Investigadores de seguridad de Trend Micro han publicado un reporte describiendo una nueva amenaza bastante avanzada. Se trata de un malware llamado Skidmap, este funciona como un rootkit en Linux y es capaz de ocultar la carga de CPU que utiliza para minar criptomonedas con el equipo infectado.

Esto es realmente importante puesto que una de las principales formas o la principal forma de detectar infecciones con malware de minado de criptomonedas, es el hecho de que consumen básicamente toda la potencia del CPU para hacerlo y lo podemos comprobar en el monitor del sistema.

Skidmap es un ejemplo de la alta complejidad de los criptominers actuales, el malware no solo carga modulos del kernel para mantener sus operaciones ocultas y enmascara lo que hace mostrando estadísticas de red y CPU falsas, sino que puede ser usado por los atacantes para ganar acceso total al sistema afectado.

En Genbeta

Guía para saber si me están usando para minar criptomonedas en Internet

En Trend Micro explican que Skidmap puede establecer una contraseña maestra secreta que le da acceso a todas las cuentas de usuario del sistema, y dado que la mayoría de sus rutinas requieren acceso root, lo más probable es que el vector de ataque que usa, ya sea a través de exploits, configuraciones incorrectas o exposición en Internet, sea el mismo que proporciona el acceso root al atacante en primer lugar.

El malware de minado es una amenaza persistente

En el caso de Skidmap, este malware está incluso programado para reinfectar sistemas que ya hay sido desinfectados o restaurados. Trend Micro explica que es mucho más difícil de curar que otros malware porque Skidmap usa rootkits de módulos del kernel de Linux, de forma que pueden sobrescribir o modificar partes del kernel del sistema.

Las amenazas de minería de criptomonedas no solo afectan el rendimiento de un servidor o estación de trabajo, sino que también podrían traducirse en mayores gastos e incluso perturbar las empresas, especialmente si se utilizan para ejecutar operaciones críticas

El malware de minado sigue siendo una amenaza presente, todo el mundo quiere minar criptomedas, de ahí que hasta detengan gente por hacerlo hasta en centrales nucleares. Los _criptominers_ han ido evolucionando consistentemente, algunos siguen funcionando aunque cierres el navegador que infectan, otros son capaces de eliminar a la competencia para asegurar el máximo beneficio, y ahora tenemos cepas que son capaces de ocultar sus actividades.

Investigadores de los laboratorios de seguridad de Trend Micro han descubierto archivos .EXE aparentemente capaces de anular los mecanismos de protección de macOS como Gatekeeper.

La cuestión es que .EXE es el formato de archivo ejecutable que se usa en Windows y que indica que solo pueden usarse en el sistema operativo de Micorosft. Según Trend Micro, estos archivos maliciosos son capaces de evadir Gatekeeper porque este solo revisa los archivos nativos de Mac.

En Genbeta

Unite 2, convierte cualquier sitio web en una app “nativa” para macOS

Cómo explican los investigadores, encontraron una muestra a través de una app popular de cortafuegos para Windows y Mac llamada "Little Snitch" que está disponible en varios sitios de torrents.

Malware para Mac disfrazado de app falsa con una carga maliciosa oculta dentro de un ejecutable para Windows

Cuando el usuario descarga el torrent, este contiene un archivo .ZIP comprimido, dentro hay un .DMG (el formato de ejecutables en macOS) que contiene un instalador falso para la app Little Snitch. Cuando ese instalador se ejecuta, el archivo principal entrega una carga maliciosa escondida.

El instalador pasa entonces a recopilar una gran cantidad de detalles del sistema, como el identificador único, nombre de modelo, y las apps instaladas. Además también descargaba adware disfrazado como versiones legítimas de Flash y Little Snitch.

Una de las pantallas que se muestra cuando se ejecuta el archivo malicioso. Captura de Trend Micro

Al inspeccionar el paquete los investigadores encontraron la presencia inusual de archivo .EXE y verificaron que era el responsable de la carga maliciosa. Como es un ejecutable para Windows, este se salta la verificación de la firma del código de Gatekeeper que solo se hace en las apps nativas de Mac.

En Genbeta

Si alguien intenta robar tu MacBook esta aplicación te avisará por Telegram

Un .EXE por defecto no puede ejecutarse en macOS, sin embargo el instalador malicioso de Little Snitch se salta esta limitación empaquetando el .EXE con un framework conocido como Mono. Mono permite que ejecutables para Windows puedan correr en macOS, Android y otros sistemas.

Sin embargo, algunos investigadores apuntan que realmente no hay un problema de anulación de Gatekeeper, ya que el binario principal de la app es estándar y Gatekeeper lo bloqueará si no está firmado o tiene un certificado revocado. Sin embargo, si el usuario permite su ejecución, entonces puede ejecutar Mono y el .EXE y cualquier otra cosa.

Los investigadores de Trend Micro creen que los cibercriminales aún están estudiando el desarrollo y las oportunidades de este tipo de malware, pero sospechan que puede usarse como una técnica de evasión para otros intentos de ataque con el fin de eludir medidas de seguridad incorporadas, como las comprobaciones de certificados digitales, en este caso las de un binario no compatible con macOS por el diseño del sistema.

Vía | ARS Technica

Investigadores de seguridad de Trend Micro han identificado una nueva amenaza que han llamado "memes maliciosos". Básicamente, es un nuevo tipo de malware que recibe sus instrucciones de código escondido en memes publicados en Twitter.

Los cibercriminales explotando esto usan una vieja técnica (la estenografía) para esconder código malicioso en imágenes y evadir la seguridad, lo novedoso aquí es que están usando la técnica en imágenes que se comparten en la red social.

En Genbeta

Odiómetro, una herramienta que te muestra el odio que hay en Twitter en tiempo real

Ahora, el malware en sí no es descargado desde Twitter y aún no se ha identificado el mecanismo usado para infectar a los usuarios, ni de dónde viene, ni la intenciones detrás de él. Es un troyano de acceso remoto que al infectar el ordenador puede tomar capturas de pantalla y robar otros datos del sistema que luego envía a su servidor de control.

Parece ser un experimento

Los autores del malware identificado por Trend Micro publicaron dos tuits con memes maliciosos el pasado mes de octubre a través de una cuenta de Twitter creada en 2017. Los memes contenían un comando incrustado que el malware analiza una vez que es descargado en el ordenador de la víctima.

Captura de la cuenta de Twitter con los memes maliciosos - Trend Micro

Lo interesante de todo esto es que el malware está usando Twitter como conductor de información para comunicarse con su central maliciosa. Por ejemplo, dos tuits contenían comandos "/print" en las imágenes que le indicaban al malware que tomara una captura en el ordenador infectado.

Loes memes también podían contener comandos para robar el contenido del portapapeles del ordenador, nombres de archivos en carpetas específicas, u obtener una lista de todas las apps y procesos que se ejecutaban en el sistema.

Todavía hay mucho que aprender para entender del todo cómo funciona la nueva amenaza, los investigadores creen que podría tratarse de una prueba de concepto para futuros ataques. La cuenta fue suspendida permanentemente de Twitter tras el reporte de Trend Micro.

Vía | TechCrunch

El Equipo de Preparación ante Emergencias Informáticas de Estados Unidos ha emitido una alerta avisando de los planes de Apple de abandonar el soporte de QuickTime en Windows. La nota hace referencia a una noticia publicada por la empresa de seguridad Trend Micro, que también advierte de que han sido descubiertas dos nuevas vulnerabilidades para la aplicación.

En ambos casos la recomendación es la misma: todos deberíamos desinstalar QuickTime. Eso sí, tal y como puntualiza la propia Trend Micro esta es una recomendación exclusiva para los usuarios de Windows, ya que Apple seguirá dándole soporte a su propio sistema operativo.

Peligro: fin de soporte

Estas dos nuevas vulnerabilidades han sido reportadas por la Zero Day Initiative de la empresa de seguridad, y tienen el nombre de ZDI-16-241 y ZDI-16-242. Con ellas un atacante podría obtener acceso a nuestros equipos haciendo que descarguen sin que lo sepamos archivos de Internet, y al acabar de ser anunciadas es sólo cuestión de tiempo que alguien empiece a aprovecharse de ellas.

Aunque según Trend Micro Apple les habrían dicho que van a discontinuar la aplicación en Windows, de momento los de Cupertino no han hecho pública ninguna confirmación. Aun así, el equipo del gobierno estadounidense ya ha dicho que la mejor manera de protegerse es seguir las instrucciones de desinstalación de QuickTime.

Estaremos atentos por si Apple hiciese algún tipo de anuncio oficial confirmando estas informaciones, aunque mientras tanto y sólo por estar seguros lo recomendable sería hacerle caso al aviso. Recordemos de paso que en la misma situación están los usuarios de Windows XP e Internet Explorer 8, 9 y 10, cuyos soportes también han finalizado y están expuestos a todo tipo de ataques.

Vía | Trend Micro y United States Computer Emergency Readiness Team
En Genbeta | ¿Qué significa el final del soporte de Microsoft para Internet Explorer 8, 9 y 10?

No es ni la primera ni la última vez que hablamos de algún antivirus que sin saberlo ha incluido en su software alguna vulnerabilidad que pone en peligro a sus usuarios. En esta ocasión el fallo de seguridad ha sido encontrado por un ingeniero del programa Project Zero de Google, reportado a la empresa y solucionado antes de hacerse público.

Travis Ormandy, que así es como se llama el ingeniero de Google, reportó que había encontrado una puertas traseras en el antivirus de la empresa Trend Micro. El defecto no se encuentra en el antivirus en sí, sino en una aplicación llamada Password Manager escrita en JavaScript que se instala y ejecuta automáticamente junto a él.

Expuestos a los ataques vía web

Según cuenta Ormandy, esta aplicación utiliza una tecnología Node.js que abre múltiples puertos HTTP RPC para manejar las peticiones de su API. Con estos puertos abiertos, cualquier página podría ejecutar sin nuestro conocimiento órdenes malintencionadas en nuestros equipos con comandos arbitrarios a través de JavaScript.

Pero hay más. El ingeniero de Google también se ha encontrado con que el software de Trend Micro añadía un certificado propio que hacía que los usuarios no viésemos ningún error en los HTTPS. Con esta serie de catastróficas desdichas, un atacante podría haber obtenido las contraseñas del Password Manager sin que nos diésemos cuenta y descifrarlas para su uso y disfrute.

Como todos los problemas encontrados por el grupo Project Zero, esta vulnerabilidad fue enviada a la empresa responsable en primer lugar en 5 de enero. De esta manera, para cuando ha salido a la luz Trend Micro ya se ha encargado de aclarar que el problema ha sido solucionado, y que todos sus usuarios están recibiendo actualizaciones automáticas para no exponerse a este peligro.

Vía | The Register
Imagen | Yuri Samoilov
En Genbeta | ¿Qué (y quién) hay detrás de tu antivirus?

En Genbeta hemos tratado muchos antivirus, todos hacen bien su trabajo y no son difíciles de usar. Pero a veces surge un problema: ¿qué hago si sólo quiero hacer un escaneado rápido sin instalar nada? La solución es una sencilla aplicación para Windows llamada HouseCall.

Su funcionamiento es muy sencillo: simplemente descargamos la aplicación, aceptamos la licencia y pulsamos “Analizar ahora” con las opciones predeterminadas (podemos cambiarlas si queremos). HouseCall empezará a buscar todo tipo de amenazas de seguridad en tu ordenador: spyware, adware, virus, troyanos, rootkits… Además, si tienes vulnerabilidades en el sistema te recomienda los parches a descargar.

Es rápido, sencillo, no hace falta instalarlo (es sólo un ejecutable) y cuenta con las últimas firmas de virus. Imprescindible cuando queramos limpiar algún ordenador de virus.

Descarga | HouseCall

HijackThis es un software para usuarios avanzados que facilita la detección de spyware en un ordenador. No funciona detectando el propio spyware, sino más bien sus síntomas y consecuencias, lo que hace necesario que alguien especializado en el tema sepa reconocer que tipo de infección sufre el ordenador y como resolverlo.

Hacía ya tiempo que no se actualizaba HijackThis a una nueva versión, ya que su creador, un estudiante holandés, no disponía de tiempo para ello. Por suerte, pronto podremos encontrar nuevas versiones, ya que la empresa TrendMicro ha adquirido el programa y lo va a seguir desarrollando.

Esta nueva versión será compatible con Windows Vista e Internet Explorer 7 y se prevé que esté lista para la semana que viene, aunque ya puede descargarse una beta para tomar una primera impresión.

Vía | ZDNet. Enlace | Trend Micro.

El que Windows Vista no lleve finalmente una solución antivirus integrada, tal y como hace con el cortafuegos, ha dado una importante vida a numerosas empresas de seguridad informática que corren veloces para tener sus productos listos y bien posicionados ante la avalancha de nuevos usuarios de Windows Vista que habrá a partir del 30 de enero, y que como casi primera actividad buscarán un antivirus que sea compatible con su nuevo sistema operativo instalado.

Trend Micro ya dispone de sus soluciones Internet Security 2007 y Antivirus Plus listas para Vista y que saldrán al mercado a partir del mismo 30 de enero.

Internet Security 2007 es la cada vez más común solución completa de seguridad, incluyendo en este caso protección Spyware, Antivirus, Firewall, protección contra phishing, Home Network Control y servicio de atención al cliente. Quizás demasiado para lo que realmente se necesita.

Por su parte, la solución más lógica para instalar en Vista es el Antivirus Plus con Antispyware 2007, que protege contra virus, troyanos, gusanos, spyware, rootkits y adware.

Más información | Trendmicro. (gracias Jorgito)