Uno de los consejos que los profesionales de la seguridad han estado dando durante las últimas dos décadas, si no más, es que solo debe descargar software de sitios confiables. En lo que respecta a los consejos de seguridad informática, parece que debería ser bastante simple de practicar.

Pero incluso cuando tales consejos se comparten ampliamente, las personas aún descargan archivos de lugares claramente no confiables y, como resultado, se ven comprometidos. He sido lector de Neowin durante más de un par de décadas y miembro de su foro durante casi ese tiempo. Pero ese no es el único lugar en el que participo en línea: durante poco más de tres años, he estado ofreciendo mi tiempo como voluntario para moderar un par de foros de Reddit (subreddits) que brindan soporte informático general y consejos más específicos sobre la eliminación de malware. En esos subreddits, he ayudado a personas una y otra vez mientras intentaban recuperarse de las consecuencias de las computadoras comprometidas. Los ataques en estos días suelen tener una motivación financiera, pero también hay otras consecuencias imprevistas. Debo decir que esto no es algo exclusivo de los usuarios de Reddit. Este tipo de preguntas también surgen en chats en línea en varios servidores de Discord donde también ofrezco mi tiempo.

Una cosa que debo señalar es que los servicios de Discord y Reddit se inclinan hacia un grupo demográfico más joven que los sitios de redes sociales como Twitter y Facebook. También sospecho que son más jóvenes que el lector promedio de WeLiveSecurity. Estas personas crecieron alfabetizadas digitalmente y han tenido acceso a consejos y debates sobre prácticas informáticas seguras disponibles desde preescolar.

Una falla en las comunicaciones

A pesar de tener la ventaja de haber crecido con computadoras e información para protegerlas, ¿cómo es que estas personas han sido víctimas de ciertos patrones de ataques? Y desde el punto de vista del profesional de la seguridad de la información, ¿dónde se produce exactamente la desconexión entre lo que le decimos a la gente que haga (o que no haga, según sea el caso) y lo que está haciendo (o, de nuevo, no haciendo)?

A veces, las personas admitirán abiertamente que sabían mejor pero simplemente hicieron una "tontería", confiando en la fuente del software cuando sabían que no era confiable. A veces, sin embargo, parecía digno de confianza, pero no lo era. Y en otras ocasiones, habían designado muy claramente la fuente del malware como confiable incluso cuando no lo era de por sí. Echemos un vistazo a los escenarios más comunes que llevan a que sus computadoras se vean comprometidas:

• Recibieron un mensaje privado a través de Discord "de" un amigo en línea que les pedía comentarios sobre un juego que estaba escribiendo. El "juego" que estaba escribiendo el amigo en línea estaba en un archivo .ZIP protegido con contraseña, que tenían que descargar y extraer con la contraseña antes de ejecutarlo. Desafortunadamente, la cuenta del amigo se había visto comprometida anteriormente y el atacante ahora la estaba usando para propagar software malicioso.
• Usaron Google para Buscar para un paquete de software comercial que querían usar, pero especificaron que estaban buscando una versión gratuita o descifrada y la descargaron de un sitio web en los resultados de búsqueda. No siempre es software comercial; Incluso los programas gratuitos o de código abierto han sido recientemente objeto de publicidad maliciosa (malvertising) campañas utilizando anuncios de Google.
• De manera similar, buscaron en YouTube un video sobre cómo descargar una versión gratuita o descifrada de un paquete de software comercial y luego fueron al sitio web mencionado en el video o enumerado en sus comentarios para descargarlo.
• Descargaron el software de un conocido sitio especializado en software pirateado.
• Descargaron el software desde un rastreador privado, un canal de Telegram o un servidor de Discord en el que habían estado activos durante más de un año.

Me gustaría señalar que estos no son los únicos medios por los cuales las personas fueron engañadas para ejecutar malware. WeLiveSecurity ha informado sobre varios casos notables recientemente que implicaron engañar al usuario:

• En un caso notable, kryptocibule, malware centrado en criptomonedas que se dirigía a usuarios checos y eslovacos, se propagó a través de un popular servicio local de intercambio de archivos, haciéndose pasar por juegos pirateados o contenido descargable (DLC) para ellos. En un segundo caso no relacionado, los hablantes de chino en el sudeste y el este de Asia fueron atacados con resultados de búsqueda de Google envenenados para aplicaciones populares como el navegador web Firefox y las aplicaciones de mensajería populares Telegram y WhatsApp, para instalar troyanos. versiones que contienen el rata fatal troyano de acceso remoto.

¿Alguno de estos escenarios parece similar entre sí de alguna manera? A pesar de los diversos medios para recibir el archivo (buscar versus preguntar, usar un motor de búsqueda, un sitio de videos o un sitio de piratería, etc.) todos tienen una cosa en común: explotaron la confianza.

Descargas seguras

Cuando los profesionales de la seguridad hablan de descargar archivos , solamente de sitios web de buena reputación, parece que a menudo solo estamos haciendo la mitad del trabajo de educar al público sobre ellos, o tal vez incluso un poco menos, para el caso: hemos hecho un trabajo mucho mejor al decirle a la gente qué tipo de sitios a los que ir (los de buena reputación, obviamente) sin explicar qué hace que un sitio sea seguro para descargar en primer lugar. Entonces, sin fanfarria, esto es lo que hace un sitio confiable para descargar software de:

• Solo debe descargar software directamente del sitio del autor o del editor, o de un sitio expresamente autorizado por ellos.

¡Y eso es! En el mundo actual del software, el sitio del editor podría ser un poco más flexible de lo que ha sido históricamente. Sí, podría ser un sitio con el mismo nombre de dominio que el sitio del editor, pero también podría ser que los archivos estén ubicados en GitHub, SourceForge, alojados en una red de entrega de contenido (CDN) operada por un tercero, etc. . Ese sigue siendo el sitio del editor, ya que ellos lo cargaron explícitamente. A veces, los editores también proporcionan enlaces adicionales a sitios de descarga adicionales. Esto se hace por una variedad de razones, como sufragar los costos de hospedaje, proporcionar descargas más rápidas en diferentes regiones, promocionar el software en otras partes del mundo, etc. Estos también son oficial descargar sitios porque están específicamente autorizados por el autor o editor.

También hay sitios y servicios que actúan como repositorios de software. SourceForge y GitHub son sitios populares para albergar proyectos de código abierto. Para las versiones shareware y de prueba de software comercial, existen numerosos sitios que se especializan en enumerar sus últimas versiones para descargar. Estos sitios de descarga funcionan como curadores para encontrar software en un solo lugar, lo que facilita la búsqueda y el descubrimiento de software nuevo. En algunos casos, sin embargo, también pueden tener un lado más oscuro: algunos de estos sitios colocan envoltorios de software alrededor de los archivos descargados de ellos que pueden solicitar la instalación de software adicional además del programa que estaba buscando. Estos paquetes de programas pueden hacer cosas completamente ajenas al software al que están conectados y, de hecho, pueden instalar aplicaciones potencialmente no deseadas (PUAs) en su computadora.

Otros tipos de sitios a tener en cuenta son los servicios de almacenamiento de archivos como Box, Dropbox y WeTransfer. Si bien todos estos son servicios de intercambio de archivos muy legítimos, un actor de amenazas puede abusar de ellos: las personas pueden suponer que debido a que el servicio es confiable, los programas descargados de ellos son seguros. Por el contrario, los departamentos de TI que verifican la exfiltración de datos pueden ignorar las cargas de archivos que contienen información personal y credenciales porque se sabe que son servicios legítimos.

Cuando se trata de motores de búsqueda, interpretar sus resultados puede ser complicado para los no iniciados o para las personas simplemente impacientes. Si bien el objetivo de cualquier motor de búsqueda, ya sea Bing, DuckDuckGo, Google, Yahoo u otro, es brindar los mejores y más precisos resultados, su negocio principal a menudo gira en torno a la publicidad. Esto significa que los resultados en la parte superior de la página en los resultados del motor de búsqueda a menudo no son los mejores y más precisos, sino publicidad paga. Muchas personas no notan la diferencia entre la publicidad y los resultados del motor de búsqueda, y los delincuentes se aprovecharán de esto a través de campañas de publicidad maliciosa en las que compran espacios publicitarios para redirigir a las personas a sitios web utilizados para phishing y otras actividades no deseadas, y malware. En algunos casos, los delincuentes pueden registrar un nombre de dominio utilizando Typosquatting o de aspecto similar dominio de primer nivel a la del editor de software para que la dirección de su sitio web sea menos perceptible a primera vista, como ejemplo.com frente a ejemplo1e.com (observe cómo la letra "l" ha sido liberada por el número "1" en el segundo dominio) .

Señalaré que hay muchos lugares legítimos y seguros en Internet para descargar versiones de software gratuitas y de prueba, porque enlazan con las descargas del propio editor. Un ejemplo de esto es Neowin, para quien se escribió la versión original de este artículo. de neowin Software sección de descarga no se involucra en ningún tipo de comportamiento falso. Todos los enlaces de descarga van directamente a los archivos del editor oa su página web, lo que convierte a Neowin en una fuente confiable para encontrar software nuevo. Otro sitio de buena reputación que enlaza directamente con las descargas de los editores de software es MajorGeeks, que los ha incluido casi a diario durante más de dos décadas.

Si bien la descarga directa garantiza que obtenga el software de la empresa (o individuo) que lo escribió, eso no significa necesariamente que esté libre de malware: ha habido casos en los que se incluyó software malicioso en un paquete de software, involuntariamente or de otra manera. Del mismo modo, si un editor de software incluye aplicaciones potencialmente no deseadas o adware con su software, aún lo recibirá con una descarga directa desde su sitio.

Se debe prestar especial atención a las diversas tiendas de software de aplicaciones administradas por proveedores de sistemas operativos, como Apple App Store, Google Play Store, las tiendas de aplicaciones de Windows de Microsoft, etc. Uno podría suponer que estos sitios son sitios de descarga de buena reputación, y en su mayor parte son exactamente eso, pero no hay una garantía del 100 %: los autores de software sin escrúpulos han eludido los procesos de investigación de las tiendas de aplicaciones para distribuir software que invade la privacidad de las personas con software espía, muestra anuncios atroces con adware y participar en otros comportamientos no deseados. Estas tiendas de aplicaciones tienen la capacidad de eliminar dicho software de sus tiendas, así como desinstalarlo de forma remota de los dispositivos afectados, lo que ofrece algún remedio; sin embargo, esto podría ser días o semanas (o más) después de que el software esté disponible. Incluso si solo descarga aplicaciones de la tienda oficial, es imprescindible tener un software de seguridad en su dispositivo para protegerlo.

Los fabricantes de dispositivos, los minoristas y los proveedores de servicios pueden agregar sus propias tiendas de aplicaciones a los dispositivos; sin embargo, es posible que estos no tengan la capacidad de desinstalar aplicaciones de forma remota.

Sobre el malware involucrado

Con todo eso en mente, probablemente se esté preguntando qué hizo exactamente el malware en las computadoras afectadas. Si bien hubo diferentes familias de malware involucradas, cada una con su propio conjunto de acciones y comportamientos, hubo dos que básicamente se destacaron porque eran delincuentes reincidentes, lo que generó muchas solicitudes de asistencia.

• STOP/DJVU, detectado por ESET como Win32/Filecoder.DETENER, es una familia de ransomware que parecía apuntar en gran medida a los estudiantes. Si bien no todos los afectados fueron atacados de la misma manera, varios estudiantes informaron que el ransomware apareció después de piratear complementos VST comerciales destinados a la escuela o proyectos personales mientras estaban en la universidad. Esto es a pesar de que los complementos se han descargado de torrentes de "alta reputación" compartidos por usuarios de mucho tiempo y tienen docenas o, a veces, incluso cientos de sembradores para ese enlace magnético en particular.

• Poco después de que ocurriera la piratería del software, los estudiantes encontraron notas de ransomware bastante estándar en su escritorio. Lo que era inusual acerca de las notas de extorsión era que en lugar de pedir que se les pagaran decenas o cientos de miles de dólares, los delincuentes pedían montos mucho más bajos: alrededor de US $ 1,000-1,200 (en criptomoneda). Pero eso no es todo: las víctimas que pagaron dentro de las primeras 24 a 72 horas de la notificación fueron elegibles para un descuento del 50%. Si bien la cantidad que se extorsiona parece muy baja en comparación con lo que piden los delincuentes que buscan empresas, la cantidad más baja puede significar una mayor probabilidad de pago por parte de la víctima, especialmente cuando se enfrenta a tácticas de tanta presión. Es posible que el ransomware STOP/DJVU se comercializa como ransomware-as-a-service (RaaS), lo que significa que sus desarrolladores lo arriendan a otros delincuentes a cambio de un pago y una parte de las ganancias. Es posible que otros delincuentes también lo estén usando, pero parece que al menos un grupo ha encontrado su punto ideal al atacar a los estudiantes.

Y en caso de que se lo pregunte: nunca he oído hablar de nadie que haya descifrado con éxito sus archivos después de pagar el rescate a los delincuentes de STOP/DJVU. Su mejor apuesta para descifrar sus archivos es hacer una copia de seguridad de ellos en caso de que alguna vez se lance un descifrador.

• Redline Stealer, como su nombre lo indica, es una familia de troyanos de robo de información personalizables que ESET detecta como MSIL/Spy.RedLine y MSIL/Agente espía. Al igual que el ransomware STOP/DJVU, parece ser arrendado como parte de la familia de herramientas Criminal software as a Service. Si bien he visto varios informes de que se difunde a través de Discord, dado que se "vende" como una oferta de servicio, probablemente haya muchas bandas criminales que lo distribuyan de diferentes maneras para una variedad de propósitos. En estos casos, las víctimas recibieron mensajes directos de cuentas de amigos comprometidos pidiéndoles que ejecutaran un software que se les entregó en un archivo .ZIP protegido con contraseña. Los delincuentes incluso les dijeron a las víctimas que si su software antivirus detectaba algo, que era una alarma de falso positivo y que lo ignoraran.

En cuanto a su funcionalidad, Redline Stealer realiza algunas actividades bastante comunes para el malware que roba información, como recopilar información sobre la versión de Windows que está ejecutando la PC, el nombre de usuario y la zona horaria. También recopila información sobre el entorno en el que se ejecuta, como el tamaño de la pantalla, el procesador, la memoria RAM, la tarjeta de video y una lista de programas y procesos en la computadora. Esto puede ser para ayudar a determinar si se está ejecutando en un emulador, una máquina virtual o un espacio aislado, lo que podría ser una señal de advertencia para el malware de que está siendo monitoreado o sometido a ingeniería inversa. Y al igual que otros programas de su tipo, puede buscar archivos en la PC y subirlos a un servidor remoto (útil para robar claves privadas y billeteras de criptomonedas), así como descargar archivos y ejecutarlos.

Pero la función principal de un ladrón de información es robar información, así que con esa mente, ¿qué persigue exactamente el Redline Stealer? Roba credenciales de muchos programas, incluidos Discord, FileZilla, Steam, Telegram, varios clientes VPN como OpenVPN y ProtonVPN), así como cookies y credenciales de navegadores web como Google Chrome, Mozilla Firefox y sus derivados. Dado que los navegadores web modernos no solo almacenan cuentas y contraseñas, sino también información de tarjetas de crédito, esto puede representar una amenaza importante.

Dado que este malware es utilizado por diferentes bandas criminales, cada una de ellas podría enfocarse en algo ligeramente diferente. Sin embargo, en estos casos, los objetivos eran con mayor frecuencia cuentas de Discord, Google y Steam. Las cuentas de Discord comprometidas se utilizaron para propagar el malware a amigos. Las cuentas de Google se usaron para acceder a YouTube e inflar las visualizaciones de ciertos videos, así como para cargar videos que publicitaban varios esquemas fraudulentos, lo que provocó que se prohibiera la cuenta. Se revisaron las cuentas de Steam en busca de juegos que tuvieran monedas dentro del juego o elementos que el atacante pudiera robar y usar o revender. Estas pueden parecer elecciones extrañas dadas todas las cosas que se pueden hacer con cuentas comprometidas, pero para los adolescentes, estos pueden ser los activos en línea más valiosos que poseen.

Para resumir, aquí tenemos dos tipos diferentes de malware que se venden como servicios para que los usen otros delincuentes. En estos casos, esos criminales parecían apuntar a víctimas en su adolescencia y veinte años. En un caso, extorsionar a las víctimas por una cantidad proporcional al tipo de fondos que pudieran tener; en el otro caso, apuntando a su Discord, YouTube (Google) y juegos en línea (Steam). Dada la victimología, uno tiene que preguntarse si estas bandas criminales están compuestas por personas en rangos de edad similares y, de ser así, eligieron métodos específicos de selección y seducción que saben que serían altamente efectivos contra sus pares.

¿A dónde vamos desde aquí?

Los profesionales de la seguridad aconsejan a las personas que mantengan actualizados los sistemas operativos y las aplicaciones de sus computadoras, que solo usen sus últimas versiones y que ejecuten software de seguridad de proveedores establecidos. Y, en su mayor parte: las personas hacen eso y los protege de una amplia variedad de amenazas.

Pero cuando comienza a buscar fuentes incompletas para descargar, las cosas pueden empeorar. El software de seguridad intenta dar cuenta del comportamiento humano, pero también lo hacen los delincuentes que explotan conceptos como la reputación y la confianza. Cuando un amigo cercano en Discord le pide que revise un programa y le advierte que su software antivirus puede detectarlo incorrectamente como una amenaza, ¿a quién le va a creer, a su software de seguridad oa su amigo? Responder programáticamente y defenderse de los ataques a la confianza, que son esencialmente tipos de ingeniería social, puede ser difícil. En el tipo de escenarios que se explican aquí, es la educación del usuario y no el código informático lo que puede ser la última defensa, pero eso solo si los profesionales de la seguridad transmiten el mensaje correcto.

El autor desea agradecer a sus colegas Bruce P. Burrell, Alexandre Côté Cyr, Nick FitzGerald, Tomáš Foltýn, Lukáš Štefanko y Righard Zwienenberg por su ayuda con este artículo, así como a Neowin por publicar la versión original.

Aryeh Goretsky
Investigador Distinguido, ESET

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoAiStream. Inteligencia de datos Web3. Conocimiento amplificado. Accede Aquí.
• Acuñando el futuro con Adryenn Ashley. Accede Aquí.
• Compra y Vende Acciones en Empresas PRE-IPO con PREIPO®. Accede Aquí.
• Fuente: https://www.welivesecurity.com/2023/05/16/you-may-not-care-where-download-software-malware-does/