Principales palabras que se utilizan en los ataques de Phishing ...

SECURITY REIMAGINED

INFORME

PRINCIPALES PALABRAS QUE SE UTILIZAN EN LOS ATAQUES DE PHISHING:selectivo para conseguir el acceso a las redes empresariales y robar los datos

2 www.fireeye.com

Principales palabras que se utilizan en los ataques de phishing: selectivo para conseguir el acceso a las redes empresariales y robar los datosselectivo para conseguir el acceso a las redes empresariales y robar los datos

CONTENIDO

Resumen ejecutivo ................................................................................................................................................................................................................................................................................................................... 3

Introducción .............................................................................................................................................................................................................................................................................................................................................. 3

Nombres de archivos .......................................................................................................................................................................................................................................................................................................... 4

Las 5 extensiones de archivo más utilizadas .......................................................................................................................................................................................................6

Conclusión ...................................................................................................................................................................................................................................................................................................................................................... 7

Acerca de FireEye ....................................................................................................................................................................................................................................................................................................................... 7

http://www.fireeye.com

3 www.fireeye.com


Resumen ejecutivoGracias a la ineficacia de los sistemas de protección de las víctimas y a las acciones involuntarias de los usuarios finales, en la actualidad los ciberdelin-cuentes consiguen distribuir malware avanzado que ataca sistemas y facilita una serie de activi-dades maliciosas. Una buena parte de este malware avanzado llega a través del correo electrónico mediante archivos adjuntos maliciosos. Este informe ofrece un análisis de la naturaleza de los archivos que distribuyen los ciberdelincuentes, con especial atención a los que consiguen atravesar las defensas de seguridad tradicionales, como firewalls, firewalls de próxima generación, sistemas de prevención de intrusiones (IPS), antivirus (AV) y puertas de enlace seguras. Incluye además una descripción de las palabras que se utilizan con más frecuencia en los nombres de archivo y los tipos de archivos más característicos de esta clase de malware avanzado, con pistas clave para los usuarios y los equipos de seguridad que buscan protección contra las amenazas avanzadas.

IntroducciónA pesar de todas las medidas de seguridad diseña-das para proteger las comunicaciones por correo electrónico, este canal sigue representando un terreno fértil para los ciberdelincuentes, además de un área de vulnerabilidad para la mayoría de las empresas. Las comunicaciones por correo elec-trónico representan una de las vías de ataque más utilizadas. Los riesgos que presentan estos ataques no son insignificantes. El correo electrónico no es solo la vía de entrada de spam y malware distribuido de forma masiva, sino que además es un medio de inicio de ataques mediante amenazas persistentes avanzadas (APT). GhostNet, Night Dragon, Operación Aurora o el ataque contra RSA, entre otras muchas amenazas avanzadas persistentes que se han hecho públicas, han sido iniciadas, al menos en parte, mediante el uso de mensajes de correo electrónico de phishing selectivo.

La realidad es que los ciberdelincuentes siguen utilizando este modo de ataque porque funciona. En el último Informe de amenazas avanzadas de FireEye para la primera mitad de 2012, FireEye informaba de un aumento del 56 % en la cantidad de mensajes de correo electrónico maliciosos entre el primer y el segundo trimestre de 2012. Es importante destacar que dicho aumento no corresponde al número total de mensajes maliciosos distribuidos; es un incremento del número de mensajes que atraviesan las defensas de seguridad tradicionales de las empresas.

FireEye se encuentra en una posición privilegiada para explicar esta actividad de ataques avanzados selectivos. Cientos de clientes en todo el mundo han desplegado FireEye Malware Protection System™ (MPS). Las soluciones de FireEye se instalan detrás de los firewalls, los firewalls de próxima generación, las soluciones de prevención de intrusiones, los antivirus y otras puertas de enlace de seguridad, y representan la última línea de defensa para las empresas. Incluyen dispositi-vos que recopilan de manera automática infor-mación sobre las amenazas que puede combi-narse, analizarse y compartirse. Gracias a estas soluciones, FireEye es capaz de informar sobre la naturaleza de las amenazas avanzadas.

Este informe se centra en las características del malware avanzado que se distribuye a través de archivos adjuntos del correo electrónico y que sortea las medidas de protección tradicionales. A través de los datos que presenta, ofrece un análisis esencial de las características del malware avanzado y las tácticas de los ciberdelincuentes, para que los equipos de seguridad y los usuarios puedan entender mejor la naturaleza de las amenazas en la actualidad. Es importante subrayar que los hallazgos descritos corresponden a amenazas avanzadas que consiguen sortear los mecanismos de seguridad existentes. Dicho de otro modo, hay bastantes probabilidades de que este tipo de malware llegue pronto a su bandeja de entrada, si es que no lo ha hecho ya.


4 www.fireeye.com


Nombres de archivosCuando los ciberdelincuentes distribuyen archivos maliciosos, su propósito es engañar a algún destina-tario desprevenido para conseguir que los descargue o instale en su computadora. Para conseguirlo, emplean toda una gama de tácticas. Las palabras que se usan en estos nombres de archivos ofrecen

pistas claras sobre las estrategias que emplean los ciberdelincuentes y que han demostrado ser eficaces. En la tabla siguiente se incluyen las palabras más utilizadas en los archivos maliciosos que han detectado las soluciones de FireEye. Se trata de términos que utilizan los agresores para evadir las defensas de seguridad de TI tradicionales.

Puesto PalabraPorcentaje

de adjuntos

1 label (etiqueta) 15.17

2 invoice (factura) 13.81

3 post (poste) 11.27

4 document (documento) 10.92

5 postal 9.80

6 calculations (cálculos) 8.98

7 copy (copia) 8.93

8 fedex 6.94

9 statement (declaración) 6.12

10 ffinancial (financiera) 6.12

11 dhl 5.20

12 usps 4.63

13 8 4.32

14 notification (notificación) 4.27

15 n 4.22

16 Hacienda 3.60

17 ups 3.46

18 no 2.84

19 delivery (entrega) 2.61

20 ticket 2.60

2.ª mitad de 2011

Puesto PalabraPorcentaje

de adjuntos

1 dhl 23.42

2 notification (notificación) 23.37

3 delivery (entrega) 12.35

4 express 11.71

5 2012 11.30

6 label (etiqueta) 11.16

7 shipment (envío) 9.88

8 ups 9.47

9 international (internacional) 8.94

10 parcel (paquete) 8.16

11 post 6.95

12 confirmation (confirmación) 5.81

13 alert (alerta) 5.80

14 usps 5.80

15 report (informe) 5.79

16 jan2012 (ene 2012) 5.52

17 april (abril) 4.71

18 idnotification (notificación de id) 3.60

19 ticket 3.58

20 shipping (envío) 2.92

1.ª mitad de 2012

*Note: En estas tablas se incluye una lista de los porcentajes de términos utilizados en archivos adjuntos maliciosos, detectados por dispositivos FireEye MPS. Nota: dado que un solo adjunto malicioso puede incluir varios términos, la suma de los porcentajes no será igual al 100 %..


5 www.fireeye.com


Un método utilizado por los ciberdelincuentes para engañar a los usuarios es enviar archivos que supuestamente son notificaciones sobre envíos rápidos. Además de muy habituales, estos servicios son intrínsecamente importantes y urgentes, por lo que los usuarios se ven obligados a abrir los archivos maliciosos con este tipo de nombres. Esta artimaña es una de las más populares. Los términos relacionados con envíos por correo representan más del 26 % de las palabras que componen los nombres de archivos maliciosos, y son 7 de las 10 palabras más utilizadas identifica-das en la primera mitad de 2012. Nombres de archivo como DHL document.zip, Fedex_Invoice.zip y Label_Parcel_IS741- 1345US.zip son muestras de los términos preferidos por los delincuentes.

Entre la segunda mitad de 2011 y la primera mitad de 2012, se identificaron varias tendencias. Por ejemplo, el porcentaje de nombres de archivos que emplean palabras relacionadas con envíos ha crecido del 19,20 al 26,33 %. Además, el número de archivos que utilizan palabras asociadas a la urgencia ha crecido del 1,72 al 10,68 %.

A continuación se citan algunas otras categorías también habituales:

• Urgencias. Las palabras relacionadas con una situación de urgencia, como confirma-tion (confirmación), alerta (alerta) y notifica-tion (notificación), representan la segunda categoría de palabras más utilizadas. Dichas palabras se pueden utilizar solas, pero también se observan con frecuencia junto a otras cate-gorías, como envíos; por ejemplo, UPS-Deliv-ery-Confirmation-Alert April-2012_215759 .zip, o impuestos, como IRS-Penalty-Income-Tax- Warning-Notification-28306SUD4811L9JS.zip.

• Finanzas. Las referencias a instituciones financieras y a las transacciones, y comunica-ciones asociadas también son frecuentes. A continuación se incluyen algunos nombres de archivos representativos: VisaCard -N486102989.zip, PayPal.com_2012_Ac-count_Update_Form.html y Lloyds TSB - Login Form.html.

Tema Porcentaje total

Postal 19,20

Banca/Impuestos 5,98

Urgencias 1,72

Aerolíneas 1,81

Facturación 4,98

2.ª mitad de 2011

Tema Porcentaje total

Postal 26,33

Banca/Impuestos 3,83

Urgencias 10,68

Aerolíneas 2,45

Facturación 0,68

1.ª mitad de 2012

*Note: Estas tablas resumen las 5 categorías más habituales de términos utilizados en adjuntos de correo electrónico maliciosos.


6 www.fireeye.com


• Impuestos. También abundan las referencias a impuestos y a Hacienda, con nombres de archivocomo Tax_Refund.zip, irspdf.zip y tax_return_form.pif.

• Viajes. Muchos nombres de archivo que aparentemente corresponden a información de viajes, como reservas de vuelos, represen-tan otra categoría habitual que utiliza nombres de archivo como Ticket_American_Airlines_ID3457-144.zip, Delta_Air_Lines_Ticket_ID271-3714.zip y A_Airline_Ticket_ID279-44-357US.zip.

• Facturación. Esta categoría incluye términos que hacen referencia a facturas, órdenes de compra y documentos similares. A continu-ación se citan algunos ejemplos de archivos detectados: Purchase Order 74457.zip, Invoice_ID757731.zip e Invoice_Copy.zip.

Las 5 extensiones de archivo más utilizadasEn lo que respecta a las extensiones de los archivos maliciosos, los ciberdelincuentes siguen variando sus métodos en función de los cambios en los mecanismos de defensa y seguridad. Como tendencia clara se puede destacar que se alejan de los archivos .EXE. Tradicionalmente, el grueso

de los adjuntos maliciosos correspondía a este tipo de archivos. Sin embargo, en la actualidad solo una pequeña parte de los archivos .EXE atraviesan las barreras de seguridad. Además, estos archivos suelen generar un aviso del sistema operativo de la computadora del usuario, para que éste reconozca y acepte su instalación, lo que reduce las probabilidades de éxito del ataque.

Actualmente, los archivos .ZIP representan la gran mayoría de los archivos maliciosos avanzados: un 76,91 %. La complejidad de estos adjuntos, que pueden contener muchos archivos diferentes de distintos tipos, junto a la falta de concienciación del usuario acerca del peligro de estas extensiones, les ha convertido en un medio muy eficaz para distribuir malware y atacar con éxito los sistemas.

Los archivos PDF también suponen una amenaza importante. Este tipo de archivos es muy frecuente y lo utilizan prácticamente todos los usuarios de computadoras. Además, muchos usuarios descono-cen el hecho de que se puede distribuir malware a través de archivos PDF y que es difícil para las defensas convencionales detectar el malware incrustado en ellos. Por todos estos motivos, los PDF ofrecen a los ciberdelincuentes un medio muy eficaz de ataque.

Extensions Percent

zip 85.79

exe 5.91

pif 2.67

scr 2.06

bat 1.79

2.º semestre de 2011

Topic Percent Total

zip 76.91

pdf 11.79

exe 3.98

doc 2.67

pif 1.09

1er semestre de 2012

*Note: Estas tablas incluyen los porcentajes relativos de extensiones de archivos utilizadas en archivos maliciosos detectados por los dispositivos FireEye MPS.


FireEye, Inc. | 1440 McCarthy Blvd. Milpitas, CA 95035 | 408.321.6300 | 877.FIREEYE (347.3393) | [email protected] | www.fireeye.com

© 2014 FireEye, Inc. Reservados todos los derechos. FireEye es una marca comercial de FireEye, Inc. Todas las demás marcas, productos o nombres de servicios son o pueden ser marcas comerciales o marcas de servicios de sus respectivos propietarios. RPT.TWSP.ES-MX.082014


ConclusiónMediante el empleo de términos propios de contextos importantes y que normalmente requieren una cierta urgencia —avisos de envíos rápidos, formula-rios de devoluciones de impuestos, extractos de cuentas, confirmaciones de vuelos, etc.— los ciber-delincuentes apremian a sus víctimas para que no demoren la descarga de malware que ponga en peligro sus sistemas. Vista la reducida eficacia de los archivos .EXE, hoy día los ciberdelincuentes emplean archivos .ZIP, PDF y de otros tipos para sortear las defensas de seguridad tradicionales. Para protegerse contra estas amenazas, los usuarios deben estar informados sobre los peligros del malware avanzado y las formas que adopta en la actualidad. Además, los equipos de seguridad necesitan tecnologías avanzadas que puedan detectar y detener las amenazas avanzadas que son capaces de atravesar sus defensas convencionales. Los usuarios deben disponer de una formación adecuada que les permita detectar los mensajes de correo electrónico de phishing selectivo, especialmente sobre cómo se escriben según las prácticas de las redes sociales para parecer auténticos y sobre los peligros que entrañan. Para detectar y bloquear estos ataques selectivos avanzados, las empresas recurren a la seguridad contra amenazas de próxima generación que les protege contra ataques que sortean las defensas de seguridad de TI tradicionales.

Acerca de FireEye FireEye es líder en la lucha contra ataques selecti-vos avanzados que utilizan malware avanzado, exploits desconocidos (zero-day) y tácticas de amenazas persistentes avanzadas. Las soluciones de FireEye complementan los firewalls tradiciona-les y de próxima generación, las soluciones de prevención de intrusiones, los antivirus y las puertas de enlace, que son incapaces de detener las amenazas avanzadas, dejando vacíos de seguri-dad en las redes. FireEye ofrece la única solución del sector que detecta y bloquea ataques que llegan a través de la Web y el correo electrónico, así como el malware latente que se hospeda en los recursos compartidos. Actúa en todas las fases del ciclo de vida de un ataque con un motor que no emplea firmas y que utiliza análisis con información de esta-do para detectar las amenazas desconocidas. Con sede en Milpitas, California, FireEye cuenta con el respaldo de destacados socios financieros, como Sequoia Capital, Norwest Venture Partners y Juniper Networks.


Principales palabras que se utilizan en los ataques de Phishing ...

Documents

Transcript of Principales palabras que se utilizan en los ataques de Phishing ...