PDF de programación - Tequila con malware, limón y sal 2.0

Tequila con malware, limón y sal 2.0

Miguel Ángel Mendoza

ESET Latinoamérica

• Panorama del malware
• Regionalización de las amenazas informáticas
• Campañas de malware en Latinoamérica

• Operación Liberpy (Venezuela)
• CPL malware (Brasil)
• VBA/TrojanDonwaloaders (México)

• ¿Qué estamos haciendo para protegernos?
• Conclusiones

PANORAMA DEL MALWARE

200,000

Nuevas

variantes de

malware por día

INCIDENTES DE SEGURIDAD

Infección de malware

Acceso indebido a aplicaciones y/o bases de datos

Ataque de denegacion de servicio

Phishing

Explotacion de vulnerabilidades

Falta de disponibilidad de servicios críticos

Fraude interno/externo

Ninguno

0

10

20

30

40

50

60

Pequeña Mediana

Grande

45% Malware, la principal

causa de incidentes

VARIANTES WIN32/FILECODER

JS/BONDAT

1%

2%

3%

0%

0%

10%

28%

• Comunicación HTTP

• Propagación vía USB

• Modifica página de

inicio de los
navegadores

Perú

México

Colombia

Brasil

Argentina

Chile

56%

El Salvador

Costa Rica

• Instala bitcoins miners

• Activa desde

septiembre del 2014

WIN32/DORKBOT

2% 1%

1% 1%

1%

2%

5%

36%

5%

5%

6%

8%

11%

16%

México

Perú

Argentina

Venezuela

Colombia

Ecuador

Chile

Guatemala

Brasil

El Salvador

Honduras

Panamá

Nicaragua

Costa Rica

• Comunicación IRC

• Propagación vía USB,

correos, Facebook,
Skype y Twitter.

• Roba credenciales

(redes sociales, correos
electrónicos)

• Instala otros códigos

maliciosos

• Activa desde el 2011

WIN32/REMTASU

2%

2%

2%

2% 0%

4%

5%

6%

7%

9%

Colombia

Perú

El Salvador

Brasil

México

Argentina

Guatemala

Venezuela

Ecuador

Chile

Costa Rica

• Comunicación HTTP

• Propagación vía correos

electrónicos

• Keylogger y permite

acceso remoto

• Puede instalar otros

códigos maliciosos

• Existe desde 2011,

pero desde el 2014 en
Latinoamérica

61%

WIN32/NEUREVT

2% 2%

5%

6%

8%

9%

10%

1% 1%

México

30%

Brasil

Perú

Ecuador

Colombia

Argentina

Chile

Guatemala

Venezuela

El Salvador

Honduras

26%

• Comunicación HTTP

• Permite acceso remoto

al atacante

• Propagación vía USB y

documentos maliciosos
de Office

• Existe desde el 2013,

activa en Latinoamérica
desde Abril del 2015

El 78% de las amenazas detectadas son gusanos

El 66% de las familias de bots en Latinoamérica se
pueden propagar a través de USB

Cinco de cada diez familias de bots que vimos en
el 2015 cuentan con funcionalidades de
Keylogging

El 21% de las detecciones de bots en
Latinoamérica pueden realizar ataques de DDoS

REGIONALIZACIÓN DE LAS
AMENAZAS INFORMÁTICAS

Unos días más tarde…

CAMPAÑAS DE MALWARE
EN LATINOAMÉRICA

OPERACIÓN LIBERPY
(VENEZUELA)

CARACTERÍSTICAS DEL MALWARE

• Supuesto software para tracking de compras
• Ejecutables: “Liberty2-0.exe” y “Liberty1-0.exe“

•

Identificados como: Python/Liberpy.A y
Python/Spy.Keylogger.G

• Funcionalidad keylogger

• Captura movimientos del mouse

• Posterior propagación vía USB (oculta archivos y

los reemplaza por acceso directos)

SCRIPT DE PYTHON

PORCENTAJES DE DETECCIÓN

BOTS POR PAÍS

DIRECCIÓN IP DE BOTS

MALWARE CPL
(BRASIL)

CARACTERÍSTICAS DEL MALWARE

• CPL (Control Panel Application)
• Biblioteca de enlace dinámico (DLL)
• Requiere ser invocada por un programa en

ejecución

• Doble clic sobre un archivo DLL no ejecuta

código en forma automática

• Doble clic sobre un archivo CPL ejecuta

control.exe la aplicación del Panel de Control de
Microsoft Windows

• 1,500 muestras para el estudio
• 82% de las detecciones son variantes de

Win32/TrojanDownloader.Banload

• Robo de datos bancarios de la víctima

MUESTRA DE MALWARE

VBA/TROJANDOWNLOADER
(MÉXICO)

CAMPAÑAS DE PROPAGACIÓN

INSTITUCIONES AFECTADAS

MALWARE IDENTIFICADO

• Dorkbot

• Neurevt

• Dridex

2014 Q2

2014 Q3

2014 Q4

2015 Q1

2015 Q2

2015 Q3

PROPAGACIÓN EN MÉXICO

PROPAGACIÓN EN ECUADOR

PROPAGACIÓN EN EL MUNDO

PROPAGACIÓN EN OTROS PAÍSES

¿QUÉ ESTAMOS HACIENDO
PARA PROTEGERNOS?

EVOLUCIÓN DE LA TECNOLOGÍA

EDUCACIÓN Y CONCIENTIZACIÓN

EDUCACIÓN Y CONCIENTIZACIÓN

CONCLUSIONES

MALWARE GENERA MÁS INGRESO EN
MENOS TIEMPO

REGIONALIZACIÓN DE LOS CÓDIGOS
MALICIOSOS

MALWARE COMPLEJO, MÉTODOS DE
PROPAGACIÓN CONOCIDOS

SOLUCIONES DE SEGURIDAD,
BUENAS PRÁCTICAS Y EDUCACIÓN

¡DISFRUTEMOS DE

TECNOLOGÍA MÁS SEGURA!

GRACIAS

Miguel Ángel Mendoza

ESET Latinoamérica

[email protected]

@ESETLA
/ESETLA