Los iPhone liberados por ‘jailbreaking’ dejan las puertas abiertas al malware
Una vez que un iPhone ha sido “liberado”, la puerta está abierta. La empresa de seguridad de redes y gestión unificada de amenazas (UTM) ha presentado su informe sobre la actividad maliciosa registrada en el mes de septiembre, en el que señala que una nueva vulnerabilidad en los archivos PDF está siendo utilizada para atacar a los iPhones liberados (Jailbreaked). El proceso de liberación, Jailbreaking, elude la gestión de los derechos digitales (DRM) para que los usuarios puedan descargar en su teléfono aplicaciones no disponibles en la App Store a través de instaladores no oficiales.
“Una vez que el iPhone, u otro dispositivo, ha sido “liberado”, la puerta está abierta. El dispositivo puede ejecutar funciones para las que no ha sido diseñado,” indicó Derek Manky, jefe de proyecto e investigador de amenazas y ciberseguridad en Fortinet. “En el caso de ataques de malware, el gusano Ikee, consiguió acceder a iPhones liberados a través de una entrada no autorizada vía SSH. Los dispositivos liberados también pueden ejecutar aplicaciones maliciosas, por lo que es muy probable que puedan ser atacados por malware.”
Vulnerabilidades en QuickTime, Outlook y Acrobat
El 15 de septiembre se solucionaron dos vulnerabilidades que afectaban a Apple QuickTime, una de las cuales había sido descubierta por los Laboratorios FortiGuard Labs (FGA-2010-46). La otra vulnerabilidad (CVE-2010-1818) era un problema crítico que eludía las tecnologías de protección Data Execution Prevention (DEP) y Address Space Layout Randomization (ASLR) utilizando QuickTime. Fortinet ha determinado que en el listado in-the-wild hay ejemplos de esta vulnerabilidad.
Las Botnets, una presencia muy activa
El 14 de septiembre, los laboratorios FortiGuard detectaron un incremento súbito de la actividad de Sasfis relacionado con Asprox spambot. Sobre Asprox, que había estado funcionado durante un tiempo, no habíamos tenido noticias en el último año. Había intención de utilizar el modulo Asprox para una campaña de envío de correos electrónicos. Estos emails contenían un adjunto ejecutable en formato zip, camuflado como copias de fax. El adjunto era una copia de Sasfis, que descargaba Asprox para poder enviar más spam desde la máquina infectada.
Además del incremento en la actividad de Sasfis, el Centro FortiGuard detectó un módulo sniffer que escanea el tráfico en los puertos TCP 21, 25 y 110 (FTP, SMTP y POP3).
“El tráfico en estos puertos puede ser procesado por el módulo que se encuentra dentro de la configuración de datos encriptados y enviarse vía HTTP POST a un servidor de dominio y control situado en Europa,” comentó Manky. “Las credenciales FTP robadas pueden ser muy valiosas y son usadas con frecuencia para raptar servidores web. La variante fue observada descargándose la suite ransomware TotalSecurity, que había estado en las primeras posiciones de nuestro radar de malware durante semanas.”
Los laboratorios FortiGuard reúnen las estadísticas de amenazas y tendencias del mes de septiembre basándose en los datos recogidos por los dispositivos de seguridad de red FortiGate® y los sistemas de inteligencia en todo el mundo. Los clientes que utilizan los servicios de suscripción FortiGuard de Fortinet ya deberían estar protegidos frente a las amenazas señaladas en este informe.