Kaspersky Lab anuncia la publicación del artículo analítico “Las amenazas de los mensajeros instantáneos”

Kaspersky Lab, desarrollador líder de soluciones de manejo seguro de contenidos, acaba de publicar el artículo titulado “Instant Threats” (Amenazas instantáneas) de Denis Malennikov y Boris Yampolsky, dos de los analistas antivirus de la compañía. El artículo analiza la propagación de los programas maliciosos (malware) a través de los mensajes instantáneos.

Los programas de mensajería instantánea (IM) resultan muy atractivos para todo tipo de usuarios maliciosos, y debido a ello la distribución de malware a través de clientes IM se ha constituido en un grave problema. Las nuevas versiones de clientes IM contienen vulnerabilidades que aún permanecen desconocidas; los hackers podrían ser los primeros en detectarlas, antes que los desarrolladores del programa. Estas situaciones pueden dar lugar, con toda facilidad, a graves epidemias. Algunos usuarios también están hartos de recibir mensajes instantáneos no deseados.

El artículo usa el ejemplo de ICQ, un popular cliente IM en muchos países, para demostrar los tipos de ataques delictivos más extendidos contra programas de mensajería instantánea.

Robo de contraseña. Todos los usuarios del cliente ICQ poseen su propio número de identificación unificado o UIN, por sus siglas en inglés. Los números de nueve dígitos son actualmente los más comunes, pero muchos usuarios están dispuestos a tener un número de cinco, seis o siete dígitos compuestos únicamente de dos números distintos.

Los UINs ‘atractivos’ se comercializan, por lo general a elevados precios. En la mayoría de los casos se los adquiere de manera ilegal. La enorme cantidad de tiendas en línea que venden atractivos UINs, a menudo se incursionan en búsquedas a gran escala de contraseñas, y en el robo de cuentas. Otro método consiste en robar la contraseña de la dirección de correo principal del usuario de ICQ (dirección que se introdujo en la información de contacto durante el proceso de registro). El acceso a la dirección de correo principal permite cambiar la contraseña UIN de un usuario fingiendo ser un propietario genuino de la cuenta que olvidó su contraseña, el ciberdelincuente pide al departamento de soporte ICQ una nueva.

El método más popular para robar números ICQ es con la ayuda de programas maliciosos, y en particular Trojan-PSW.Win32.LdPinch. Esta familia de troyanos representa una amenaza para los usuarios desde hace varios años. LdPinch no solo roba contraseñas de clientes ICQ y otros clientes IM, sino también de cuentas de correo, varios programas FTP, juegos en línea, etc. La popularidad de LdPinch ha crecido gracias a programas constructores especiales que facilitan la creación de los troyanos maliciosos que se requieran.

Propagación de programas maliciosos. ICQ se suele usar para propagar los siguientes programas maliciosos: Los gusanos IM que usan el cliente como base de propagación; programas troyanos para robo de contraseñas, incluyendo las de números ICQ (en la gran mayoría de los casos, se trata de Trojan-PSW.Win32.LdPinch); y programas maliciosos creados para obtener dinero de los usuarios de manera fraudulenta (por ejemplo, Hoax.Win32.*.*).

Aunque los gusanos IM por lo general se propagan con una mínima ayuda del usuario, o sin ella, en otros casos los ciberdelincuentes usan una variedad de tácticas de ingeniería social para impulsar a una potencial víctima a que pulse un vínculo y abra un archivo si el vínculo descarga un programa malicioso.

Los programas maliciosos también se propagan a través de mensajes ICQ spam con vínculos directos a programas maliciosos o a sitios que contienen programas Trojan-Downloader. Estos troyanos descargadores proceden entonces a instalar otros programas maliciosos en el ordenador del usuario, a menudo explotando vulnerabilidades en el navegador, en particular Internet Explorer. Las vulnerabilidades que se usan para realizar estos ataques también pueden estar presentes en las mismas aplicaciones de mensajería instantánea. En muchos casos, la vulnerabilidad puede conducir a un desbordamiento de la memoria intermedia (buffer overflow) y a la ejecución de códigos arbitrarios en un sistema, o permitir el acceso remoto a un ordenador sin el conocimiento o consentimiento del usuario.

Spam en ICQ. El número de mensajes no deseados que un usuario recibe en un determinado periodo de tiempo depende del número ICQ. Los usuarios que poseen un UIN de seis dígitos reciben cada hora un promedio de 15 a 20 mensajes. Los usuarios con un UIN de 9 dígitos que no tengan nada en especial, reciben un promedio de 10 a 14 mensajes diarios, mientras que los usuarios con números atractivos reciben de 2 a 2,5 veces más de mensajes spam.

En cuanto al asunto de los mensajes, los mensajes ICQ spam difieren en gran medida de los mensajes de correo spam. Mientras que un 90% del correo spam publicita varios artículos y servicios, la proporción de esta publicidad en el ICQ spam es menor al 13% y por lo general se da en los servicios ilegales (5,45%). Los mensajes relacionados con ICQ de alguna manera representan el 8,17% del ICQ spam, incluyendo la versión ICQ 6.x, la compra y venta de UINs, y "cartas cadena ICQ"

ICQ posibilita la búsqueda de personas en base a sus intereses, permitiendo que los ciberdelincuentes apunten a públicos específicos. Los autores de spam toman en cuenta la edad de los usuarios de ICQ, puesto que la gran mayoría lo constituye un público joven. Posteriormente, cerca del 50% de todos los mensajes spam se dirigen a los jóvenes ofertándoles, en su gran mayoría, sitios de entretenimiento (18,47%) y sitios con contenidos para adultos (17,19%). Las categorías de spam como juegos informáticos, votación y spam para teléfonos móviles también captan la atención de los jóvenes.

Por qué los ciberdelincuentes atacan a los clientes IM:

1. Para vender números ICQ robados (números de nueve dígitos al por mayor, y números “atractivos” al por menor, a precios elevados).

2. Para crear listas spam y venderlas a autores de mensajes spam para la distribución masiva de programas maliciosos.

3. Para usar las listas de contactos de las víctimas como fuentes confiables para “préstamos” de dinero.

4. Para descargar programas maliciosos mediante las vulnerabilidades en las aplicaciones.

5. Para cambiar las páginas Internet de sitios legítimos (mediante contraseñas de servidor FTP) y descargar programas maliciosos en los ordenadores de los usuarios visitantes.

6. Para crear ordenadores zombie o expandir las redes zombie ya existentes.

7. Para llevar a cabo otras actividades maliciosas.

Actualmente, no hay métodos o soluciones diseñadas de manera específica para proteger a los programas clientes IM Sin embargo, el cumplimiento de sencillas reglas de 'higiene informática' , el uso de aplicaciones antispam adecuadamente configuradas, y una saludable dosis de sentido común, pueden ayudar al usuario a disfrutar sin preocupaciones su experiencia en Internet.

La version completa del artículo “Instant Threats” está disponible en www.viruslist.com.