Malware en la AFIP: Cuando “casi” ningún antivirus funciona, ESET si

Publicado hace 6 años por en ESET

Esta semana ocurrió un incidente asociado a la seguridad de la información que, creo, tiene algunas ideas importantes para reflexionar y compartir relacionadas al rol de los laboratorios antivirus en Latinoamérica. Pero antes de ello, repasemos de qué estoy hablando.

El último martes, un código malicioso fue propagado (especialmente en Argentina) a través de un correo electrónico que decía provenir de la AFIP (Administración Federal de Ingresos Públicos; órgano recaudador fiscal argentino), bajo el asunto “segundo aviso”. En este, se informaba al lector que, para evitar sanciones por evasión fiscal, era necesario seguir el “manual de recomendaciones”, al cual se podía acceder mediante un falso enlace. Un vez que el usuario ingresaba al mismo descargaba un código malicioso. Se trataba de un troyano que descargaba otros archivos dañinos en la computadora de las víctimas.

Una vez ocurrido el incidente, diversos blogs y medios de comunicación dieron difusión de la noticia, tomando como base que “casi ningún antivirus detectaba la amenaza“. En la siguiente imagen pueden observar la captura de la gacetilla de prensa oficial de AFIP, donde podrán observar el correo de la amenaza, y también hemos resaltado el mensaje: “(el virus) … no lo detecta la mayoría de los antivirus comerciales”.

¿Estaban protegidos los usuarios de ESET? Seguro que sí. Cualquier usuario de ESET NOD32 AntivirusESET Smart Security que hubiera caído en el engaño y hecho clic en el enlace engañoso, hubiera visto como el filtro HTTP de los productos bloqueaban la dirección URL:

Por lo tanto, más allá de la detección del archivo, nuestros usuarios no hubieran llegado siquiera a descargarlo, ya que el antivirus lo estaba protegiendo ante esta amenaza.

Pero, ¿qué pasa con el archivo? Desde ESET recibimos inmediatamente la muestra de la amenaza y, a las pocas horas, ya eramos uno de los cuatro antivirus que detectábamos el archivo, tal como indica el reporte de VirusTotal (organización independiente que emite reportes del estado de detección de malware) del mismo martes 19 de julio por la noche:

Además, unos días más tarde los atacantes modificaron el archivo del servidor de forma tal de evitar la detección de los códigos maliciosos, y una vez más al momento de escribir este post,somos una de las nueve soluciones de seguridad que detectan la amenaza, en este caso,como Win32/Spy.Zbot.YW, una variante de la red botnet Zeus, diseñada especialmente para robar información sensible a los usuarios infectados.

Entonces, ¿qué pasa cuando casi ningún antivirus detecta una amenaza? En estos casos, se pone en evidencia la importancia y relevancia de contar con un Laboratorio de Análisis y Detección de Malware regional; ya que nos permite detectar con mayor velocidad este tipo de incidentes, que se generan por atacantes y ciber delincuentes locales o regionales, y por lo contrario dichos archivos pueden demorar mucho más tiempo en “arribar” a un laboratorio antivirus ubicado en otra parte del mundo.

Independientemente del caso en particular, y de cuáles fueron las (pocas) empresas antivirus que pudieron responder eficientemente a la detección de este código malicioso; no es casual que hayamos podido responder con la velocidad que los usuarios pueden observar, sino la consecuencia lógica de tener un equipo de especialistas en seguridad trabajando desde nuestra oficina regional en Buenos Aires para detectar amenazas de la región.

En este caso, cuando casi ningún antivirus funcionaba, pudimos lograr una eficiente protección gracias a nuestro laboratorio. Casi todos los usuarios que hicieron clic en el enlace quedaron expuestos a la amenaza. Los de ESET no.

Fuente: ESET Latinoamerica


 

Dejar un comentario