Shellshock y el “Celebgate”. Esos han sido para ESET los dos temas que han centrado las noticias de seguridad durante el mes de septiembre, y que aún siguen dando de que hablar.
Por un lado, con Shellshock, nos encontramos ante un caso similar al de HeartBleed, una vulnerabilidad en Bash que afecta a una gran cantidad de sistemas como GNU/Linux, Mac OS X o Android, y que permitiría la ejecución remota de código, lo que permitiría a un atacante tomar el control del dispositivo. De hecho se han detectado ya muestras de malware que la aprovechaban e incluso algún delincuente ya estaba montando su propia botnet aprovechándose de este agujero de seguridad. Si bien la mayoría de distribuciones de GNU/Linux y Apple ya han publicado parches, aún millones de dispositivos vulnerables que no recibirán actualización alguna, con el riesgo que ello conlleva.
Por otro lado, la filtración de fotos íntimas de famosas realizadas con sus dispositivos móviles, en lo que se ha llamado el “Celebgate”, se ha producido a lo largo de varias semanas, afectando a muchas celebridades, entre ellas a Jennifer Lawrence. Si bien el sistema iCloud de Apple fue señalado por muchos como responsable, Apple lo desmintió, y además hubo fotografías que se realizaron desde dispositivos distintos a los de Apple, por lo que el ataque debía de haber sido de mayor magnitud. Los indicios apuntan a que se trató de una operación realizada durante varios meses y que se usaron técnicas de phishing para suplantar y robar las credenciales de los servicios de almacenamiento en la nube de varias empresas.
A raíz de esta noticia, surgieron scams propagándose por Facebook que prometían la visualización de un video íntimo de Jennifer Lawrence, así como un troyano que, haciéndose pasar por una aplicación que descargaba videos íntimos de la actriz, infectaba el sistema con una herramienta de control remoto y lo convertía en parte de una botnet.
Por otra parte, durante el mes de septiembre surgieron otras amenazas, entre ellas el uso de webs legítimas pertenecientes a importantes empresas para la propagación del malware, como Java.com, DeviantART, TMZ o Photobucket; el ransomware Torrentlocker, que cifra los documentos de las víctimas y que utiliza webs falsas simulando ser el sistema de rastreo de Royal Mail, el servicio de correo británico; el troyano BlackEnergy, que ha protagonizado ataques dirigidos a instituciones y empresas de Ucrania y Polonia; y los primeros scams que se aprovechaban de la popularidad del nuevo iPhone 6 de Apple para engañar a usuarios despistados.
