Adobe Systems Inc. está advirtiendo sobre ataques en curso dirigidos a una vulnerabilidad crítica de día cero en Adobe Flash Player que podría permitir a un atacante tomar el control completo de un computador afectado.

El fabricante de software publicó un aviso el lunes, advirtiendo de que varios proveedores de seguridad han detectado archivos de Microsoft Excel conteniendo un archivo Flash malicioso que intenta explotar la nueva vulnerabilidad de día cero de Flash Player.

Adobe dijo que el agujero está presente en todas las versiones de Adobe Flash Player para Windows, Macintosh, Linux y Flash Player para las plataformas Google Chrome y Android. Las últimas versiones de Adobe Reader y Acrobat también se ven afectadas. El componente vulnerable está también en Adobe Reader X, la última versión de Adobe Reader, pero Reader X impide que un atacante pueda salir del sandbox aislado de Adobe Reader para infectar a la computadora, escribió en el blog de la compañía Brad Arkin, director senior de seguridad y privacidad de productos de Adobe.

“Los informes que hemos recibido hasta el momento indican que el ataque está dirigido a un número muy reducido de organizaciones y de alcance limitado”, dijo Arkin.

Una vez que la vulnerabilidad se explota el atacante intenta instalar malware persistentes en la máquina de la víctima, dijo Arkin. Mientras que los ataques se han limitado a los archivos de Microsoft Excel, Arkin dijo que los archivos PDF con código malicioso incrustado también pueden ser utilizados para explotar el agujero.

Adobe está trabajando en un parche fuera del ciclo para reparar la falla. Se emitirá una actualización a la mayoría de los sistemas durante la semana del 21 de marzo, Adobe dijo. Adobe Reader X se actualizará en la próxima actualización de seguridad trimestral de Adobe Reader, actualmente programada para el 14 de junio.

En el blog SecureList, el investigador senior de malware Roel Schouwenberg dijo que los cibercriminales han diseñado el ataque de Flash Player para poder colarse fácilmente por los filtros antispam. “Desde mi punto de vista, este es un claro ejemplo de cómo demasiada funcionalidad en un producto lleva a problemas de seguridad”, dijo Schouwenberg, añadiendo que Microsoft o Adobe debería tomar medidas para evitar que la gente incorpore archivos de Flash (SWF) en Microsoft Excel.

“Llámame anticuado, pero yo no veo el punto de incrustar un SWF en documentos de Excel”, dijo.

Microsoft publicó tres boletines de seguridad, haciendo frente a dos vulnerabilidades críticas que afectan a Direct Show y Windows Media Player en su ronda de parches de marzo, pero dejó a los usuarios buscando una solución a la falla de MHTML.

Los tres boletines de seguridad están relacionados con un aviso que Microsoft lanzó en agosto de 2010 con respecto a la precarga de DLL, que puede permitir la ejecución remota de código, dijo Jason Miller, gerente del equipo de datos de Shavlik Technologies LLC, un proveedor de gestión de vulnerabilidades basado en St. Paul, Minnesota. La precarga de DLL es una clase bien conocida de vulnerabilidades. Permite a las aplicaciones de terceros precargar archivos compartidos en Windows, pero un error puede permitir a un atacante acceder a datos confidenciales o tomar el control de la computadora de la víctima.

Este mes hubo un solo boletín de seguridad crítico. MS11-015, que repara una grave vulnerabilidad en DirectShow y un agujero en Windows Media Player y Windows Media Center. La actualización es calificada como “crítica” para casi todas las ediciones compatibles de Windows y Windows Media Center TV Pack para Windows Vista. El boletín es calificado como “importante” para Windows Server 2008 R2.

La vulnerabilidad crítica podría permitir a un atacante llevar a cabo la ejecución remota de código al engañar a una víctima para que visite una página web con un archivo malicioso de Microsoft Digital Video Recording (DVR-MS). La vulnerabilidad de Windows Media Player permite al atacante explotar el agujero al conseguir que una víctima abra un archivo de video malicioso a través de un navegador.

“MS11-015 es muy importante, ya que la vulnerabilidad puede ser explotada sin llegar a ver el video,” dijo Wolfgang Kandek, director de tecnología de Qualys Inc., un proveedor de gestión de vulnerabilidades basado en Redwood Shores, California.

Microsoft normalmente califica estas vulnerabilidades como “importantes”, pero debido a que este ataque en particular no requiere ninguna intervención del usuario (como es normal en este tipo de vulnerabilidad) y debido a su naturaleza “drive-by”, la calificación del parche se ha actualizado a “crítica”, Kandek señaló en un blog.

Otros problemas de precarga de DLL fueron reparados en MS11-016, que se considera importante ya que sólo afecta a archivos Microsoft Groove y .vgc o .gta. Groove es una aplicación de Microsoft SharePoint para compartir espacio de trabajo de Office. MS11-017 repara una vulnerabilidad de Windows Remote Desktop Protocol en donde la apertura de un archivo .rdp malicioso en una red que contiene un archivo DLL malicioso puede provocar la ejecución remota de código.

La falla de MHTML permanece
Notablemente ausente de la ración de parches de este mes está la solución casi enigmática para la vulnerabilidad MHTML que ha permanecido durante algún tiempo. Amol Sarwate, un director de laboratorio de vulnerabilidades de Qualys dijo que los ingenieros de Microsoft están probablemente “probando una corrección” de que es importante no dañar o impedir la funcionalidad cuando el parche sea desplegado.

El problema de divulgación de información de MHTML no ha sido parchado en los últimos dos ciclos de revisión de los martes de parche. Código de prueba de concepto que ataca la falla de día cero de MHTML fue publicado en enero. Microsoft dijo que una víctima puede ser infectada al hacer clic en un enlace malicioso en un sitio web que lleva a un documento HTML. La técnica inyecta código JavaScript malicioso en el navegador de la víctima, dando al atacante la posibilidad de “falsificar contenido, divulgar información o realizar cualquier acción que el usuario pueda realizar en el sitio web afectado en nombre del usuario atacado.”

Shavlik Miller dijo que estaba sorprendido por la ausencia de una corrección para la vulnerabilidad, pero Microsoft no ha visto un “pico” en la cantidad de ataques utilizando la falla, lo que reduce la prioridad de apresurar la publicación.

Tan solo días después de que los desarrolladores descubrieran más de 50 aplicaciones móviles que contienen un troyano de Android oculto, Google ha reconocido una brecha de seguridad en su Android Market, y dijo que tomaría medidas para evitar que aplicaciones maliciosas aparezcan allí en el futuro.

Rich Cannings, jefe de seguridad de Google Android, dijo que la compañía se encuentra trabajando en el desarrollo de nuevas salvaguardas para el Android Market con el objetivo de ayudar a prevenir futuros ataques. Los pasos incluyen una mezcla de personas y seguridad – similar a las medidas que Google tomó el año pasado para reducir el número de sitios web maliciosos que aparecen en los resultados del motor de búsqueda.

“Estamos agregando una serie de medidas para ayudar a prevenir otras aplicaciones maliciosas con exploits similares de ser distribuidas a través del Android Market y estamos trabajando con nuestros socios para proporcionar la solución a los problemas de seguridad subyacentes”, escribió Cannings en el Blog de Google para móviles.

Los expertos en seguridad han advertido que las vulnerabilidades de aplicaciones móviles presentarían un nuevo y potencialmente lucrativo vector de ataque para los cibercriminales. Malware para móviles ha ido apareciendo en una serie de repositorios de aplicaciones Android de terceros, así como aplicaciones no oficiales que se pueden descargar en un iPhone liberado.

Un troyano oculto llamado DroidDream fue descubierto la semana pasada en al menos 50 aplicaciones para Android. El programa malicioso puede obtener acceso de root en el teléfono inteligente, dándole la habilidad para ver los datos sensibles del dispositivo y descargar malware adicional. Cannings dijo que los ingenieros de Google creen que DroidDream reunía códigos específicos del dispositivo para identificar los dispositivos móviles y la versión de Android corriendo en el dispositivo, pero podría haber robado otros datos, dijo. Google está instalando automáticamente una herramienta de eliminación de software malicioso en las víctimas, que limpia el malware en el dispositivo infectado.

Los expertos coinciden en que los usuarios deben recurrir únicamente a los mercados oficiales, donde el malware es un problema menor. Pero el malware en los repositorios de aplicaciones oficiales empeorará, advierte Charles Miller, analista principal de seguridad en Independent Security Evaluators. Miller dijo que el Android Market de Google se diferencia de la más controlada App Store de Apple. Apple realiza un análisis del binario de la aplicación en busca de APIs privadas y otros elementos que puedan perjudicar el rendimiento del iPhone. El control centralizado ha ayudado a mantener el iPhone relativamente seguro, dijo. Cualquier persona puede poner aplicaciones en el Android Market, dijo Miller, “pero al menos los usuarios pueden ver lo que otros usuarios piensan de la aplicación y si algo es realmente malo, Google puede venir y retirarlo y también removerlo de forma remota de los teléfonos del usuario.”

“Este control centralizado ayuda a reducir un poco el riesgo de malware, pero todavía se está convirtiendo en un problema y continuará tornándose aún peor”, dijo Miller. “Apple lleva el control centralizado un paso más allá y examina cada aplicación antes de que se permita en el App Store de Apple. Se puede argumentar que esto restringe la libertad de los desarrolladores, pero desde una perspectiva de malware, es el método más seguro.”

Abordar el problema de aplicaciones maliciosas es un tema complicado para Google y Apple, ya que se ha establecido todo un ecosistema en torno al desarrollo, hosting e implementación de aplicaciones móviles, dijo Dave Wichers, miembro de Open Web Application Security Project y co-fundador de Aspect Security. Al igual que la computadora de escritorio, a medida que la cuota de mercado de una plataforma crece se convierte en un objetivo, Wichers dijo. Los últimos datos de cuota de mercado de Nielsen muestran a Google superando a Apple y RIM, con una cuota del 29% del mercado de los EE.UU..

“Para Google y Apple hacer algo va a costar tiempo, dinero y esfuerzo, pero al mismo tiempo tienen la responsabilidad de proporcionar un cierto nivel de seguridad a su base de clientes de que las aplicaciones que están haciendo disponibles a través de su tienda de móviles son seguras “, dijo Wichers.

Adobe Systems Inc. emitió sus actualizaciones de seguridad trimestrales el pasado martes, reparando un grupo de defectos graves en Flash Player y en Adobe Reader y Acrobat. Los parches también incluyen una actualización de Adobe Reader X, reparando huecos en el recientemente fortalecido software para visualización de PDF.

El fabricante de software publicó el Adobe Flash Player 10.2.152.26, reparando más de una docena de vulnerabilidades críticas. Muchas de las vulnerabilidades de Flash Player incluyen errores de corrupción de memoria que podrían ser explotados por un atacante para obtener acceso a una máquina y ejecutar código de forma remota.

Varias de las vulnerabilidades fueron reportadas a través de los laboratorios iDefense Labs de VeriSign Inc., incluyendo un defecto que entre otros podría ser utilizado en ataques “drive-by”. Un atacante puede inyectar código malicioso en una página web para aprovechar el error y obtener los mismos privilegios que el usuario.

Adobe también abordó los agujeros críticos identificados en Adobe Shockwave Player 11.5.9.615 y versiones anteriores.

Además, Adobe publicó una actualización de seguridad crítica, reparando más de dos docenas de vulnerabilidades en su software de visualización de PDF Adobe Reader y Acrobat. La actualización afecta a Adobe Reader X para Windows y Macintosh, Adobe Reader 9.4.1 y versiones anteriores de Windows, Macintosh y UNIX, y Adobe Acrobat X y versiones anteriores de Windows y Macintosh.

“Estas vulnerabilidades podrían causar que la aplicación se bloquee y potencialmente permitir a un atacante tomar el control del sistema afectado”, dijo Adobe en su aviso.

Adobe Reader y Acrobat X son las aplicaciones de la compañía que están configuradas para ejecutarse en una “caja de arena” (sandbox) para aislar el software de los procesos en ejecución del sistema operativo. El nuevo software hace que sea más difícil para los ciberdelincuentes ejecutar un ataque con éxito. El “riesgo para usuarios de Adobe Reader X es mucho menor ya que ninguna de estas fallas vulnera las mitigaciones del modo protegido.”, dijo Adobe.

El FBI advierte a las empresas de una continua campaña del troyano Bredolab que ataca publicaciones en sitios web legítimos de anuncios de puestos de trabajo, y que hasta el momento ha generado a los cibercriminales $150,000 dólares.

Los cibercriminales respondieron a anuncios en línea sobre puestos de trabajo con mensajes de correo electrónico con aplicaciones de trabajo cargadas de malware. El malware permitió al atacante obtener las credenciales de banca Internet de una persona autorizada para llevar a cabo transacciones financieras en una empresa.

“El actor malicioso cambió la configuración de la cuenta para permitir el envío de transferencias bancarias, una a Ucrania y dos a cuentas nacionales”, dijo el FBI.

Los investigadores determinaron que el malware es una variante de Bredolab, relacionada con el troyano Zeus, un troyano bancario comúnmente usado para atacar a empresas. Bredolab se ha estado propagando rápidamente a través de mensajes de correo electrónico y descargas “drive-by”, según Symantec.

Los delincuentes detrás de Bredolab utilizan herramientas automáticas de ataque para difundir el malware. Los trucos de ingeniería social hacen que los mensajes de correo electrónico parezcan legítimos con el fin de engañar al usuario. Symantec dijo que ha detectado variantes de Bredolab en mensajes de spam de dinero gratis de Western Union, avisos falsos sobre entrega fallida de UPS y mensajes falsos de Facebook sobre cambio de contraseña.

En octubre, las autoridades holandesas anunciaron que un equipo de expertos desactivó el botnet Bredolab, incautando y desconectando más de 100 servidores de comando y control. Algunos expertos afirman que Bredolab ha infectado al menos 30 millones de computadoras.

Los expertos en seguridad dicen que los empleados no deben confiar en archivos adjuntos de correo electrónico de gente que no conocen. Deben comprobar los archivos adjuntos con un escaneo de antivirus antes de abrirlos. El FBI también recomienda que las empresas utilicen equipos separados para llevar a cabo transacciones financieras.

Microsoft ha emitido una advertencia de seguridad sobre una vulnerabilidad divulgada públicamente en Windows Graphics Rendering Engine, que podría ser utilizada en ataques “drive-by”.

La falla afecta a los usuarios de Windows XP, Windows Server 2003 y 2008 y Windows Vista.

Microsoft dijo que no se han detectado intentos de aprovechar la vulnerabilidad por parte de atacantes. La falla podría ser explotada en ataques “drive-by” o engañando a un usuario para que abra un archivo malicioso de Word o PowerPoint, Microsoft dijo. Si la vulnerabilidad de ejecución remota de código se aprovecha con éxito, un atacante podría obtener el control completo de la computadora de la víctima, instalar otros programas maliciosos y robar información, dijo Microsoft.

La falla está en la forma en que Windows accede a un objeto para ejecutar una aplicación. Una imagen en miniatura maliciosa puede causar que el motor de proceso de gráficos falle.

Los ingenieros de Microsoft están trabajando en un parche para corregir esta vulnerabilidad. El gigante del software dijo que la vulnerabilidad “no cumple los criterios para una emisión fuera de ciclo” La falla no afecta a Windows 7 o Windows Server 2008 R2.

Como solución temporal a este problema, Microsoft dijo que los usuarios afectados pueden modificar la lista de control de acceso para restringir al visor de imágenes y fax de Windows de mostrar archivos. Como resultado, la solución evitará que se muestren los archivos de media que por lo general maneja.

La vulnerabilidad se destacó por primera vez en una presentación a cargo de los investigadores de seguridad Joseph Moti y Hao Xu en la conferencia de seguridad Power of Community en Corea. Los mantenedores del Metasploit Framework crearon un módulo para la falla de día cero el pasado martes.

El mes pasado, Microsoft reparó siete vulnerabilidades en Microsoft Office, incluyendo una falla que afecta a Microsoft Office Graphics Filters que podría ser explotada al engañar a un usuario para que abra un archivo de imagen malicioso. Los defectos sólo afectan a los usuarios de Microsoft Works, Microsoft Office Converter Pack, Microsoft Office XP y Microsoft Office 2003.

El fundador de OpenBSD Theo De Raadt cree que hubo intentos de un contratista de plantar puertas traseras en el sistema operativo de código abierto.

La sorprendente revelación surgió por primera vez la semana pasada cuando un ex-contratista del gobierno envió un correo electrónico a DeRaadt con la afirmación de que el FBI había instalado una serie de puertas traseras en el software de encriptación utilizado por OpenBSD. De Raadt hizo público el e-mail y respondió con una nota haciendo frente a las acusaciones.

“Creo que probablemente NETSEC fue contratado para escribir puertas traseras como se alega,” dijo De Raadt, refiriéndose a una compañía que acepta contratos para realizar trabajos de seguridad y anti-seguridad para partes del gobierno de los EE.UU..

“Si las [puertas traseras] fueron creadas, no creo que hayan llegado a nuestro árbol. Puede ser que se hayan implantado en su propio producto “, agregó De Raadt.

El fundador de OpenBSD dijo que los desarrolladores asociados con NetSec trabajaron en controladores para el sistema operativo y escribieron código de seguridad que utilizaba esos controladores.

Jason no trabajó en la criptografía concretamente ya que era mayormente un desarrollador de controlador de dispositivo, pero sí tocó la capa de ipsec porque esa capa hace también IPCOMP. Lo que significa que tocó la parte del flujo de datos de este código, no los algoritmos…

… Después de la salida de Jason, Angelos (que había estado trabajando en el stack ipsec por 4 años más o menos, ya que era el arquitecto y desarrollador principal del stack IPsec) aceptó un contrato en NetSec y (durante sus viajes alrededor del mundo) escribió la capa de encriptación que permite a nuestro stack IPsec hacer peticiones a los controladores en los que Jason trabajó. Esa capa de encriptación contenía la vaga idea de inseguridad de half-IV que el gobierno de los EE.UU. estaba promoviendo en ese momento. Poco después de que su contrato había terminado esto fue eliminado.

OpenBSD ha puesto en marcha una auditoría a gran escala del código de encriptación y los desarrolladores ya han descubierto y corregido varios errores. No había señales de código de puerta trasera.

OpenBSD es un sistema operativo tipo Unix que surgió de Berkeley Software Distribution (BSD), un derivado de UNIX desarrollado en la Universidad de California, Berkeley. Fue bifurcado de NetBSD por Theo de Raadt a finales de 1995.

Las firmas de seguridad están advirtiendo sobre un nuevo código de explotación que ataca una vulnerabilidad de día cero en Microsoft Internet Explorer, lo que permite a los atacantes tomar el control completo de un sistema vulnerable.

La vulnerabilidad podría ser utilizada por los atacantes para ejecutar ataques “drive-by”. La nueva falla fue reportada por la empresa francesa de seguridad VUPEN Security el 9 de diciembre y afecta a Internet Explorer 6, 7 y 8 corriendo en Windows XP, Windows Vista y Windows 7.

VUPEN dio a la vulnerabilidad la calificación de “crítica”. El navegador contiene un defecto que causa un error de memoria en el motor de análisis de HTML de Internet Explorer cuando procesa reglas de importación de Cascading Style Sheet (CSS) en una página Web, de acuerdo con el aviso de VUPEN. Los atacantes pueden crear una página web maliciosa o inyectar código en sitios web vulnerables para atacar la falla.

La vulnerabilidad se ha añadido el miércoles como un exploit en el Metasploit Framework.

Microsoft bloqueó cinco vulnerabilidades críticas de Internet Explorer en su ronda de parches mensuales de diciembre. Algunos de los defectos parchados por Microsoft estaban siendo utilizados por atacantes en ataques drive-by.

Microsoft publicó una cantidad récord de 17 boletines de seguridad el pasado martes, reparando una vulnerabilidad de “día cero” utilizada por el notorio malware Stuxnet y bloqueando el ataque a varias fallas críticas en Internet Explorer.

El gigante del software reparó 40 vulnerabilidades de productos y siete fallas críticas, tanto en software cliente como en sistemas de servidor, que afectan a Microsoft SharePoint Server y Exchange. Los expertos en parches dijeron que los boletines adicionales indican que Microsoft puede estar haciendo un esfuerzo por mejorar el tiempo que toma para reparar las vulnerabilidades.

“Las organizaciones necesitan mejorar la planificación del tiempo de inactividad de sus sistemas en función de los martes de parches porque el número de parches no va a disminuir en el corto plazo”, dijo Amol Sarwate, gerente del laboratorio de investigación de vulnerabilidades de Qualys Inc., un proveedor de gestión de vulnerabilidades con sede en Redwood Shores, California.

Microsoft parchea la cuarta vulnerabilidad de día cero utilizada por los delincuentes detrás del troyano Stuxnet. El sofisticado malware ataca varias otras vulnerabilidades para acceder a los sistemas Windows y a continuación utiliza una de las dos vulnerabilidades en el Windows Task Scheduler para elevar sus privilegios en su afán por atacar el software de monitoreo de control y adquisición de datos (SCADA) de Siemens. Microsoft ha calificado la vulnerabilidad “importante” y dijo que el atacante debe tener credenciales válidos de inicio de sesión y estar autenticado de forma local para explotar la falla.

Microsoft bloqueó varias vulnerabilidades críticas en Internet Explorer siendo utilizadas por los atacantes en una serie de ataques drive-by. El boletín resuelve cinco fallas fundamentales que afectan a todas las versiones de Internet Explorer, tanto en clientes y servidores Windows. Sarwate dijo que Microsoft ha visto un aumento en los ataques contra las vulnerabilidades de IE en los últimos días.

“Hubo un repunte importante en China y Corea, donde estas vulnerabilidades se utilizaban con fines de explotación”, dijo Sarwate.

Varias vulnerabilidades críticas en el controlador de Open Type Font de Microsoft Windows fueron reparadas también por la compañía el martes. Microsoft dijo que un atacante podría alojar una tipografía OpenType en un directorio compartido de red y hacer que un usuario navegue a la misma, activando automáticamente la vulnerabilidad en el Explorador de Windows “, permitiendo de esta forma que la tipografía especialmente diseñada tome el control total sobre un sistema afectado.” La actualización de seguridad se considera crítica para el controlador OTF que se ejecuta en Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2008.

Además, Microsoft corrigió varias vulnerabilidades en la forma en que Microsoft y algunas aplicaciones de terceros precargan archivos compartidos en Windows. Varios boletines corrigen vulnerabilidades en el manejo de media o errores en la precarga de DLL. Los boletines se consideran importantes y reparan fallas de precarga en sistemas cliente y servidor. Los administradores deben instalar los parches, pero Sarwate de Qualys dijo que los administradores pueden leer y aplicar una solución de precarga DLL que repara los errores de precarga en cientos de componentes de Windows de otros fabricantes.

Otro boletín de seguridad notable corrige siete vulnerabilidades en Microsoft Office que un atacante puede explotar de forma remota para acceder a archivos críticos del sistema o instalar software malicioso. Las vulnerabilidades afectan a Microsoft Office Graphics Filters y pueden ser explotadas logrando que un usuario abra un archivo de imagen malicioso. La vulnerabilidad es calificada de “importante” para Microsoft Works 9, Microsoft Office Converter Pack y Microsoft Office XP y Microsoft Office 2003.

Los ciberdelincuentes detrás del rootkit TDL4, una variante del rootkit TDSS (Alureon) que ocasionó problemas de “pantalla azul” en Microsoft Windows a principios de este año, ha copiado al gusano Stuxnet, atacando una vulnerabilidad de día cero en el Windows Task Scheduler.

Los creadores del rootkit han añadido una nueva arma a su arsenal, la incorporación de una vulnerabilidad de día cero que sólo se ha utilizado anteriormente por el gusano Stuxnet, según los investigadores de los Laboratorios Kaspersky.

El rootkit TDL4 puede aprovechar una falla de escalada de privilegios en el Windows Task Scheduler, que afecta a los usuarios de Windows 7 y Vista. La falla permite que el rootkit se instale en el sistema y evite las herramientas de seguridad de User Access Control de Windows que normalmente evitaría que cargue, de acuerdo con el investigador de Kaspersky Sergey Golovanov.

“TDSS una vez más ha reafirmado su posición como uno de los programas maliciosos más complejos y peligrosos que hay,” Golovanov escribió en el blog de los Laboratorios Kaspersky Securelist.

Stuxnet, que se detectó en julio atacando una vulnerabilidad de Microsoft Windows de día cero, fue identificado atacando cuatro vulnerabilidades de día cero adicionales en Windows. El gusano busca software SCADA (Supervisory Control and Data Acquisition) de Siemens y luego se inyecta en controladores lógicos programables que controlan la presión, temperatura y otros controles. Los expertos en seguridad advirtieron que podría ser utilizado como modelo para los desarrolladores de malware en el futuro.

Las versiones anteriores de TDL4 están bloqueadas por la mayoría de los programas antimalware, pero Golovanov escribió que el rootkit parece estar en constante desarrollo por parte de algunos desarrolladores con talento. La última variante es capaz de penetrar en un ordenador, incluso si el antivirus está instalado y funcionando.

Hasta el momento el rootkit ha sido utilizado por los ciberdelincuentes organizados para hacer crecer sus ejercitos botnet de máquinas zombies y luego se usa para el marketing de afiliación y las campañas de envenenamiento de optimización de motor de búsqueda (SEO por sus siglas en inglés), Golovanov escribió. Al infectar una computadora, el rootkit contacta al servidor de comando y control (C & C) y recibe órdenes para instalar más malware en el equipo.

“El hecho de que la comunicación del bot con el C & C se encripta hace que sea mucho más difícil de analizar los paquetes de red”, escribió Golavanov. “Un componente muy potente del rootkit esconde tanto los componentes más importantes del malware y el hecho de que el computador ha sido infectado. … Los cibercriminales se benefician mediante la venta de pequeñas redes de bots y el uso de SEO blackhat”.