• Busqueda

• Categorias

  • actualizaciones (6)
  • adware (1)
  • Anuncios (6)
  • Botnets (7)
  • Clickjacking (1)
  • Curiosidades (14)
  • Educación (46)
  • Estadísticas (2)
  • Eventos (8)
  • exploit (7)
  • General (13)
  • Hacking (12)
  • Heurística (5)
  • Informes (5)
  • Ingenieria social (22)
  • Malware (104)
  • Phishing (17)
  • Piratería (2)
  • Productos (20)
  • redes sociales (4)
  • rogue (2)
  • Spam (35)
  • Tutoriales (18)
  • Vulnerabilidades (66)

• Archivos

  • Marzo 2010 (2)
  • Febrero 2010 (16)
  • Enero 2010 (14)
  • Diciembre 2009 (7)
  • Noviembre 2009 (5)
  • Octubre 2009 (3)
  • Septiembre 2009 (3)
  • Agosto 2009 (8)
  • Julio 2009 (6)
  • Junio 2009 (2)
  • Mayo 2009 (4)
  • Abril 2009 (6)
  • Marzo 2009 (6)
  • Febrero 2009 (3)
  • Enero 2009 (3)
  • Diciembre 2008 (5)
  • Noviembre 2008 (5)
  • Octubre 2008 (10)
  • Septiembre 2008 (9)
  • Agosto 2008 (7)
  • Julio 2008 (8)
  • Junio 2008 (10)
  • Mayo 2008 (13)
  • Abril 2008 (12)
  • Marzo 2008 (7)
  • Febrero 2008 (5)
  • Enero 2008 (2)
  • Diciembre 2007 (7)
  • Noviembre 2007 (6)
  • Octubre 2007 (7)
  • Septiembre 2007 (9)
  • Agosto 2007 (3)

• Enlaces

  • Enciclopedia Virus
  • ESET España
  • Hispasec
  • Virus Radar
RSS Artículos | RSS Comentarios

La ceremonia de los Oscar también es usada para propagar malware

Tal y como venimos observando recientemente, los creadores de malware en forma de falsos antivirus aprovechan cualquier suceso o método para esparcir sus creaciones.
Ahora le ha tocado el turno a la ceremonia de entrega de los Oscar y ya hemos podido observar enlaces maliciosos que conducen a la descarga de ficheros ejecutables que instalan este tipo de códigos maliciosos:

Las técnicas usadas son las que venimos observando últimamente. Posicionamiento de enlaces maliciosos en los principales buscadores usando técnicas de Blackhat SEO. Es más. Muchos de los enlaces ni siquiera se han molestado en cambiar su nomenclatura y vemos como aparecen, por ejemplo, referencias a la festividad de San Valentín y a los recientes juegos olímpicos de Vancouver.

Esta manera de propagar malware está resultando sencilla y eficaz para sus creadores, puesto que muchos de los usuarios que acceden a los enlaces maliciosos no se fijan a donde están accediendo y se limitan a pulsar indiscriminadamente sobre todos los enlaces que aparezcan en su buscador preferido. La solución a estas amenazas pasa por tener instalado un antivirus que sea capaz de detectar los archivos maliciosos que se descargan al acceder a estas webs y, sobretodo, pararnos a revisar los resultados obtenidos en el buscador, accediendo únicamente a aquellos enlaces que nos inspiren confianza o tengan una buena reputación.

Josep Albors

Falso Antivirus se propaga rápidamente a través de SPAM

En este blog hemos dado a conocer los distintos métodos de propagación de las infecciones de tipo “Rogue Antivirus” o Falso Antivirus. El método más utilizado para propagar esta infección suele ser a través de páginas de Internet no my fiables, incluso aprovechándose, como venimos viendo estos días, de distintas catástrofes ocurridas en el mundo.

Bien, pues además de utilizar estos métodos para propagarse por Internet, estamos comprobando que durante estos días se está propagando mediante correos no deseados. Principalmente son correos electrónicos en inglés, en los cuales se informa sobre distintos envíos fallidos de mensajería, utilizando el nombre de DHL, UPS o incluso el envío de supuestas cartas de familiares.

Aunque el nombre de los archivos adjuntos no coincida, todos ellos son infecciones del tipo Rogue Antivirus, en este caso llamado XP Antispyware 2010.

Una vez ejecutado el archivo adjunto, nos aparece una ventana haciéndose pasar por el Centro de Seguridad de Windows con la siguiente información:

Además de ello se activan una serie de ventanas realizando un falso análisis del sistema y mostrando como resultado de esos análisis multitud de infecciones inexistentes:

También aparece un proceso llamado Av.exe, que es el que produce que se ejecute el falso antivirus.

Cuando pulsamos sobre cualquier botón de la ventana del falso antivirus, se nos indica que debemos comprar el producto para desinfectar el sistema, accediendo a una supuesta página de compra del producto en Internet.

Desde el departamento técnico de Ontinet.com aconsejamos encarecidamente omitir todo mensaje de correo recibido desde cuentas de correo no pertenecientes a nuestra lista de contactos, disponer de un antivirus actualizado para evitar esta infección y en el caso de sospechar de algún archivo recibido a través de Internet o a través de nuestro cliente de correo, le aconsejamos leer el siguiente consejo de seguridad:

Como actuar cuando recibimos un archivo sospechoso

David Sánchez

Terremotos de Japón y Chile usados como gancho para propagar malware

Como ya vimos anteriormente en el terremoto de Haití, los creadores de malware no pierden la oportunidad de aprovechar las tragedias ocasionadas por los desastres naturales. Así pues, tras lo terremotos de esta noche en las islas Ryukyu en Japón y en el suroeste de Chile, ya hemos empezado a detectar los primeros enlaces que, prometiendo información y videos al respecto, redirigen al usuario a la descarga de malware y falsos antivirus. Veamos a continuación un ejemplo como aparecen varios resultados al buscar información sobre estos terremotos:

En alguno de estos resultados que aparecen entre los 10 primeros al buscar en Google, se nos redirige a un enlace preparado para ejecutar un falso antivirus, mostrando, en primer lugar un aviso como este:

Tanto si pulsamos sobre el botón Aceptar como si intentamos cerrar la ventana, se abrirá de nuevo nuestro navegador y nos mostrará un supuesto análisis de nuestro sistema.

Como en ocasiones anteriores, este análisis es completamente falso y tan solo está compuesto por una serie de imágenes estáticas y animadas. Nótese también como esta pantalla mostrará por defecto información falsa de nuestro sistema, independientemente de que estemos trabajando en otra versión de Windows o en GNU/Linux o Mac OS/X. Una vez finalizado este falso análisis se nos muestra otra pantalla alertandonos de infecciones en nuestro sistema y una serie de opciones donde elegir.

Da igual donde pulsemos porque todas las opciones nos llevarán a la descarga de un fichero ejecutable que contiene el falso antivirus.

Si instalamos esta aplicación, no pararán de aparecer multitud de ventanas de alerta avisándonos de falsas infecciones e instándonos a comprar la versión comercial de este programa para, supuestamente, eliminarlas.

Una vez mas observamos como los creadores de este tipo de códigos maliciosos se aprovechan de cualquier noticia que despierte la curiosidad de los usuarios y traten de obtener mas información. Aun en sucesos tan trágicos como estos, los ciberdelincuentes no cesan en su empeño de hacer negocio a costa de las tragedias humanas.

Josep Albors

Guías para la correcta configuración de las redes sociales

Desde el Blog de Ontinet.com venimos haciendo hincapié en el uso fraudulento de este tipo de redes utilizadas por los creadores de malware para engañar, infectar a los usuarios o, incluso, para la utilización de métodos de phishing para intentar robar datos.

Además de ello uno de los temas que más preocupa a los usuarios es la protección de su privacidad, ya que dentro de estas redes sociales podemos incorporar información de carácter personal que puede estar al alcance de cualquier usuario de estas redes, o incluso puede ser mostrada realizando una búsqueda simple a través de algún buscador de Internet.

Es por ello, que el Instituto Nacional de Tecnologías de la Comunicación (INTECO) ha publicado una serie de guías en castellano para el correcto uso y configuración de las distintas redes sociales existentes en Internet.

Fundamentalmente los aspectos que se indican, que pueden afectar a la seguridad y privacidad de nuestros datos, son los siguientes:

1. Alta como usuario.
2. Participación en la red social.
3. Baja del servicio.

Desde el departamento técnico de Ontinet.com aconsejamos a nuestros usuarios utilizar estas guías para aumentar su seguridad y la privacidad de sus datos a la hora de utilizar las Redes sociales. Pueden encontrar todas las guías en el siguiente enlace:

http://www.inteco.es/Seguridad/Observatorio/manuales_es/guia_ayuda_redes_sociales

David Sánchez

Como protegernos de los peligros de Internet

A todos aquellos que nos dedicamos o nos gusta la seguridad informática nos interesa compartir conocimientos con otros profesionales o exponer nuestras conclusiones y consejos a los usuarios. Algunos crean paginas webs dedicadas ampliamente a este tema, también se crean blogs como el que están leyendo ahora y se escriben artículos y libros.

Recientemente, tuve la suerte de coincidir en una charla con Gonzalo Alvarez Marañón, Ingeniero Superior de Telecomunicación, Doctor en Informática y que trabaja como científico titular en el CSIC. Su ponencia cautivó a todos los asistentes por la forma de exponerla, de forma clara y sencilla. No en vano és el autor del blog El arte de presentar, donde se dan consejos y recomendaciones para todos aquellos que deseamos realizar presentaciones que aporten algo pero sin aburrir a la audiencia.

Asimismo, Gonzalo también ha escrito un libro que tíene mucho que ver con la seguridad informática y como protegernos de las amenazas presentes en Internet. Este libro, con título “Como protegernos de los peligros en Internet” desglosa, en varios capítulos, cuales son las principales amenazas a las que nos enfrentamos y nos indica como protegernos de las mismas de forma fácil y sencilla. El lenguaje usado resulta perfectamente comprensible para los usuarios noveles, aunque aquellos mas técnicos también encontrarán información muy interesante. Además se incluye un glosario de términos usados en el libro y que podremos consultar para aclarar nuestras dudas, así como también un apartado de recursos que se pueden obtener de forma gratuita y que nos ayudarán a proteger nuestro sistema.

La distribución del libro nos informa primero con una visión general de las amenazas para después, capítulo a capítulo repasar las medidas de seguridad que podemos ir implementando, pasando desde las más elementales (antivirus, cortafuegos, actualizaciones) a las mas avanzadas (cifrado, configuración de redes wi-fi, etc.). Lo mas importante de todo es que demuestra que con poco esfuerzo se puede incrementar notablemente la seguridad de nuestros sistemas.

En resumen, es una lectura muy recomendada para todos aquellos que deseen saber mas de las amenazas que nos afectan actualmente y sobretodo, desean aprender como protegerse de ellas. Todos aquellos interesados en saber mas acerca del mismo o deseen adquirirlo, encontrarán mas información en el siguiente enlace:

http://www.protegernoseninternet.com/

Josep Albors

Alarma social causada por un ciberataque

Varios son los medios de comunicación que se han hecho eco de un supuesto ciberataque a mas de 75.000 ordenadores en todo el mundo y que podría haber afectado a mas de 2500 empresas y administraciones. Algunos de estos medios han bautizado este ataque como Kneber Botnet aunque esta amenaza ya tenía otro nombre desde bastante antes.

Lo que ha causado tanta alarma (no muy justificada) no es sino otra botnet (relativamente pequeña, por cierto) formada por sistemas infectados por Zeus, una de las redes zombies mas popular en los últimos años. Este tipo de botnet, llegó a tener mas de 2 millones de usuarios en sus días de máximo apogeo, pero los esfuerzos de las autoridades consiguieron desactivarla en parte. En la actualidad, los controladores de este tipo de redes prefieren controlar una cantidad inferior de ordenadores zombies para pasar mas desapercibidos.

La creación y gestión de una botnet es más sencilla de lo que la mayoría de la gente piensa. No se requieren grandes conocimientos de informática y solo con tener el dinero necesario y saber donde buscar, se puede conseguir un pack con exploits y malware que se aprovechen de vulnerabilidades en sistema operativo y aplicaciones. Una vez conseguida esta herramienta se empieza a propagar el malware usando medios como el email o enlaces en webs maliciosas y, conforme los usuarios se van infectando, el controlador de la botnet (botmaster) puede gestionar todas las máquinas bajo su control mediante una interfaz conocida como C&C.

Una vez el botmaster posee una cantidad considerable de máquinas bajo su control, puede empezar a ordenarles una serie de tareas, dependiendo de sus objetivos. Puede lanzar ataques de denegación de servicio contra máquinas críticas como servidores web, alquilar esa red para el envío masivo de spam o seguir propagando malware. Estas actividades suelen reportar grandes beneficios a cambio de una escasa inversión inicial y pocos conocimientos técnicos por lo que son muchos los ciberdelincuentes que se dedican a estos menesteres.

Obviamente, para que un ordenador forme parte de una botnet primero ha de infectarse y es ahí donde entran las medidas de seguridad y el sentido común del usuario para evitar que esta infección se produzca. Puesto que una buena parte del malware actual está orientado a que nuestro sistema entre a formar parte de este tipo de redes zombies, resulta indispensable tomar conciencia de ello y protegernos adecuadamente.

Josep Albors

Nuevas vulnerabilidades afectan a Firefox

El navegador Mozilla Firefox ha recibido una serie de actualizaciones para diferentes versiones del mismo que corrigen una serie de vulnerabilidades. Se recomienda actualizar a las versiones mas recientes (3.5.8 y 3.0.18) ya que, en caso contrario, existe la posibilidad de que se ejecute JavaScript en paginas web especialmente modificadas, permitiendo así la ejecución de código arbitrario.

Desde la web del Inteco CERT se ofrece mas información al respecto de estas vulnerabilidades y los enlaces de descarga de las versiones que corrigen estos fallos.

No obstante, en el día de hoy también se ha informado de la existencia de un exploit 0day para la versión 3.6, que se aprovecha de una vulnerabilidad aun sin especificar en el navegador y que podría ser usada para ejecutar código sin firmar. Este exploit se encuentra en la última versión de la herramienta de evaluación de vulnerabilidades VulnDisco. Este tipo de herramientas son usadas en auditorías de seguridad en empresas y ofrecen información muy valiosa a los administradores, ya que permiten detectar fallos de seguridad con el fin de solucionarlos y evitar males mayores.

Desconocemos si la fundación Mozilla ya se encuentra elaborando un parche que solucione esta vulnerabilidad, o si el exploit esta siendo usado de forma maliciosa, por lo que recomendamos cautela a los usuarios de este navegador. Si desean gestionar mejor la seguridad del mismo, recomendamos instalar complementos como NoScript, que les permitirán autorizar o denegar la ejecución de código al visitar enlaces sospechosos.

Josep Albors

Falso correo sobre Conficker propaga malware

Resulta curioso observar como los creadores de malware utilizan la ingeniería social para engañar a los usuarios y propagar sus creaciones. Muchas veces, las técnicas usadas parecen burdas y poco elaboradas, fácilmente evitables por los usuarios con un mínimo de conocimientos en seguridad informática, mientras que otras veces se trata de ataques perfectamente preparados y que engañarían incluso a usuarios altamente cualificados.

El envío de códigos maliciosos mediante ficheros adjuntos en el correo electrónico es una táctica vieja y que, normalmente, no suele dar mucho resultado, sobretodo en entornos corporativos donde las defensas perimetrales ya se encargan de que este tipo de correos no lleguen al usuario. No obstante, si se elabora un correo con algún tema de interés para el usuario puede que el ataque tenga un poco más de éxito. Es el caso del siguiente correo:

El correo, supuestamente enviado desde Microsoft, alerta de la amenaza que supone el gusano Conficker y de cómo esté ha sido detectado en nuestra red. Seguidamente nos invita a ejecutar el archivo adjunto para solucionar la incidencia. Obviamente, el fichero adjunto contiene un código malicioso que infectará el sistema del usuario si se ejecuta.

Lo realmente curioso de este correo es que no es el único que intenta propagarse afirmando resolver problemas de seguridad en nuestro sistema. Recientemente, otro correo similar fue propagado usando como señuelo una advertencia sobre ataques de la botnet Zeus, tal y como informan desde Segu-Info.

La utilización de supuestos parches de seguridad como engaño no es novedad. Ya hace años que los creadores de malware se dieron cuenta de que los usuarios empezaron a preocuparse sobre mantener seguros sus sistemas (lo cual es, esencialmente, bueno) y comenzaron a aparecer los primeros rogue o falsos antivirus, convirtiéndose en la plaga que son hoy en día. Este tipo de correos  son una ramificación más del malware propagado (paradójicamente) como solución de seguridad, antivirus o parche para el sistema y aplicaciones del mismo.

Por tanto, si nos preocupa la seguridad de nuestro sistema lo que debemos hacer es desconfiar de este tipo de comunicaciones y acudir siempre a paginas oficiales si queremos descargar cualquier tipo de parche, actualización o programa de seguridad. Nunca seguir un enlace mostrado en un correo, web de dudosa procedencia o abrir un fichero adjunto.

Josep Albors

Los JJ.OO. de invierno aprovechados para propagar malware

Como viene siendo habitual, todo evento o suceso susceptible de generar interés en la gente, es una excusa perfecta para que los creadores de malware distribuyan sus creaciones. Lo hemos comprobado desde hace unas semanas con motivo de la celebración del día de San Valentín y, ahora que ya ha pasado el 14 de febrero, las creaciones de los ciber-delincuentes se centran en eventos de actualidad como los juegos olímpicos de invierno que se están celebrando en Vancouver estos días.

Según informa Jorge Mieres en su blog, se han detectado dominios que simulan ser el oficial de las olimpiadas para propagar códigos maliciosos. Cuando el usuario accede a uno de estos sitios falsos e intenta visualizar alguno de los videos que se ofrecen, aparece un aviso indicando que es necesaria la instalación del plugin del Flash Player:

Obviamente, lo que realmente se descarga es un archivo que, si el usuario decide ejecutar, infectará su sistema.

Aunque este ataque en concreto se ha basado en el typosquating (sustitución de letras de dominios reales por otras que sean confundidas frecuentemente), alojándose en el dominio http://vaucuver2010.com (siendo http://vancouver2010.com el original), es mas que probable que veamos mas sitios webs en los próximos días que usen técnicas mas complejas o que incluso, algún sitio web legítimo que cubra las noticias que genera este evento, sea atacado y usado para propagar este tipo de malware a sus usuarios.

La solicitud de descarga de falsos codecs de video ya hace tiempo que se usa como método de propagación de amenazas, siendo realmente efectivo si se combina con una ingeniería social elaborada y sitios webs bien diseñados. Es por ello que los usuarios deben aprender a desconfiar de cualquier página web que les solicite la instalación de estos plugins y aprender a instalarlos desde las webs oficiales.

Josep Albors

Actualización crítica para Adobe Flash Player

Siguiendo con las actualizaciones realizadas durante las últimas semanas, Adobe anunció hace unos días la existencia de dos vulnerabilidades en sus productos Flash y AIR. La mas crítica de ellas permitiría a un atacante alterar la forma en la que se comporta la “sandbox” de manera que se podrían producir peticiones de sitios cruzados.

Desde Adobe, se ha recomendado a todos los usuarios de Adobe Flash Player 10.0.42.34 y anteriores que actualicen a la versión mas reciente (10.0.45.2). Asimismo, también se recomienda actualizar las versiones anteriores de Adobe AIR a la mas reciente (1.5.3.9130).

Estas versiones actualizadas y con las vulnerabilidades corregidas pueden descargarse desde la web de Adobe que además informa acerca de las mismas.

Las vulnerabilidades en productos de esta empresa ya son una constante desde hace meses, y suponen uno de los principales vectores de infección multiplataforma, puesto que existen versiones para Windows, GNU/Linux y Mac OS/X. Es por ello indispensable contar con un antivirus que detecte los exploits que se aprovechen de estas vulnerabilidades, independientemente de la plataforma usada. Asimismo, la actualización de las aplicaciones instaladas en un sistema debe tener la misma prioridad que la actualización del sistema en sí.

Josep Albors

Artículos Anteriores »