MALWARE

Malware

Malware o «software maliciós» és un terme ampli que descriu qualsevol programa o codi maliciós que és nociu per als sistemes.

El malware hostil, intrusiu i intencionadament desagradable intenta envair, danyar o deshabilitar ordinadors, sistemes informàtics, xarxes, tauletes i dispositius mòbils. Sovint assumeixen el control parcial de les operacions d’un dispositiu; igual que la grip, interfereix en el funcionament normal.

La intenció del malware és extorsionar a l’usuari.

En els següents apartats, es defineixen alguns tipus de malware.

Virus

Un virus informàtic és un programa que s’adhereix a un registre net i es replica per tot el sistema informàtic per a infectar als arxius amb un codi maliciós.

Hi ha diferents tipus de virus:

  • Virus de sector d’arrencada: el disc dur d’un ordinador té un inici amb l’únic propòsit d’orientar al sistema operatiu perquè aquest pugui iniciar la interfície. Un virus de sector d’arrencada danya o controla aquest inici, inutilitzant l’equip.
  • Virus de script: la majoria dels navegadors tenen defenses contra els scripts malintencionats, però els navegadors més antics o obsolets tenen vulnerabilitats que permeten a un delinqüent cibernètic executar un codi al dispositiu local.
  • Segrestador del navegador: hi ha virus que canvien la configuració del navegador i funcionen segrestant els enllaços predilectes, la URL de la pàgina d’inici i les seves preferències de cerca, per a redirigir-la a una pàgina malintencionada.
  • Virus residents: aquests virus residents s’incrusten en la memòria de l’ordinador i romanen ocults fins a ser activats.
  • Virus d’acció directa: quan un usuari executa un arxiu aparentment innocu però que en realitat conté codi malintencionat, els virus despleguen immediatament la seva càrrega útil.
  • Virus polimòrfic: és un virus informàtic complicat que afecta els tipus i funcions de dades. És un virus autoxifrat dissenyat per a evitar ser detectat per un escàner.
  • Virus que infecta arxius: per a persistir en un sistema, l’autor de l’amenaça empra virus injectors amb codi malintencionat per a infectar arxius clau que executen el sistema operatiu o programes importants.
  • Virus multipartitos: els virus multipartitos ataquen als sectors d’arrencada i als fitxers executables. S’anomena d’aquesta manera perquè infecten els ordinadors de diverses formes. No es limiten a infectar un tipus d’arxiu ni una zona de la unitat de disc rígid.
  • Virus de macros: és un tipus de virus informàtic escrit sovint en Visual Basic, el llenguatge de programació usat per Microsoft Word i Excel. Macro significa macroinstrucció, un grup de comandaments de programació que s’executa automàticament quan s’obre un arxiu o es realitza una determinada acció.

Troians

Un troià és un arxiu, programa o fragment de codi que sembla ser legítim i segur, però en realitat és malware. Els troians s’empaqueten i es lliuren dins de programari legítim (d’aquí el seu nom), i solen dissenyar-se per a espiar a les víctimes o robar dades. Molts troians també descarreguen malware addicional després d’instal·lar-los.

Hi ha diversos tipus de troians:

  • Troians de porta anterior (Backdoors): els Backdoors estan dissenyats per a donar als usuaris maliciosos el control d’un equip infectat. En termes de funcionalitat, les «portes anteriors» són similars a molts sistemes d’administració dissenyats i distribuïts per desenvolupadors de programes legítims. Aquest tipus de programes maliciosos permeten que l’operador del troià faci el que vulgui en l’equip infectat: enviar i rebre arxius, executar arxius o eliminar-los, mostrar missatges, esborrar dades, reiniciar el dispositiu electrònic, etc.
  • Exploit: és un programa informàtic, una part d’un software o una seqüència d’ordres que s’aprofita d’un error o vulnerabilitat per a provocar un comportament no intencionat o imprevist en un programari, maquinari o en qualsevol dispositiu electrònic. Existeixen tres tipus de exploits: una vulnerabilitat remota s’estén a través d’una xarxa i explota les bretxes de seguretat sense necessitat de cap accés previ al sistema que ataca. Per contra, una vulnerabilitat local sí que requereix que s’hagi accedit abans al sistema vulnerable. Les vulnerabilitats de Dia Zero (també conegudes com 0-day exploits) són les bretxes de seguretat en el programari desconegudes fins al moment de l’atac.
  • Rootkit: és un paquet de software maliciós que està dissenyat per a romandre ocult en un ordinador mentre proporciona accés i control remots. Hi ha una multitud d’ells, i cadascun es dirigeix cap a una part diferent de l’ordinador. Els més habituals són els següents: 
  • Els rootkit de kernel són els que actuen a nivell de kernel o nucli. Amb aquest atac s’obtenen tots els privilegis del sistema operatiu i tot està potencialment contaminat. 
  • Els rootkit d’aplicació funciona a nivell d’aplicació. Poden reemplaçar o modificar mòduls, arxius o codi d’aplicacions.
  • Els rootkit de memòria funcionen en la RAM i d’aquesta manera eviten deixar empremta en el disc dur del dispositiu.
  • Els rootkit de firmware van dirigits al microprogramari de l’ordinador, infectant el disc dur, encaminador o BIOS.
  • Els Bootkit actuen sobre el sistema d’arrencada i s’inicien abans que ho faci el sistema operatiu.
  • Dropper: els programes Trojan-Dropper estan dissenyats per a instal·lar programes maliciosos integrats de manera secreta en el seu codi. Aquests troians solen emmagatzemar una sèrie d’arxius en el disc de la víctima (en general en el directori del sistema operatiu o un directori temporal) i s’executen sense cap notificació (o amb una notificació falsa d’un error d’arxiu).
  • Troians Bancaris: és un malware que empra enginyeria social per a camuflar-se com a aplicació o programa 100% real i aconseguir que usuaris incauts ho descarreguin i instal·lin en els seus equips. Una vegada dins del dispositiu, pren control del sistema per a robar dades bancàries. Hi ha troians bancaris en concret que són molt perillosos, que es classifiquen de la forma següent:
  • Bankpatch: generalment, aquest programa s’instal·la a través de pàgines web adulterades i, una vegada dins de l’equip, té la capacitat d’amagar-se i modificar els arxius de sistema per a rastrejar la navegació de l’usuari i robar les claus d’accés a la banca.
  • ZeuS: és un dels programes de malware més antics utilitzats per a robar informació bancària de les víctimes seleccionades.
  • Citadel: aquest programa té algunes capacitats addicionals com la de gravar un vídeo a través de la webcam. És una variació de ZeuS.
  • Sinowal: és un altre dels més veterans i està especialitzat en el robatori de dades de comptes bancaris i targetes de crèdit.
  • Tatanga: un troià bancari amb capacitats «Man in the Browser» i amb tècniques de rootkit per a ocultar la seva presència.
  • SpyEye: permet als estafadors gravar imatges de les víctimes.
  • Troians de DDoS: DDoS significa Distributed Denial of Service i es refereix a una simple denegació de servei. Un atac DDoS consisteix en inundar un lloc web per sol·licituds durant un curt període de temps, amb l’objectiu d’aclaparar la pàgina i provocar la seva caiguda. L’element distribuït significa que aquests atacs venen de múltiples llocs al mateix temps.
  • Troians d’antivirus falsos: són particularment traïdorencs. En lloc de protegir, causen molts problemes en cada dispositiu. Utilitzen presumptes troballes de virus per a provocar pànic en usuaris i persuadir-los d’adquirir una protecció eficaç pagant una tarifa. No obstant això, en lloc d’un antivirus útil, l’usuari només obté més problemes, ja que les seves dades de pagament es reenvien al creador del troià, el qual abusa d’aquestes.
  • Trojan-GameThief: aquest tipus de programes roba les dades del compte d’usuari dels jugadors en línia.
  • Trojan-IM: aquests roben les dades d’inici de sessió i contrasenyes per a programes de missatgeria instantània com ICQ, MSN Messenger, AOL, Ustant Messenger, Yahoo, Pager, Skype, etc.
  • Trojan-Ransom: són aquells que bloquegen arxius valuosos per tal que els usuaris ja no puguin accedir-hi o impedeixen que un equip funcioni correctament. Una vegada que les dades es segresten (bloquejades o xifrades), l’usuari es veu obligat a pagar un «rescat» per a recuperar els seus arxius.
  • Troians per SMS: s’utilitzen per a enviar missatges de text des de dispositius mòbils infectats a números premium, que generen un cost addicional per als usuaris.
  • Trojan-Spy: espien com s’utilitza un dispositiu, com per exemple, a través del seguiment de les dades que es teclegen a l’ordinador, de captures de pantalla o d’una llista de les aplicacions en execució.
  • Trojan-Mailfinder: aquests programes recol·lecten adreces de correu electrònic des del teu ordinador.
  • Trojan-ArcBomb: són arxius dissenyats per a congelar, alentir el rendiment o per a inundar el disc amb una gran quantitat de dades «buides» quan s’intenta descomprimir les dades arxivades
  • Trojan-Clicker: intenta connectar-se a recursos en línia, ja sigui enviant comandaments al navegador o reemplaçant arxius del sistema que especifiquen adreces de lloc estàndard.
  • Trojan-Notifier: és un programa maliciós que indica als ciberdelinqüents que un dispositiu infectat està connectat a una xarxa. El missatge conté informació sobre l’ordinador o el telèfon intel·ligent i el seu propietari, per exemple, l’adreça IP, el número de port obert i el correu electrònic.
  • Trojan-Proxy: un virus que segresta i converteix la computadora host en un servidor proxy, part d’una botnet, des del qual un atacant pot realitzar activitats i atacs anònims.
  • Trojan-PSW: estan dissenyats per a robar informació confidencial dels comptes dels usuaris, com els noms i contrasenyes. PSW és un acrònim de Password Stealing Ware, és a dir, Software per a robar contrasenyes.

Spyware

És qualsevol component de programari maliciós que infecta l’ordinador i supervisa les  dades personals de l’usuari. Aquests programes registren una àmplia gamma d’informació personal, des de l’historial de recerques fins a credencials de registre i detalls de la targeta de crèdit. Es detalla algunes categories:

  • Infostealers: són programes que tenen l’habilitat d’escanejar els ordinadors infectats i robar diferent informació personal. Aquesta informació inclou l’historial de cerques, noms d’usuari, contrasenyes, adreces de correu electrònic, documents personals i fitxers multimèdia.
  • Password stealers: els lladres de contrasenyes són molt similars als infostealers.  L’única diferència és que estan dissenyats específicament per robar les credencials de registre dels dispositius infectats.
  • Keyloggers: és un programa que enregistra les pulsacions del teclat connectat a un ordinador infectat. Mentre que els keyloggers allotjats al maquinari registren cada pulsació de tecla en temps real, els allotjats al programari recullen periòdicament captures de pantalla de les finestres en ús.
  • Segrest de mòdem: amb el canvi gradual de la connexió telefònica a la banda ampla en l’última dècada, està quasi obsolet. Probablement són la forma més antiga de spyware que atacava a les víctimes mentre navegaven per internet.  És una descàrrega silenciosa d’un arxiu al aparèixer una finestra emergent que pren el control del mòdem de connexió telefònica.

Ransomware

Aquesta classe de malware amenaça amb bloquejar l’accés a un sistema o dades informàtiques, normalment mitjançant el xifratge, fins que la víctima paga una suma a l’atacant. En molts casos, l’exigència del rescat ve amb una data límit. Si la víctima no paga a temps, les dades s’esborren de manera permanent o el rescat s’incrementa.

El risc del ransomware depèn del tipus de virus. Existeixen, bàsicament, de dos tipus: 

  • De bloqueig afecta les funcions bàsiques de l’equip.
  • De xifratge xifra arxius individuals.

El tipus de malware importa no solament pel que fa, sinó també perquè afecta la manera d’identificar-lo i de contrarestar els seus efectes. Les dues classes generals es divideixen en diferents tipus de ransomware. Alguns exemples de ransomware són Locky, WannaCry i Bad Rabbit.

Adware

És un tipus de malware bombardeja el dispositiu amb incomptables anuncis emergents. A part de ser molest, també recapta la informació personal, registrar els llocs web que visita l’usuari o apuntar tot el que s’escriu.

La majoria d’adware és un software maliciós, encara que pot haver algun que no ho sigui, però és molt difícil identificar-ne un que estigui construït de manera ètica. Alguns tipus d’adware podrien ser:

  • Adware complet o parcial:  el software és un programa com qualsevol altre instal·lat en el nostre dispositiu (complet) o, d’altra banda, estar instal·lat en forma d’extensió dins d’un programa (parcial), com per exemple al nostre navegador.
  • Adware ocult o visible: es refereix al fet que el software està amagat, és a dir, pot mostrar-se amb un nom, però estar instal·lat amb una altra denominació.
  • Adware ètic o malware:  es tracta del comportament del software. En l’actualitat moltes aplicacions podem descarregar-les de manera gratuïta. En conseqüència, això fa que algunes es mantinguin a base d’anuncis. Aquesta publicitat es mostra amb l’acceptació de cookies o política i condicions cap a l’usuari.

Alguns exemples de Adware són DeskAd, Fireball, Filetour entre d’altres.

Botnets

Una botnet és un grup d’ordinadors o dispositius electrònics controlats per un atacant i utilitzats per dur a terme activitats malintencionades.

El terme botnet és una combinació de les paraules robot i network (xarxa) per a representar la naturalesa d’un ciberatac realitzat mitjançant una botnet.  Són els responsables d’algunes de les interrupcions d’Internet més famoses, que han paralitzat de manera efectiva les grans organitzacions i la infraestructura de xarxa mitjançant atacs de denegació de servei.

Tots els dispositius d’una botnet estan units a través d’Internet al pastor de robots, qui controla tots els equips i els utilitza per a cometre una gran varietat de ciberdelictes. 

Per a crear i utilitzar una botnet, un hacker ha d’efectuar un atac en tres etapes: infectar els dispositius de les víctimes, ampliar la xarxa de zombis i, finalment, activar-la.

Translate »