MALWARE Y

CÓDIGO
MALICIOSO
AGENDA

TIPOS DE MALWARE

ATAQUES A CORREOS ELECTRÓNICOS

NAVEGADORES
 ¿Qué es el malware?
El software malicioso, o malware, es un
término que se utiliza para describir el software
diseñado para interrumpir las operaciones de
la computadora u obtener acceso a los sistemas
informáticos, sin el conocimiento o el permiso del
usuario.
El malware se ha convertido en un término
general que se utiliza para describir todo el
software hostil o intruso.
El término malware incluye virus, gusanos,
troyanos, ransomware, spyware, adware,
scareware y otros programas maliciosos.
El malware puede ser obvio y simple de
identificar o puede ser muy sigiloso y casi
imposible de detectar.
Virus, gusanos y troyanos
Los delincuentes cibernéticos apuntan a los terminales del usuario mediante la instalación de
malware.
 Virus, gusanos y troyanos
Virus
Un virus es un código malicioso ejecutable
asociado a otro archivo ejecutable, como un
programa legítimo.
La mayoría de los virus requieren la inicialización
del usuario final y pueden activarse en un
momento o fecha específica.
Los virus informáticos generalmente se propagan en
una de tres maneras: desde medios extraíbles;
desde descargas de Internet y desde archivos
adjuntos de correo electrónico.
Los virus pueden ser inofensivos y simplemente
mostrar una imagen o pueden ser destructivos,
como los que modifican o borran datos. Para evitar
la detección, un virus se transforma
 Virus, gusanos y troyanos
Virus
El simple acto de abrir un archivo puede activar un
virus. Un sector de arranque o un virus del sistema
de archivos, infecta las unidades de memoria flash
USB y puede propagarse al disco duro del sistema.
La ejecución de un programa específico puede
activar un virus del programa. Una vez que el virus
del programa está activo, infectará generalmente
otros programas en la computadora u otras
computadoras de la red.
El virus Melissa es un ejemplo de virus que se
propaga por correo electrónico.
 Virus, gusanos y
troyanos
Virus Melissa
Melissa afectó a decenas de miles de usuarios y
causó daños por una cifra estimada en USD 1,2 mil
millones. Haga clic aquí para leer más sobre los
virus.
https://www.whoishostingthis.com/blog/2015/06/01/
8-worst-viruses/
 Conozca un poco mas!!
Ingrese a pagina https://www.whoishostingthis.com/blog/2015/06/01/8-worst-viruses/, encontrara
mas detalles de diferentes ataques
 Virus, gusanos y troyanos
Gusano
Los gusanos son códigos maliciosos que
se replican al explotar de manera
independiente las vulnerabilidades en las
redes.
Los gusanos, por lo general, ralentizan las
redes. Mientras que un virus requiere la
ejecución de un programa del host, los
gusanos pueden ejecutarse por sí mismos.
A excepción de la infección inicial, los
gusanos ya no requieren la participación del
usuario. Después de que un gusano afecta
a un host, se puede propagar muy rápido
en la red.
 Virus, gusanos y troyanos
Gusano Code RED
Los gusanos comparten patrones
similares. Todos tienen una
vulnerabilidad de activación, una manera
de propagarse y contienen una carga útil.
Los gusanos son responsables de
algunos de los ataques más
devastadores en Internet.
Por ejemplo, en 2001, el gusano Code
Red infectó a 658 servidores. En 19
horas, el gusano infectó a más de
300 000 servidores.
 Virus, gusanos y troyanos
Troyano
Un troyano es un malware que ejecuta
operaciones maliciosas bajo la
apariencia de una operación deseada.
Este código malicioso ataca los privilegios
de usuario que lo ejecutan.
Un troyano se diferencia de un virus
debido a que el troyano está relacionado
con los archivos no ejecutables, como
archivos de imagen, de audio o juegos
 Bomba lógica
Una bomba lógica es un programa
malicioso que utiliza un activador para
reactivar el código malicioso.
Por ejemplo, los activadores pueden ser
fechas, horas, otros programas en
ejecución o la eliminación de una cuenta
de usuario.
La bomba lógica permanece inactiva
hasta que se produce el evento
activador.
Una vez activada, una bomba lógica
implementa un código malicioso que
provoca daños en una computadora.
 Bomba lógica
Una bomba lógica puede sabotear los
registros de bases de datos, borrar
los archivos y atacar los sistemas
operativos o aplicaciones.
Los paladines cibernéticos
descubrieron recientemente las bombas
lógicas que atacan y destruyen a los
componentes de hardware de una
estación de trabajo o un servidor, como
ventiladores de refrigeración, CPU,
memorias, unidades de disco duro y
fuentes de alimentación.
La bomba lógica abruma estos
dispositivos hasta que se
sobrecalientan o fallan.
 Ransomware
El ransomware mantiene cautivo a un sistema informático o los datos que contiene hasta que el
objetivo haga un pago.
El ransomware trabaja generalmente encriptando los datos de la computadora con una clave
desconocida para el usuario.

El usuario debe pagar un rescate

a los delincuentes para eliminar
la restricción.
Algunas otras versiones de
ransomware pueden aprovechar
vulnerabilidades específicas del
sistema para bloquearlo.
El ransomware se propaga como
un troyano y es el resultado de un
archivo descargado o de alguna
debilidad del software.
 Ransomware

El pago a través de un sistema

de pago ilocalizable siempre es
el objetivo del delincuente.
Una vez que la víctima paga, los
delincuentes proporcionan un
programa que descifra los
archivos o envían un código de
desbloqueo.
Haga clic aquí para leer más
sobre el ransomware
Conozca un poco mas..!!!
 Ingrese a la pagina de https://www.exterminate-it.com/malpedia/ransomware-category
y conozca mas tipos de ataques
 Puertas traseras y rootkits
Una puerta trasera o un rootkit se
refiere al programa o al código que
genera un delincuente que ha
comprometido un sistema.
La puerta trasera omite la autenticación
normal que se utiliza para tener acceso a
un sistema.
Algunos programas comunes de puerta
trasera son Netbus y Back Orifice, que
permiten el acceso remoto a los usuarios
no autorizados del sistema.
 Puertas traseras y rootkits

El propósito de la puerta trasera es

otorgar a los delincuentes cibernéticos
el acceso futuro al sistema, incluso si la
organización arregla la vulnerabilidad
original utilizada para atacar al sistema.
Por lo general, los delincuentes logran
que los usuarios autorizados
ejecuten sin saberlo un programa de
troyanos en su máquina para instalar la
puerta trasera.
 Puertas traseras y rootkits
Un rootkit modifica el sistema
operativo para crear una puerta trasera.
Los atacantes luego utilizan la puerta
trasera para acceder a la computadora
de forma remota.
TheFatRat, una utilidad para generar
fácilmente backdoors indetectables con
Msfvenom
La mayoría de los rootkits aprovecha las
vulnerabilidades de software para
realizar el escalamiento de privilegios y
modificar los archivos del sistema.
 Puertas traseras y rootkits
El escalamiento de privilegios
aprovecha los errores de
programación o las fallas de
diseño para otorgar al delincuente
el acceso elevado a los recursos y
datos de la red.
También es común que los rootkits
modifiquen la informática
forense del sistema y las
herramientas de supervisión, por
lo que es muy difícil detectarlos.
Si quiere saber mas sobre Cómo
funciona LoJax, el rootkit UEFI de
APT28 ingrese aqui
 Conozca un poco mas..!!
Ingrese a la pagina de https://www.redeszone.net/2018/09/28/lojax-rootkit-resiste-
formateo/, aquí puede investigar un poco mas, porque el virus resiste a los formateos de
la máquina cual es la causa.
Usted puede investigar que hace el nuevo virus rootkit PHP, porque es capaz de
camuflarse en módulos del servidor https://www.redeszone.net/2017/06/17/desarrollan-
rootkit-php-capaz-camuflarse-modulos-del-servidor/. Explique con sus palabras que
hace.
 Defensa contra malware
Algunos pasos simples pueden ayudar a brindar protección contra todas las formas de
malware.

Programa antivirus:

La mayoría de los conjuntos de antivirus

adquieren las formas más generalizadas de
malware.
Sin embargo, los delincuentes cibernéticos
desarrollan e implementan nuevas
amenazas a diario.
Por lo tanto, la clave para una solución
antivirus eficaz es mantener actualizadas las
firmas. Una firma es como una huella.
Identifica las características de un código
malicioso.
 Defensa contra malware
Algunos pasos simples pueden ayudar a brindar protección contra todas las formas de
malware.

Software de actualización

Muchas formas de malware alcanzan sus objetivos

mediante la explotación de las vulnerabilidades
del software, en el sistema operativo y las
aplicaciones.
Aunque las vulnerabilidades del sistema operativo
eran la fuente principal de los problemas, las
vulnerabilidades actuales a nivel de las
aplicaciones representan el riesgo más grande.
Desafortunadamente, aunque los fabricantes de
sistemas operativos son cada vez más receptivos
a los parches, la mayoría de los proveedores de
aplicaciones no lo son.
ATAQUES A CORREOS
ELECTRÓNICOS Y
NAVEGADORES
 Correo electrónico no deseado
El correo electrónico es un servicio
universal utilizado por miles de millones de
personas en todo el mundo.
Como uno de los servicios más populares,
el correo electrónico se ha convertido en
una vulnerabilidad importante para
usuarios y organizaciones.
El correo no deseado, también conocido
como “correo basura”, es correo
electrónico no solicitado.
En la mayoría de los casos, el correo no
deseado es un método publicitario. Sin
embargo, el correo no deseado se puede
utilizar para enviar enlaces nocivos,
malware o contenido engañoso.
 Correo electrónico no deseado

El objetivo final es obtener información

confidencial, como información de un número
de seguro social o de una cuenta bancaria.
La mayor parte del correo no deseado
proviene de varias computadoras en redes
infectadas por un virus o gusano.
Estas computadoras comprometidas envían la
mayor cantidad posible de correo electrónico
masivo.
Incluso con la implementación de estas
características de seguridad, algunos correos
no deseados aún pueden llegar a la bandeja
de entrada.
 Correo electrónico no deseado
Algunos de los indicadores más comunes de correo no deseado son los
siguientes:

El correo electrónico no tiene asunto.

El correo electrónico solicita la actualización de una cuenta.
El texto del correo electrónico tiene palabras mal escritas o
puntuación extraña.
Los enlaces del correo electrónico son largos o crípticos.
Un correo electrónico se parece a una correspondencia de una
empresa legítima.
El correo electrónico solicita que el usuario abra un archivo adjunto.
 Conozca un poco mas..!!

El correo electrónico comercial no deseado, también conocido como

"spam", puede ser molesto. Peor aún, puede incluir ofertas falsas que
podrían costarle tiempo y dinero.
Usted puede conocer un poco mas y prevenir los spam según la FTC.
Ingrese al siguiente enlace, en donde podrá profundizar un poco mas.

https://www.consumer.ftc.gov/articles/0038-spam
 Correo electrónico no deseado
Si un usuario recibe un correo electrónico
que contiene uno o más de estos
indicadores sospechosos, este no debe
abrir el correo electrónico ni los archivos
adjuntos.
Es muy común que la política de correo
electrónico de una organización
requiera que un usuario que recibe este
tipo de correo electrónico lo informe al
personal de seguridad cibernética.
Casi todos los proveedores de correo
electrónico filtran el correo electrónico
no deseado.
Desafortunadamente, el correo electrónico
no deseado aún consume ancho de banda
y el servidor del destinatario debe
procesar el mensaje de igual manera.
 Spyware, adware y scareware
El spyware es un software que permite a un
delincuente obtener información sobre las
actividades informáticas de un usuario.
El spyware incluye a menudo rastreadores
de actividades, recopilación de
pulsaciones de teclas y captura de datos.
En el intento por superar las medidas de
seguridad, el spyware a menudo modifica
las configuraciones de seguridad.
El spyware con frecuencia se agrupa con el
software legítimo o con troyanos, muchos
sitios web de shareware están llenos de
spyware.
 Spyware, adware y scareware
El adware muestra generalmente los
elementos emergentes molestos para
generar ingresos para sus autores.
El malware puede analizar los intereses
del usuario al realizar el seguimiento de
los sitios web visitados.
Luego puede enviar la publicidad
emergente en relación con esos
sitios. Algunas versiones de software
instalan automáticamente el adware.
Algunos adwares solo envían anuncios,
pero también es común que el adware
incluya spyware.
 Spyware, adware y scareware
El scareware convence al usuario a
realizar acciones específicas según el
temor.
El scareware falsifica ventanas
emergentes que se asemejan a las
ventanas de diálogo del sistema operativo.
Estas ventanas transportan los mensajes
falsificados que exponen que el sistema
está en riesgo o necesita la ejecución de un
programa específico para volver al
funcionamiento normal.
En realidad, no existen problemas y si el
usuario acepta y permite que el programa
mencionado se ejecute, el malware infectará
su sistema.
 Falsificación de identidad
La suplantación de identidad es una
forma de fraude.
Los delincuentes cibernéticos utilizan el
correo electrónico, la mensajería
instantánea u otros medios sociales
para intentar recopilar información como
credenciales de inicio de sesión o
información de la cuenta disfrazándose
como una entidad o persona de
confianza.
La suplantación de identidad ocurre
cuando una parte maliciosa envía un
correo electrónico fraudulento
disfrazado como fuente legítima y
confiable.
 Falsificación de identidad
El objetivo de este mensaje es engañar
al destinatario para que instale
malware en su dispositivo o comparta
información personal o financiera.
Un ejemplo de suplantación de
identidad es un correo electrónico
falsificado similar al que provino de un
negocio minorista, que solicita al usuario
que haga clic en un enlace para
reclamar un premio.
El enlace puede ir a un sitio falso que
solicita información personal o puede
instalar un virus.
 Falsificación de identidad
La suplantación de identidad focalizada es
un ataque de falsificación de identidad
altamente dirigido.
Si bien la suplantación de identidad y la
suplantación de identidad focalizada usan
correos electrónicos para llegar a las
víctimas, mediante la suplantación de identidad
focalizada se envía correos electrónicos
personalizados a una persona específica.
El delincuente investiga los intereses del
objetivo antes de enviarle el correo
electrónico.
Por ejemplo, el delincuente descubre que al
objetivo le interesan los automóviles y que está
interesado en la compra de un modelo
específico de automóvil.
 Falsificación de identidad
El delincuente se une al mismo foro de
debate sobre automóviles donde el
objetivo es miembro, fragua una oferta de
venta del automóvil y envía un correo
electrónico al objetivo.
El correo electrónico contiene un enlace a
imágenes del automóvil. Cuando el objetivo
hace clic en el enlace, instala sin saberlo el
malware en la computadora.
La FTC Comisión Federal de Comercio
pone en evidencia las diferentes estafas
sobre los fraudes de correo electrónico.
https://www.consumer.ftc.gov/features/s
cam-alerts
 «Vishing», «Smishing», «Pharming» y
«Whaling»

El «Vishing» es una práctica de suplantación

de identidad mediante el uso de la tecnología
de comunicación de voz.
Los delincuentes pueden realizar llamadas de
suplantación de fuentes legítimas mediante la
tecnología de voz sobre IP (VoIP).
Las víctimas también pueden recibir un
mensaje grabado que parezca legítimo.
Los delincuentes desean obtener los números
de tarjetas de crédito u otra información para
robar la identidad de la víctima.
El «Vishing» aprovecha el hecho de que las
personas dependen de la red telefónica
 «Vishing», «Smishing», «Pharming» y
«Whaling»

El «Smishing» (suplantación del servicio

de mensajes cortos) es una suplantación
de identidad mediante la mensajería de
texto en los teléfonos móviles.
Los delincuentes se hacen pasar por una
fuente legítima en un intento por ganar la
confianza de la víctima.
Por ejemplo, un ataque de «smishing»
puede enviar a la víctima un enlace de
sitio web. Cuando la víctima visita el sitio
web, el malware se instala en el teléfono
móvil.
 «Vishing», «Smishing», «Pharming» y
«Whaling»

El «Pharming» es la suplantación
de un sitio web legítimo en un
esfuerzo por engañar a los usuarios
al ingresar sus credenciales.
El «Pharming» dirige
erróneamente a los usuarios a un
sitio web falsas que parece ser
oficial.
Las víctimas luego ingresan su
información personal pensando que
se conectaron a un sitio legítimo.
 «Vishing», «Smishing», «Pharming» y
«Whaling»
El «Whaling» o ataque de ballena, es un ataque de
suplantación de identidad que apunta a objetivos de alto
nivel dentro de una organización, como ejecutivos
sénior.
Los objetivos adicionales incluyen políticos o
celebridades.
 «Vishing», «Smishing», «Pharming» y
«Whaling»

La RSA ofrece un enfoque unificado e

impulsado por el negocio para gestionar el
riesgo digital: unir a las partes interesadas,
integrar tecnologías y transformar el riesgo
en recompensa.
Un enfoque como empresa es el adoptar
seguridad digital, por los que uno de sus
artículos, la RSA hace referencia a la
suplantación de identidad y las actividades
de «smishing», «vishing» y «whaling».
aquí
https://www.rsa.com/content/dam/en/white-
paper/phishing-vishing-smishing.pdf
 Complementos y envenenamiento del navegador

Las infracciones a la seguridad

pueden afectar a los navegadores
web al mostrar anuncios emergentes,
recopilar información de identificación
personal o instalar adware, virus o
spyware.
Un delincuente puede hackear el
archivo ejecutable de un
navegador, los componentes de un
navegador o sus complementos.
 Complementos y envenenamiento del navegador

Complementos

Los complementos de memoria flash y shockwave

de Adobe permiten el desarrollo de animaciones
interesantes de gráfico y caricaturas que mejoran
considerablemente la apariencia de una página web.
Los complementos muestran el contenido desarrollado
mediante el software adecuado.
Hasta hace poco, los complementos tenían un registro
notable de seguridad. Si bien el contenido basado en
flash creció y se hizo más popular, los delincuentes
examinaron los complementos y el software de Flash,
determinaron las vulnerabilidades y atacaron a Flash
Player
 Complementos y envenenamiento del navegador

Envenenamiento SEO

Los motores de búsqueda, como Google, funcionan

clasificando páginas y presentando resultados
relevantes conforme a las consultas de búsqueda de
los usuarios.
Según la importancia del contenido del sitio web,
puede aparecer más arriba o más abajo en la lista
de resultados de la búsqueda.
La SEO (optimización de motores de búsqueda) es
un conjunto de técnicas utilizadas para mejorar la
clasificación de un sitio web por un motor de
búsqueda.
 Complementos y envenenamiento del navegador

Envenenamiento SEO

Aunque muchas empresas legítimas se especializan

en la optimización de sitios web para mejorar su
posición, el envenenamiento SEO utiliza la SEO para
hacer que un sitio web malicioso aparezca más arriba
en los resultados de la búsqueda.
El objetivo más común del envenenamiento SEO
es aumentar el tráfico a sitios maliciosos que
puedan alojar malware o perpetrar la ingeniería social.
Para forzar un sitio malicioso para que califique más
alto en los resultados de la búsqueda, los atacantes se
aprovechan de los términos de búsqueda populares.
 Complementos y envenenamiento del navegador

Secuestrador de navegadores

Un secuestrador de navegadores
es el malware que altera la
configuración del navegador de una
computadora para redirigir al usuario
a sitios web que pagan los clientes
de los delincuentes cibernéticos.
Los secuestradores de navegadores
instalan sin permiso del usuario y
generalmente son parte de una
descarga desapercibida.
 Complementos y envenenamiento del navegador

Secuestrador de navegadores

Una descarga desde una unidad es

un programa que se descarga
automáticamente a la computadora
cuando un usuario visita un sitio web
o ve un mensaje de correo
electrónico HTML.
Siempre lea los acuerdos de usuario
detalladamente al descargar
programas de evitar este tipo de
malware.
 Cómo defenderse de los ataques a
correos electrónicos y navegadores

Los métodos para tratar con correo no

deseado incluyen el filtrado de correo
electrónico, la formación del usuario
sobre las precauciones frente a correos
electrónicos desconocidos y el uso de
filtros de host y del servidor.
Es difícil detener el correo electrónico no
deseado, pero existen maneras de reducir
sus efectos.
Por ejemplo, la mayoría de los ISP filtran el
correo no deseado antes de que llegue a
la bandeja de entrada del usuario.
 Cómo defenderse de los ataques a
correos electrónicos y navegadores

Muchos antivirus y
programas de software
de correo electrónico
realizan automáticamente
el filtrado de correo
electrónico.
Esto significa que
detectan y eliminan el
correo no deseado de la
bandeja de entrada del
correo electrónico.
 Cómo defenderse de los ataques a
correos electrónicos y navegadores

Las organizaciones también advierten

a los empleados sobre los peligros de
abrir archivos adjuntos de correo
electrónico que pueden contener un
virus o un gusano.
No suponga que los archivos adjuntos
de correo electrónico son seguros, aun
cuando provengan de un contacto de
confianza.
Un virus puede intentar propagarse al
usar la computadora del emisor. Siempre
examine los archivos adjuntos de correo
electrónico antes de abrirlos