tequila con malware, limón y sal 2 - unam · panorama del malware. 200,000 nuevas variantes de...

Miguel Ángel Mendoza

ESET Latinoamérica

Tequila con malware, limón y sal 2.0

• Panorama del malware

• Regionalización de las amenazas informáticas

• Campañas de malware en Latinoamérica

• Operación Liberpy (Venezuela)

• CPL malware (Brasil)

• VBA/TrojanDonwaloaders (México)

• ¿Qué estamos haciendo para protegernos?

• Conclusiones

PANORAMA DEL MALWARE

200,000Nuevas

variantes de

malware por día

0 10 20 30 40 50 60

Ninguno

Fraude interno/externo

Falta de disponibilidad de servicios críticos

Explotacion de vulnerabilidades

Phishing

Ataque de denegacion de servicio

Acceso indebido a aplicaciones y/o bases de datos

Infección de malware

Pequeña Mediana Grande

INCIDENTES DE SEGURIDAD

45%Malware, la principal

causa de incidentes

VARIANTES WIN32/FILECODER

JS/BONDAT

56%

28%

10%

3%

2%

1% 0%

0%

Perú

México

Colombia

Brasil

Argentina

Chile

El Salvador

Costa Rica

• Comunicación HTTP

• Propagación vía USB

• Modifica página de

inicio de los

navegadores

• Instala bitcoins miners

• Activa desde

septiembre del 2014

WIN32/DORKBOT

36%

16%11%

8%

6%

5%

5%

5%

2%

2% 1%1% 1%

1%México

Perú

Argentina

Venezuela

Colombia

Ecuador

Chile

Guatemala

Brasil

El Salvador

Honduras

Panamá

Nicaragua

Costa Rica

• Comunicación IRC

• Propagación vía USB,

correos, Facebook,

Skype y Twitter.

• Roba credenciales

(redes sociales, correos

electrónicos)

• Instala otros códigos

maliciosos

• Activa desde el 2011

WIN32/REMTASU

61%

9%

7%

6%

5%

4%

2%2%

2%

2% 0% Colombia

Perú

El Salvador

Brasil

México

Argentina

Guatemala

Venezuela

Ecuador

Chile

Costa Rica

• Comunicación HTTP

• Propagación vía correos

electrónicos

• Keylogger y permite

acceso remoto

• Puede instalar otros

códigos maliciosos

• Existe desde 2011,

pero desde el 2014 en

Latinoamérica

WIN32/NEUREVT

• Comunicación HTTP

• Permite acceso remoto

al atacante

• Propagación vía USB y

documentos maliciosos

de Office

• Existe desde el 2013,

activa en Latinoamérica

desde Abril del 2015

30%

26%10%

9%

8%

6%

5%

2% 2%1% 1% México

Brasil

Perú

Ecuador

Colombia

Argentina

Chile

Guatemala

Venezuela

El Salvador

Honduras

El 78% de las amenazas detectadas son gusanos

El 66% de las familias de bots en Latinoamérica se pueden propagar a través de USB

Cinco de cada diez familias de bots que vimos en el 2015 cuentan con funcionalidades de Keylogging

El 21% de las detecciones de bots en Latinoamérica pueden realizar ataques de DDoS

REGIONALIZACIÓN DE LAS

AMENAZAS INFORMÁTICAS

Unos días más tarde…

CAMPAÑAS DE MALWARE

EN LATINOAMÉRICA

OPERACIÓN LIBERPY

(VENEZUELA)

CARACTERÍSTICAS DEL MALWARE

• Supuesto software para tracking de compras

• Ejecutables: “Liberty2-0.exe” y “Liberty1-0.exe“

• Identificados como: Python/Liberpy.A y

Python/Spy.Keylogger.G

• Funcionalidad keylogger

• Captura movimientos del mouse

• Posterior propagación vía USB (oculta archivos y

los reemplaza por acceso directos)

SCRIPT DE PYTHON

PORCENTAJES DE DETECCIÓN

BOTS POR PAÍS

DIRECCIÓN IP DE BOTS

MALWARE CPL

(BRASIL)

CARACTERÍSTICAS DEL MALWARE

• CPL (Control Panel Application)

• Biblioteca de enlace dinámico (DLL)

• Requiere ser invocada por un programa en

ejecución

• Doble clic sobre un archivo DLL no ejecuta

código en forma automática

• Doble clic sobre un archivo CPL ejecuta

control.exe la aplicación del Panel de Control de

Microsoft Windows

• 1,500 muestras para el estudio

• 82% de las detecciones son variantes de

Win32/TrojanDownloader.Banload

• Robo de datos bancarios de la víctima

MUESTRA DE MALWARE

VBA/TROJANDOWNLOADER

(MÉXICO)

CAMPAÑAS DE PROPAGACIÓN

INSTITUCIONES AFECTADAS

MALWARE IDENTIFICADO

• Dorkbot

• Neurevt

• Dridex

2014 Q2

2014 Q3

2014 Q4

2015 Q1

2015 Q2

2015 Q3

PROPAGACIÓN EN MÉXICO

PROPAGACIÓN EN ECUADOR

PROPAGACIÓN EN EL MUNDO

PROPAGACIÓN EN OTROS PAÍSES

¿QUÉ ESTAMOS HACIENDO

PARA PROTEGERNOS?

EVOLUCIÓN DE LA TECNOLOGÍA

EDUCACIÓN Y CONCIENTIZACIÓN

EDUCACIÓN Y CONCIENTIZACIÓN

CONCLUSIONES

MALWARE GENERA MÁS INGRESO EN

MENOS TIEMPO

REGIONALIZACIÓN DE LOS CÓDIGOS

MALICIOSOS

MALWARE COMPLEJO, MÉTODOS DE

PROPAGACIÓN CONOCIDOS

SOLUCIONES DE SEGURIDAD,

BUENAS PRÁCTICAS Y EDUCACIÓN

¡DISFRUTEMOS DE

TECNOLOGÍA MÁS SEGURA!

Miguel Ángel Mendoza

ESET Latinoamérica

educacion@eset-la.com

@ESETLA/ESETLA

GRACIAS