jueves, 31 de mayo de 2012

Expertos detectan programa espía más extendido que Flame

El programa Simurgh, que permite acceder a contenidos restringidos de forma anónima es utilizado a menudo por los usuarios de internet en países como Irán o Siria. Pero, advierten, su uso podría conllevar riesgos notables.
Un equipo de la Universidad de Toronto acaba de alertar que este sistema podría costar caro a más de un disidente ya que es posible que, al descargar este programa, se esté abriendo una puerta trasera a las autoridades para que espíen sus actividades en la red.
Esto se debe a que, según indicaron, en ocasiones la instalación de este programa proxy (como se conoce este tipo de software) conlleva también la implantación de un virus troyano espía que, entre otras cosas, extrae las palabras clave del usuario.
ADVERTENCIAS
En principio, el programa Simurgh permite a los usuarios acceder a páginas bloqueadas de forma anónima, pero si al decargarlo infectaron su computador con el troyano, los datos del PC de la víctima se envían a una página registrada en un servidor de internet alojado en Arabia Saudita.
Esto puede incluir el nombre de usuario y de la máquina, así como cada ventana visualizada y tecleo realizado.
Al detectar el troyano, los desarrolladores del Simurgh colgaron una advertencia en su página de internet que alerta a los usuarios que versiones de este programa obtenidas desde páginas de descargas podrían contener el virus.
Las firmas de seguridad Sophos y Avira también han actualizado sus detectores de malware para atrapar al código malicioso.
Morgan Marquis-Boire, consejero técnico en la Munk School of Global Affairs, explicó que el archivo llamado Isass.exe permitía "el acceso persistente a la computadora de la víctima" así como "la salida de datos".
"Este troyano ha sido diseñado específicamente para detectar a gente que trata de saltarse la censura del gobierno", apuntó.
DISIDENTES SIRIOS E IRANÍES
Simurgh es un pájaro mitológico de la tradición persa y fue el nombre que se le dio a este sistema operativo creado justo después de las elecciones presidenciales de 2009.
El programa suele instalarse a través de memorias USB en los cibercafés y permite a los ciudadanos iraníes acceder a todo tipo de información en red.
Pero no sólo los iraníes, sino también los sirios hacen uso de este sistema anticensura, por lo que se sospecha que también se habrían visto afectados por el troyano espía.
"Si el virus está instalado en la computadora se debe asumir que todos los servicios de internet (correo electrónico, cuentas bancarias) han sido comprometidos y se aconseja cambiar todas las palabras clave lo antes posible".
Marquis-Boire observó también que un efecto secundario del virus es la ausencia de sonidos durante la navegación en el programa Microsoft Explorer.
MÁS EXTENDIDO QUE FLAME
Un reporte posterior de Sophos informó que aunque los datos estaban siendo enviados a lo que parece ser una empresa registrada en Arabia Saudita, algunos de los servidores utilizados están en Estados Unidos.
Sin embargo, explicó que esto no significa que el ataque ha sido instigado por alguien en Estados Unidos, ya que cualquiera podría haber alquilado el servidor.
La noticia sale a la luz justo después de que investigadores descubrieran uno de los ataques cibernéticos más sofisticados jamás detectados; el perpetrado por el malware Flame.
A principios de esta semana se reveló que este malware había infectado computadoras en Irán y otros países de Oriente Medio, con el supuesto fin de robar datos confidenciales.
Sin embargo, Sophos sugirió que el troyano de Simurgh habría afectado incluso más computadoras que Flame.
"A diferencia de Flame, que es un malware detectado únicamente en un puñado de computadoras en todo el mundo, este troyano tiene como objetivo a usuarios cuyas comunicaciones podrían comprometerles, llevarles a prisión e incluso peor", escribió en su blog Chester Wisniewski, consejero en jefe de seguridad de Sophos.
"Miles dependen de un servicio Simurgh legítimo, lo que hace factible que incluso más gente haya sido afectada por este malware".
www.iberonat.com