Kobalos era, en la mitología griega, una pequeña y malévola criatura que se dedicaba a engañar y asustar a los mortales. Por eso, la versión troyanizada del software OpenSSH que está siendo empleada para poner en jaque a supercomputadores con Linux, la mayoría, y otros objetivos destacables ha sido bautizada así.

La compañía de ciberseguridad ESET ha analizado este malware y lo describe como "pequeño, pero complejo". Es multiplataforma, funcionando en sistemas como Linux, BSD, Solaris y posiblemente AIX y Windows, y esencialmente se está dirigiendo a los clústers de computación de alto rendimiento.

Sistemas gubernamentales, universidades y proveedores de servicios sufren sus efectos

Sector y región de las organizaciones comprendidas. / ESET

Los investigadores de la empresa eslovaca han observado que los tipos de objetivo cambian dependiendo del lugar en el que este programa malicioso actúe.

En América del Norte, por ejemplo, sus objetivos han sido sistemas gubernamentales y proveedores de seguridad de punto final. Las redes de universidades y específicamente los clústers de computación de alto rendimiento han sido algunos de los blancos en Europa. En cuanto a Asia, han actuado contra un gran proveedor de servicios de internet.

En Genbeta

Emotet, "el malware más peligroso del mundo", ha sido desmantelado por una acción policial a nivel mundial

Kobalos está siendo utilizado fundamentalmente para robar credenciales SSH de superordenadores, como pudieron comprobar en ESET al aplicar ingeniería inversa y rastrear a las posibles víctimas. Otorga acceso remoto al sistema de archivos, brinda capacidad de generar sesiones de terminal y permite conexiones de proxy a otros servidores infectados.

Lo que no se sabe, por ahora, cuál es el propósito concreto de estos ataques ni quién o quiénes están detrás de los mismos.

Esta creación tiene un nivel de sofisticación que poco habitual en el malware de Linux y los investigadores responsables del hallazgo recomiendan habilitar la autenticación de dos pasos a la hora de conectarse a los servidors SSH.

Siendo Chrome el navegador más usado y Windows 10 el sistema operativo con más usuarios en el mundo, es de esperar que sean los objetivos más comunes de todo tipo de software malicioso y no deseado.

Es por ello que desde hace un tiempo la gente de Google integró en Chrome su propia herramienta antimalware, la llamada Google Chrome Cleanup, una desarrollada por la gente de ESET, la misma empresa de seguridad detrás del famoso antivirus NOD32.

Un miniantivirus dentro de Chrome

ESET acaba de renovar su acuerdo con Google para seguir proveyendo al navegador de su propia herramienta antimalware, una que forma parte de las características de navegación segura de Chrome, y que se ejecuta en segundo plano de forma periodica.

Chrome usa las tecnología de ESET para alertar sobre programas potencialmente dañinos o no deseados que se escondan en el navegador (por ejemplo escondidos en una aplicación legítima), y si detecta algo, ofrece a los usuarios la opción de eliminar ese programa.

En Genbeta

Cómo activar la nueva y útil agrupación de pestañas automática en Google Chrome

Sin embargo, también es posible ejecutar la función de limpieza del ordenador desde Chrome de forma manual. Solo tienes que escribir chrome://settings/cleanup en la barra de dirección y presionar Enter. Ahí encontrarás un botón para buscar y encontrar software dañino en tu ordenador y eliminarlo.

Es algo que puedes hacer si Chrome te está dando problemas o sospechas que has descargado o se ha instalado algún programa no deseado en Windows. Si el navegador encuentra algo te ofrecerá la opción de eliminarlo y te notificará una vez que lo haya hecho.

Emotet, un destacado troyano bancario en activo desde hace cinco años, ha vuelto a entrar en escena con especial virulencia y se está haciendo notar especialmente entre usuarios españoles. De acuerdo con el análisis efectuado por la firma ESET, España es el país donde más incidencia se está detectando.

Según apuntan los investigadores, este malware no discrimina sus objetivos y se dirige tanto a usuarios particulares como pequeñas y medianas empresas, grandes corporaciones y organismos gubernamentales. En todos ellos el objetivo es el mismo: la sustracción de credenciales financieras. Cuantas más consiga, más probabilidades tienen los atacantes de sustraer elevadas cantidades de dinero.

Fue en septiembre cuando el laboratorio de ESET comenzó a detectar nuevas muestras de Emotet, conocido en el pasado por ser uno de los más destacados códigos maliciosos dedicados al robo de claves bancarias.

Atención a correos extraños supuestamente enviados por nuestros contactos

El método de propagación favorito de Emotet es, como aseguran los investigadores de seguridad, el correo electrónico malicioso o el llamado malspam. El troyano se esconde en ficheros o enlaces adjuntos de mensajes que tratan de convencer al receptor de la necesidad de clicar sobre ellos o abrirlos.

Para conseguir afectar a los usuarios, los correos electrónicos se disfrazan de correos electrónicos lícitos enviados haciéndose pasar por un contacto. Cuando una persona es infectada, este código malicioso utilizará su libreta de direcciones para reenviarse a los contactos que en ella aparezcan. Además, para incitar a la acción, emplea asuntos tan escuetos y directos como "Propuesta", "Respuesta", "Privacidad" o "Nueva Plantilla".

En Genbeta

Un archivo comprimido de 46 MB que explota hasta alcanzar los 4.5 petabytes, la bomba ZIP más potente creada hasta ahora

El peligro está en, por ejemplo, abrir el archivo de Word que pueda llegarnos en este tipo de mensajes. Según apuntan desde ESET, "si el usuario lo abre, se iniciará la cadena de ejecución del malware que terminará instalando Emotet en el sistema y comprometiendo su seguridad". En España se ha experimentado un repunte en su incidencia desde finales de la semana pasada y, especialmente, durante los últimos días. El regreso dio inicio el pasado 16 de septiembre.

Una puerta trasera ha sido detectada en Windows 10 por el equipo de ESET. Esta, dio paso a ataques de un spyware basado en Powershell, dirigidos contra periodistas y activistas de Oriente Medio aprovechándose del servicio de transferencia de datos en segundo plano de Windows.

El grupo responsable opera bajo el nombre de Stealth Falcon, y según leemos en ZDnet ha estado funcionando desde el año 2012, habiendo realizado movimientos similares. Desde ESET, afirman haber encontrado una puerta trasera binaria bajo el nombre de Win32 / StrealthFalcon, que habría sido creada en el año 2015.

Un malware capaz de controlar el PC de forma remota

El malware permitiría a los atacantes controlar el ordenador infectado de forma remota, habiéndose reportado ataques en Oriente Medio y alguna capital europea, como los Países Bajos. Lo más llamativo de dicho malware es que se valía de BITS (Background Intelligent Transfer Service) para comunicarse con su servidor. BITS es el servicio de transferencia de archivos en segundo plano que utiliza Windows para, por ejemplo, distribuir actualizaciones de sistema operativo.

En concreto, Win32 / StealthFalcon es un archivo DLL que se instala en el ordenador afectado, y se inicia como una tarea más cada vez que se inicia sesión. Mediante comandos básicos, es capaz de recopilar archivos, eliminarlos, escribir datos y actualizar los propios datos de configuración del PC, entre otros.

En Genbeta

Esta web te permite saber cómo de seguros y privados son tus pasos en Internet

En cuanto a BITS, como adelantamos, tiene como principal objetivo enviar grandes paquetes de datos ocupando el mínimo de ancho de banda posible, siendo capaz de operar en segundo plano. Al ser el sistema predeterminado de Windows para enviar actualizaciones, es más sencillo que un firewall lo deje pasar, lo que ha hecho que durante cuatro años nadie se de cuenta de su comportamiento.

El equipo de ESET logró detectar la brecha debido al comportamiento sospechoso del malware, que ocultaba el tráfico que enviaba a su servidor a través del BITS de Windows. Por el momento, no se conocen más detalles sobre el número de ordenadores afectados y sobre la actuación que se espera para acabar con el malware.

Vía | ZDnet

En varias ocasiones os hemos contado lo mucho que están creciendo los ataques de Ransomware, e incluso hemos intentado denunciar algunas de las campañas que más nos pudieran afectar. Lo que no siempre pasa es que los responsables de algunas de las campañas más exitosas acaben tirando la toalla, incluso facilitando el desbloqueo de sus secuestros de datos.

Los operadores de este peligroso ransomware, que se caracterizaba por cifrar también archivos de videojuegos, anunciaron hace poco en su página en la Deep Web que habían decidido poner fin a sus actividades. Tal y como nos cuentan en el blog We Live Security perteneciente a ESET, uno de los analistas de la empresa de seguridad contactó con el grupo, y estos acabaron facilitándole la clave para desbloquear todos los equipos afectados.

...y los delincuentes pidieron perdón

El analista de ESET contactó con el grupo de forma anónima mediante el canal de soporte que estos ofrecen a las víctimas de TeslaCrypt. Les solicitó la clave maestra universal para descifrar los datos afectados, y para su sorpresa no sólo se la dieron, sino que al poco rato la hicieron pública en su propia web junto a una pequeña disculpa.

A raíz de haber obtenido la clave, ESET no ha dejado pasar la oportunidad de poder ser los primeros en crear una herramienta universal para que cualquiera que haya sido afectado por las campañas de este malware pueda recuperar sus datos. También han habilitado una página con instrucciones para utilizarla.

Desafortunadamente no todos los responsables de este tipo de campañas acaban rindiéndose, y el ransomware sigue siendo una de las mayores amenazas a las que se enfrentan los internautas. La clave para minimizar los riesgos es extremar la precaución e intentar no picar con los correos que puedan llevaros a descargar un programa que no conocéis. Otra clave es hacer copias de seguridad periódicas y guardarlas offline en algún disco duro.

Vía | We Live Security
En Genbeta | Detectada nueva campaña del ransomware CryptoLocker en España con mails falsos de Correos

La historia tiene miga. Kaspersky ha demostrado que sus competidores no analizan los malwares, tan sólo se limitan a generar una firma y añadirla a sus bases de datos de archivos perjudiciales.

Para ello, han utilizado el servicio VirusTotal, una web de Hispasec que permite analizar archivos sospechosos, utilizando los motores de varios antivirus. Para ello, han enviado 20 archivos falsos, no infectados, a VirusTotal... y han configurado su motor para que en diez de ellos, Kaspersky dé positivo.

De esa forma, en los resultados de VirusTotal, Kaspersky era el único que detectaba el (falso) virus. Y aquí viene la jugada maestra: como VirusTotal envía estos archivos sospechosos a los motores que no los han detectado, para que tengan constancia de nuevas amenazas, varios de los competidores de Kaspersky han empezado a dar positivos con esos falsos virus. Es decir, no se han molestado en analizar la amenaza: si Kaspersky afirma que es un virus, pues ellos también.

Algunos antivirus empezaron a dar (falsos) positivos en menos de diez días. Lo peor: que entre las que han picado hay empresas tan importantes como McAfee, Symantec, AVG, F-Secure o Fortinet, junto con otras menos populares como a-squared, AntiVir, Antiy-AVL, Comodo, Ikarus, TheHacker, Sunbelt o VBA32.

Esto no es nada nuevo, era un secreto a voces. La jugada de Kaspersky me parece algo sucia, pero la entiendo perfectamente. Si uno dedica muchos esfuerzos a analizar cada amenaza, mientras la competencia se limita a realizar análisis someros o a copiar sus firmas, exponer las tretas de otros puede estar justificado. El problema es cuando implicas al servicio de un tercero en la maniobra, en este caso VirusTotal.

Afortunadamente, creo que al menos la imagen de VirusTotal no se ha resentido en todo esto. Ha quedado claro que ha cumplido bien su labor, la de transmitir al resto de compañías unos posibles archivos sospechosos, puesto que no son ellos los que realizan el análisis. Pero si yo estuviera al cargo de VirusTotal, al menos tendría unas palabritas con Kaspersky.

En ESET, una de las compañías que no han caído en la trampa, hacen un análisis interesante. Teniendo en cuenta cómo han generado los falsos virus, es posible que los (falsos) positivos de otros se hayan debido al uso de técnicas heurísticas, y que la detección se deba al compilador usado y no a una mera copia de las firmas. Y afirma que alguna empresas sólo dan como "sospechoso" y en sus versiones online. Esto, aunque exculpa en parte a las afectadas, expone un problema diferente: las técnicas utilizadas deben ser revisadas.

El objetivo de Kaspersky, dicen desde ESET, es el de probar que el problema es el análisis estático de los archivos infectados. Pero en ESET opinan, acertadamente, que el problema es de la no validación. Un análisis dinámico puede que sea más eficaz, pero si no se comprueba que la amenaza es real, seguirán produciéndose los falsos positivos. Pero claro, cualquiera analiza los millares de archivos sospechosos que aparecen cada día...

Vía | Security by default Más información | PcMag, ESET, Trend Micro Enlace | VirusTotal En Genbeta | Una actualización de Kaspersky da falsos positivos en webs que utilicen publicidad de Google