s en Hispasec:<\/p>\n
* La proliferaci\u00c3\u00b3n de nuevas variantes de malware ha crecido de forma
\nbrutal.<\/p>\n
* Se utilizan t\u00c3\u00a9cnicas autom\u00c3\u00a1ticas para ofuscar las variantes y
\ndificultar la identificaci\u00c3\u00b3n por firmas.<\/p>\n
* La estrategia actual pasa por utilizar muchas variantes en vez de un
\n\u00c3\u00banico esp\u00c3\u00a9cimen para llamar menos la atenci\u00c3\u00b3n y dificultar una respuesta
\nr\u00c3\u00a1pida por parte de la comunidad antivirus (de ah\u00c3\u00ad que llevemos bastante
\ntiempo sin ver un gusano de propagaci\u00c3\u00b3n masiva como el ILoveYou y
\ncompa\u00c3\u00b1\u00c3\u00ada).<\/p>\n
A continuaci\u00c3\u00b3n, como era de esperar, utiliza este argumento para vender
\nsu producto antispyware, que utiliza t\u00c3\u00a9cnicas adicionales para no
\ndepender en exclusiva de las firmas de detecci\u00c3\u00b3n.<\/p>\n
Aunque esas caracter\u00c3\u00adsticas son una realidad evidente desde hace
\nbastante tiempo, mi idea del concepto de Malware 2.0 tiene m\u00c3\u00a1s analog\u00c3\u00ada
\ncon la Web 2.0: el uso de la web como plataforma para la distribuci\u00c3\u00b3n,
\npersonalizaci\u00c3\u00b3n del malware, y uso inteligente de los datos obtenidos
\npor parte de los usuarios para propocionar \u00abnuevos contenidos\u00bb.<\/p>\n
Para desarrollar la idea voy a utilizar un ejemplo de ataque real, de
\nlos muchos que est\u00c3\u00a1n sucediendo a d\u00c3\u00ada de hoy, destinado a los usuarios
\nde banca electr\u00c3\u00b3nica:<\/p>\n
* Los atacantes dise\u00c3\u00b1an un servidor web que hospeda el c\u00c3\u00b3digo malicioso.<\/p>\n
* Para atraer a potenciales v\u00c3\u00adctimas anuncian su URL a trav\u00c3\u00a9s de spam,
\nen foros, comentarios en blogs, etc. con cualquier excusa (bien una
\nnoticia de actualidad, curiosidades, im\u00c3\u00a1genes er\u00c3\u00b3ticas o cualquier otro
\ncontenido potencialmente atractivo que lleven a los usuarios a visitar
\nel servidor web de los atacantes).<\/p>\n
* Cuando un usuario accede al sitio de los atacantes, la web comprueba
\nla versi\u00c3\u00b3n del navegador del visitante y, si es vulnerable, devuelve un
\nexploit espec\u00c3\u00adfico para su versi\u00c3\u00b3n del navegador que provoque la
\ndescarga autom\u00c3\u00a1tica y ejecuci\u00c3\u00b3n del troyano.<\/p>\n
* Si el usuario tiene un navegador actualizado, utiliza la ingenier\u00c3\u00ada
\nsocial para que el usuario descargue y ejecute por si mismo el troyano
\n(por ejemplo, mediante un ActiveX, decirle que es un v\u00c3\u00addeo, o una
\nutilidad que requiere con cualquier excusa).<\/p>\n
* Este primer troyano que se descarga es un \u00abdownloader\u00bb, que lo que
\nhace es instalarse en el sistema y descargar e instalar la \u00c3\u00baltima
\nversi\u00c3\u00b3n del troyano bancario, as\u00c3\u00ad como sucesivas actualizaciones que
\npudieran aparecer en el futuro.<\/p>\n
* El troyano \u00abdownloader\u00bb tambi\u00c3\u00a9n puede personalizar la versi\u00c3\u00b3n del
\ntroyano bancario que descarga en funci\u00c3\u00b3n del sistema. Por ejemplo, si
\nel usuario tiene una versi\u00c3\u00b3n de Windows en espa\u00c3\u00b1ol, el \u00abdownloader\u00bb
\ninstalar\u00c3\u00a1 en el sistema un troyano bancario dise\u00c3\u00b1ado espec\u00c3\u00adficamente
\npara entidades espa\u00c3\u00b1olas.<\/p>\n
* El troyano bancario puede estar destinado a unas entidades espec\u00c3\u00adficas
\no ser m\u00c3\u00a1s gen\u00c3\u00a9rico. En el caso de que tenga unas entidades predefinidas,
\nsi el usuario accede a las webs de banca electr\u00c3\u00b3nica reconocidas por el
\ntroyano, env\u00c3\u00ada los usuarios y contrase\u00c3\u00b1as de acceso del usuario al
\nservidor web para que los atacantes puedan suplantar su identidad y
\nrealizar transferencias a otras cuentas.<\/p>\n
* En el caso de un troyano bancario m\u00c3\u00a1s gen\u00c3\u00a9rico e inteligente, env\u00c3\u00ada a
\nun script del servidor web de los atacantes todas las URLs por las que
\nel usuario navegue y que comiencen por https. En el servidor web tienen
\nun listado de URLs de bancos, si alguna de las URLs que env\u00c3\u00ada el troyano
\ncorresponde con el listado, entonces el servidor web devuelve al troyano
\nuna orden concreta: redirigir al usuario a un sitio de phishing de esa
\nentidad, modificar en local la p\u00c3\u00a1gina web de la entidad para que pida la
\nclave de operaciones, etc.<\/p>\n
* La informaci\u00c3\u00b3n de las URLs de p\u00c3\u00a1ginas seguras (https) por la que los
\nusuarios navegan, y que env\u00c3\u00adan al servidor web, sirve a los atacantes
\npara dise\u00c3\u00b1ar nuevos ataques y actualizaciones de su troyano bancario.
\nPor ejemplo, imaginemos que en un principio los atacantes contemplaban a
\nBanesto, pero no al BBVA. Los usuarios que visitaban la web de Banesto
\neran afectados, mientras que los del BBVA no porque el servidor web no
\ndevolv\u00c3\u00ada ninguna orden concreta al no tener un ataque espec\u00c3\u00adfico
\npreparado. Los atacantes estudian peri\u00c3\u00b3dicamente las estad\u00c3\u00adsticas de
\nlas URLs que se centralizan en su servidor, y comprueban que hay muchos
\nusuarios infectados que visitan la web del BBVA. Entonces deciden crear
\nuna nueva versi\u00c3\u00b3n del troyano bancario espec\u00c3\u00adfico o una p\u00c3\u00a1gina de
\nphishing a la que redirigir a los usuarios infectados que la pr\u00c3\u00b3xima
\nvez visiten la web del BBVA.<\/p>\n
Este \u00c3\u00baltimo punto tiene cierta analog\u00c3\u00ada con servicios web 2.0 como
\ndigg.com o meneame.net, si muchos usuarios visitan una p\u00c3\u00a1gina de un
\nbanco se contabiliza en el servidor de los atacantes como votos
\npositivos y termina por aparecer en portada (en este caso en la lista
\nnegra de entidades para las que desarrollan un ataque concreto).<\/p>\n
C\u00c3\u00b3mo podemos ver, esta nueva generaci\u00c3\u00b3n de malware utiliza la
\ninfraestructura de la web para comunicarse con los sistemas infectados
\nde los usuarios y realimentarse con la informaci\u00c3\u00b3n que estos
\nproporcionan, aprovechando esta inteligencia colectiva para ofrecer
\nnuevos contenidos din\u00c3\u00a1micos en funci\u00c3\u00b3n de los perfiles de los usuarios.
\n\u00c2\u00bfEstamos ante el malware 2.0?<\/p>\n
Fuente: Hispasec<\/p>\n","protected":false},"excerpt":{"rendered":"
Aunque no deja de ser una etiqueta de moda sin una definici\u00c3\u00b3n clara, el concepto de la Web 2.0 hace referencia a una segunda generaci\u00c3\u00b3n de aplicaciones web din\u00c3\u00a1micas e interactivas donde el usuario tiene un mayor protagonismo y participaci\u00c3\u00b3n, frente a las webs est\u00c3\u00a1ticas tradicionales donde el usuario era un receptor pasivo. \u00c2\u00bfExiste tambi\u00c3\u00a9n […]<\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_et_pb_use_builder":"","_et_pb_old_content":"","_et_gb_content_width":"","footnotes":""},"categories":[4,1],"tags":[],"class_list":["post-238","post","type-post","status-publish","format-standard","hentry","category-noticias","category-profesional"],"_links":{"self":[{"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/posts\/238","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/comments?post=238"}],"version-history":[{"count":0,"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/posts\/238\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/media?parent=238"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/categories?post=238"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/tags?post=238"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}