• Buscar

• Síguenos en Twitter

• Categorías

  • actualizaciones (24)
  • adware (3)
  • Anuncios (13)
  • Botnets (12)
  • Clickjacking (2)
  • Curiosidades (21)
  • Defacement (2)
  • Educación (50)
  • Estadísticas (3)
  • Eventos (11)
  • exploit (31)
  • General (18)
  • Hacking (23)
  • Herramientas (12)
  • Heurística (5)
  • Hoax (2)
  • Informes (6)
  • Ingenieria social (49)
  • Malware (147)
  • Phishing (31)
  • Piratería (4)
  • Productos (27)
  • redes sociales (26)
  • rogue (13)
  • Scam (1)
  • scareware (2)
  • seguridad (19)
  • Spam (63)
  • telefonía (2)
  • Tutoriales (18)
  • Vulnerabilidades (113)

• Archivos

  • Julio 2010 (36)
  • Junio 2010 (43)
  • Mayo 2010 (27)
  • Abril 2010 (26)
  • Marzo 2010 (14)
  • Febrero 2010 (16)
  • Enero 2010 (14)
  • Diciembre 2009 (7)
  • Noviembre 2009 (5)
  • Octubre 2009 (3)
  • Septiembre 2009 (3)
  • Agosto 2009 (8)
  • Julio 2009 (6)
  • Junio 2009 (2)
  • Mayo 2009 (4)
  • Abril 2009 (6)
  • Marzo 2009 (6)
  • Febrero 2009 (3)
  • Enero 2009 (3)
  • Diciembre 2008 (5)
  • Noviembre 2008 (5)
  • Octubre 2008 (10)
  • Septiembre 2008 (9)
  • Agosto 2008 (7)
  • Julio 2008 (8)
  • Junio 2008 (10)
  • Mayo 2008 (13)
  • Abril 2008 (12)
  • Marzo 2008 (7)
  • Febrero 2008 (5)
  • Enero 2008 (2)
  • Diciembre 2007 (7)
  • Noviembre 2007 (6)
  • Octubre 2007 (7)
  • Septiembre 2007 (9)
  • Agosto 2007 (3)
RSS Artículos | RSS Comentarios

Lapsec (beta), herramienta gratuita de seguridad de Hispasec

Nuestros compañeros de Hispasec, no contentos con ofrecer servicios impagables como son Virustotal o Una al día, siguen desarrollando herramientas que ayudan a mejorar la seguridad de los usuarios. LapSec es el nombre de una herramienta que actualmente se encuentra en fase beta y cuya finalidad es ayudar a securizar equipos portátiles con sistemas Windows instalados.

Con LapSec se consigue automatizar tan solo pulsando un botón una serie de cambios en el sistema operativo Windows que proporcionan una mayor seguridad a los usuarios. Su finalidad no es blindar completamente un portátil pero si hacerlo más seguro que al sacarlo de su embalaje e iniciarlo por primera vez.

Como bien indican desde Hispasec, existen más medidas que pueden tomarse para securizar aun mas un ordenador portátil o sistemas Windows en general pero no han sido incorporadas al programa por salirse del objetivo del mismo que no es otro que proporcionar funcionalidades de seguridad en entornos Windows adaptadas a equipos portátiles.

En el blog de Hispasec se pude encontrar una lista de funcionalidades de esta utilidad junto con una descripción más profunda de la misma. Desde el laboratorio de ESET en Ontinet.com consideramos que esta aplicación puede ser de mucha utilidad para aquellos usuarios de sistemas Windows en equipos portátiles que, además de contar con una solución antivirus deseen tener sus equipos configurados de forma segura.

Josep Albors

Incidencias en Facebook

La red social más grande del mundo es una fuente casi inagotable de noticias, no solo porque haya alcanzado la cifra de 500 millones de usuarios, ni porque haya una película en ciernes que la tome como base para realizar el guión. Es noticia también por los continuos incidentes de seguridad y privacidad de sus usuarios que salen a la luz de forma habitual. Los dos más recientes son la filtración de datos personales de más de 100 millones de usuarios y la sustitución de palabras clave por otras más indecorosas en la versión en Español de Facebook. Tal y como comenta nuestro compañero Sebastián BortniK de ESET-LA en su post hablando de esta noticia, muchos medios de comunicación se han hecho eco de estas incidencia pero usando términos imprecisos o “hackarillistas”

La filtración de los datos personales de más de 100 millones de usuarios únicos no se produjo por ningún hacker experimentado que accediera ilegalmente a los servidores de Facebook para robar la información. La realidad fue mucho más simple, siendo Ron Bowes (investigador de la empresa Skull Security) el artífice de esta hazaña, con la única ayuda de una aplicación que rastreó todos los perfiles con información pública en Facebook y los recopiló en un archivo. Posteriormente, este investigador puso a disposición de quien quisiera descargarlo un archivo torrent de 2.79 GB con toda la información recopilada. Ni siquiera hizo algo mínimamente ilegal. Tan solo automatizó un proceso que cualquiera puede realizar visitando el perfil de los usuarios. Así pues, si hay algún responsable de que estos datos hayan sido expuestos a miradas indiscretas no es este investigador, ni siquiera Facebook, si no los propios usuarios al poner a disposición de todo aquel que lo desee información privada que debería haberse ocultado usando la configuración de privacidad de la red social o, simplemente, no poniéndola.

El otro incidente afectó a las palabras usadas en la versión en español que por defecto establece Facebook para definir un estado como “Me gusta” o “Hoy es el cumpleaños de”. Muchas de estas palabras y frases fueron sustituidas por otras menos apropiadas o en idioma turco, lo que puede ser una señal de la procedencia de los usuarios que protagonizaron este incidente. Esta suplantación de palabras tampoco se realizó atacando a ningún servidor de Facebook utilizando técnicas de “hacking”. Tan solo se utilizó la característica según la cual se cambia la traducción usada por otra si esta es sugerida por una cierta cantidad de personas. Así pues, tan solo fue necesario que cierta cantidad de usuarios se pusiera de acuerdo para proponer la misma traducción y Facebook la cambiaba de forma automática.

En resumen, dos incidentes en Facebook con una repercusión mediática bastante elevada pero que nada tienen que ver con ataques que usan técnicas de penetración ilegales o códigos maliciosos. Tan solo la recopilación automatizada de información pública y el aprovechamiento de una característica automatizada de la red social.

Desde el laboratorio de ESET en Ontinet.com recomendamos a los usuarios de Facebook que, antes de publicar información sensible en su perfil, piensen primero si realmente es necesario y si tienen los ajustes de privacidad correctamente establecidos.

Josep Albors

Troyano brasileño con vector de ataque mejorado

Las técnicas usadas por muchos creadores de malware latinoamericanos (y especialmente los brasileños) para lograr infectar a los usuarios, se han basado tradicionalmente en la ingeniería social y no ha sufrido grandes cambios en los últimos años. Lo habitual es que se incluya un archivo adjunto o un enlace a una dirección web maliciosa concreta donde se encuentra el código malicioso y, en la mayoría de ocasiones, este malware es un troyano bancario.

No obstante, en las últimas semanas hemos visto como se ha ido evolucionando de un simple correo con adjunto o enlace a algo más elaborado. En este mismo blog hemos comentado algunos casos de la evolución de los métodos de propagación de este tipo de malware y en los últimos días, hemos analizado otra más.

En esta ocasión nos encontramos con un correo de una supuesta empresa de transportes que solicita que rellenemos un formulario.

Aparentemente, no se observa ninguna novedad con respecto a otros casos similares. Si pulsamos sobre el enlace para descargar el archivo .pdf se nos mostrará una ventana de descarga indicando que vamos a proceder a descargar el fichero Arquivo_DSCF3197.cpl.

Aquí observamos una diferencia con respecto a los casos de infección clásicos de este tipo de troyanos. Normalmente se procede a descargar un archivo ejecutable .exe o un documento .pdf modificado para aprovechar alguna vulnerabilidad. No obstante, en esta ocasión se usa un archivo .cpl, utilizados por Windows para representar las herramientas del panel de control.

Asimismo, la dirección web que se usa para realizar la descarga pertenece a un club de artes marciales brasileño que nada tiene que ver con la propagación de esta amenaza. Recientemente hemos visto muchas páginas webs legitimas usadas para propagar malware por lo que debemos extremar las precauciones. Está también es una novedad en este tipo de ataques ya que lo normal era preparar una dirección web concreta y no utilizar una web legítima.

La utilización de los archivos con extensión .cpl para propagar malware no es habitual y puede que esta sea una de las causa por las que, en el momento de escribir este artículo, aun pocos motores antivirus detectaban esta amenaza. Tanto ESET NOD32 Antivirus como ESET Smart Security detectan este código malicioso como el troyano Win32/TrojanDownloader.Banload.PNO.

Cabe recordar que este tipo de amenazas sigue dependiendo en gran medida de las técnicas de ingeniería social para poder propagarse. Es por eso que, desde el laboratorio de ESET en Ontinet.com recomendamos extremar las precauciones a la hora de abrir correos no solicitados y contar con la protección de un antivirus actualizado capaz de detectar este tipo de amenazas.

Josep Albors

Vulnerabilidad LNK es aprovechada por más familias de malware

En anteriores entradas hablando de la vulnerabilidad CVE-2010-2568, los investigadores de ESET ya comentaban como el malware tradicional no tardaría en aprovechar este nuevo vector de infección para propagarse. Pierre-Marc Bureau avisó la semana pasada de dos nuevas familias de malware que ya estaban aprovechándose de esta vulnerabilidad y estos últimos días hemos visto como otras familias se han adaptado para aprovecharla.

Nuestro compañero Jorge Mieres de ESET Latinomérica nos explica como uno de los packs de crimeware, conocido como Zombie Explotation Pack, ya ha incluido esta vulnerabilidad como vector de ataque del malware usado para infectar sistemas e incluirlos en las redes botnets creadas con este kit.

Asimismo, el código malicioso polimórfico de nombre Sality, conocido por modificar su código frecuentemente para evitar su detección, también se aprovecha de esta vulnerabilidad, usando páginas webs especialmente modificadas para esparcirse. Esta variante crea una serie de accesos directos .lnk y utiliza nombres típicos de carpetas del sistema o sugerentes.

Los investigadores de F-Secure también han descubierto como una nueva variante de Zeus (una de las botnets mas populares) también ha empezado a adaptar su código para incluir esta grave vulnerabilidad. Actualmente, se está usando un falso correo electrónico que dice venir del departamento de seguridad de Microsoft para infectar a los usuarios. Aunque esta variante es relativamente nueva, el exploit usado es conocido por muchas casas antivirus y permite su fácil detección. Asimismo, el hecho de que el usuario tenga que abrir el archivo adjunto e incluir un archivo de forma manual en una ubicación concreta del sistema hace que pierda efectividad.

Como hemos comentado en posts anteriores en los que tratábamos este tema, estamos en las primeras etapas de un vector de ataque que puede seguir usándose durante mucho tiempo, como lo fueron y siguen siendo las infecciones que usan la característica Autorun. Aunque Microsoft lance pronto un parche para solucionarlo, es más que probable que muchos usuarios no lo instalen hasta dentro de bastante tiempo y veamos cómo esta vulnerabilidad es aprovechada durante muchos meses, tal y como sucedió con Conficker.

Desde el laboratorio de ESET en Ontinet.com seguimos recomendando la descarga e instalación de un antivirus con capacidad de detección de amenazas que aprovechen esta vulnerabilidad como medida de protección básica.

Josep Albors

Descubierta una vulnerabilidad crítica en Quicktime

Krystian Kloskowski, a través de Secunia.com, nos informa de una vulnerabilidad crítica que afecta al software de Apple para la reproducción de vídeo y música llamado Quicktime. Esta vulnerabilidad se ha detectado en la versión 7.6.6 para Windows, aunque no se descarta que en otras versiones también pueda ocurrir.

La vulnerabilidad es debida a un error de límites en un componente llamado QuickTimeStreaming.qtx. Este error se produce en la construcción de una cadena, mientras se escribe un archivo en el registro. Esto podría ser aprovechado para provocar un desbordamiento de Búfer o incluso ejecutar código arbitrario a través de una página web expresamente modificada para ello.

Desde el departamento técnico de ESET en Ontinet.com, aconsejamos a los usuarios no abrir archivos multimedia de páginas no fiables, o mientras Apple implemente una actualización que arregle dicha vulnerabilidad, utilizar otras aplicaciones de reproducción de archivos multimedia.

David Sánchez

Descubierta vulnerabilidad en aplicación para acceder a CitiBank a través de móvil

Hemos conocido a través de SecurityTracker una vulnerabilidad en la aplicación para móvil llamada Citi Mobile. Esta aplicación sirve para que los usuarios de Citibank, primer banco nacional en los Estados Unidos, realicen operaciones bancarias por medio de distintos dispositivos móviles.

Dicha vulnerabilidad permite a un usuario local del dispositivo obtener datos sensibles de la cuenta. Esto es debido a que la aplicación Citi Mobile almacena información crítica, como números de cuenta, pagos de facturas y códigos de acceso de seguridad, en un archivo oculto dentro del dispositivo, con lo que cualquier usuario local podría acceder a esta información.

Además se ha descubierto que si el dispositivo realiza copias de seguridad a través del iTunes, un usuario local en el sistema donde se ha realizado la copia en el iTunes también podría acceder a dicha información.

Desde el departamento técnico de ESET en Ontient.com, aconsejamos a los usuarios de esta aplicación actualizar a la versión 2.0.3 que ya repara esta vulnerabilidad. Los usuarios de iTunes pueden acceder directamente a esta nueva versión desde el siguiente enlace: http://itunes.apple.com/us/app/citi-mobile-sm/id301724680?mt=8.

David Sánchez

Resumen de vulnerabilidades en navegadores

Esta semana pasada ha sido especialmente interesante en lo que respecta a la seguridad en navegadores web. Tanto Firefox como Safari se han visto envueltos en problemas de seguridad que exponían a los usuarios a riesgos potenciales.

A mediados de la semana pasada, Mozilla lanzó una nueva versión de su navegador Firefox (3.6.7) que incluía 14 actualizaciones de seguridad, muchas de ellas catalogadas como críticas. Apenas dos días después, Mozilla se vio obligada a lanzar una nueva versión (3.6.8) para corregir un problema de estabilidad que hacía que el navegador se colgase al visitar ciertas webs que hacían uso de algunos complementos que pueden instalarse en el navegador. Además de corregir este fallo, se aprovechó para corregir otros errores que se arrastraban desde versiones anteriores. Mozilla recomienda descargar la última versión de Firefox desde los enlaces preparados a tal efecto.

Asimismo, ha sido descubierta una vulnerabilidad en el navegador Safari que permitiría obtener datos confidenciales de un usuario usando la función de autocompletar en una web especialmente diseñada. Esta información se podría obtener desde la libreta de direcciones de los sistemas Mac OS y que se encuentra vinculada al navegador. El investigador Jeremiah Grossman ha realizado un excelente análisis de esta vulnerabilidad en su blog donde explica (con vídeo incluido) como una página web modificada para aprovechar este fallo de seguridad puede obtener datos sensibles del usuario.

Al parecer, este investigador ya informó de este fallo a Apple en junio pero, a falta de una respuesta satisfactoria, decidió hacer pública toda la información de la que disponía para que se tomara consciencia de la gravedad del problema. Tras la publicación de esta información, Apple ha confirmado que están al tanto del problema y ya se encuentran trabajando en una solución.

Que los navegadores de Internet sean noticia cada vez de forma más asidua demuestra que el vector de ataque principal se encuentra en Internet. Al ser los navegadores una herramienta necesaria para poder usar la red de redes, es normal que los creadores de malware centren sus miradas en ellos para poder aprovechar cualquier fallo que encuentren y puedan infectar al mayor número de usuarios posible, independientemente del navegador que usen. Desde el laboratorio de ESET en Ontinet.com, recomendamos mantenerse informado acerca de cualquier actualización de seguridad de nuestro navegador para así instalarla tan pronto como sea posible.

Josep Albors

Falso correo de Imageshack usado para propagar malware

La suplantación de empresas o individuos es una práctica habitual usada por los creadores de malware para engañar a los usuarios y conseguir que ejecuten sus creaciones o accedan a enlaces preparados para descargar malware. En este blog ya hemos informado sobre estrategias de engaño que han usado el nombre de empresas como Microsoft, Amazon, entidades bancarias varias, etc.

En esta ocasión se ha suplantado la identidad de Imageshack, empresa legítima bastante usada para el almacenamiento de imágenes en sus servidores. Como si de un correo de esta empresa se tratase, recibimos en nuestro buzón un mensaje similar a este:

En el correo se nos indica que hemos conseguido registrar una cuenta en Imageshack y se nos proporcionan los datos de acceso y un enlace para acceder a la misma. Si pulsamos sobre el enlace veremos cómo accedemos a una web donde se nos intentará mostrar un supuesto vídeo y solicitará la descarga de un archivo ejecutable (adobe_flash_install.exe) camuflado de codec flash.

Si contamos con un antivirus capaz de detectar esta amenaza, la bloqueará y eliminará, evitando que ejecutemos el archivo e infectemos nuestro sistema. Los productos de seguridad de ESET detectan esta amenaza como un troyano Win32/Spy.Zbot.YW, malware con funciones de software espía que se encarga de recolectar información cuando el usuario navega por determinados sitios webs.

Este tipo de amenazas suelen ser bastante frecuentes y se aprovechan de la confianza del usuario en el remitente del mensaje para poder propagarse con más facilidad. Desde el laboratorio de ESET en Ontinet.com aconsejamos desconfiar de este tipo de mensajes aunque el remitente nos inspire confianza, así como descargar e instalar un antivirus que permita detectar las amenazas que se esconden tras los enlaces maliciosos.

Josep Albors.

Más información acerca de la vulnerabilidad CVE-2010-2568

Según pasan los días vamos conociendo nuevos detalles sobre la grave vulnerabilidad CVE-2010-2568 que afecta a los sistemas Windows y que permite la ejecución de código a través de archivos .LNK (accesos directos) maliciosos. Pierre-Marc Bureau, uno de los investigadores más destacables de ESET, informa acerca del descubrimiento de dos nuevas familias de malware que explotan esta vulnerabilidad.

Por una parte tenemos a una nueva familia de malware identificada como Win32/Trojan.Downloader.Chymine.A. Este malware instala un keylogger (registro de las pulsaciones en un teclado) detectado como un troyano de nombre Win32/Spy.Agent.NSO. Según los estudios realizados por los investigadores de ESET, el servidor usado para albergar y servir estos componentes se encuentra ubicado en los Estados Unidos pero la IP está asignada a un usuario de China.

La otra amenaza detectada que utiliza esta grave vulnerabilidad es una vieja conocida como Win32/Autorun.VB.RP, que ha sido actualizada para incluir el exploit como nuevo vector de propagación. Al parecer, esta actualización de la amenaza ya existente, descarga e instala componentes adicionales en máquinas ya infectadas.

Estos casos responden a la evolución típica del malware, que evoluciona para aprovechar las vulnerabilidades que vayan apareciendo para, de esta forma, aumentar sus vectores de ataque. Sabiendo que aun no existe parche que solucione esta vulnerabilidad y basándonos en experiencias pasadas, es más que probable que en las próximas semanas e incluso meses veamos más casos de malware “tradicional” que es modificado para aprovechar al máximo este agujero de seguridad.

Tras analizar estas dos nuevas familias de malware, los investigadores de ESET han comprobado que se trata de ejemplares menos sofisticados que el malware Win32/Stuxnet detectado originalmente. Cabe destacar que, mientras Win32/Trojan.Downloader.Chymine.A no genera archivos .LNK maliciosos ni se propaga de forma automática, la nueva versión de Win32/Autorun.VB.RP sí que genera archivos .LNK que explotan la vulnerabilidad existente para facilitar su propagación.

Así las cosas y viendo que estamos tan solo en el principio de lo que parece ser un nuevo vector de ataque que va a ser usado masivamente de forma inminente, desde el laboratorio de ESET en Ontinet.com recomendamos seguir atentos a las noticias publicadas por Microsoft acerca de esta vulnerabilidad para, de esta forma, instalar el parche de seguridad tan pronto como este se encuentre disponible. Asimismo la aplicación de medidas paliativas como el Fix it publicado recientemente y la instalación de un antivirus capaz de detectar las amenazas que se aprovechan de esta vulnerabilidad son medidas básicas de protección para tener nuestros sistemas protegidos.

Josep Albors

Las conexiones WI-FI WPA2 pueden no ser seguras

WPA2, basada en el nuevo estándar 802.11, era el protocolo de seguridad más sólido que se podía usar hasta ahora. Se utiliza para proteger las redes inalámbricas (Wi-Fi). Fue creado en su día para corregir las vulnerabilidades detectadas en la versión anterior, llamada WPA .

Según las investigaciones realizadas por Airtightnetworks, han descubierto una vulnerabilidad en este sistema de protección, a la que han llamado “Hole 196”, por la cual deja expuesta la seguridad de la red Wi-Fi a personas con propósitos maliciosos conectadas ya a la propia red.

El atacante, estando ya conectado a la red, puede enviar falsos paquetes cifrados, engañando al resto de usuarios para que redirijan sus paquetes al propio atacante. Con ello el atacante puede rastrear y descifrar los datos de otros usuarios autorizados, así como escanear sus dispositivos Wi-Fi en busca de vulnerabilidades, instalar malware o incluso para comprometer los dispositivos Wi-Fi.

Se realizará una presentación Webinar el día 4 de Agosto a las 11am, hora del Pacífico, para proporcionar más detalles acerca de esta vulnerabilidad. Para registrarse pueden hacer clic en el siguiente enlace: https://admin.acrobat.com/_a1013426351/e86663687/event/registration.html

Desde el departamento técnico de ESET en Ontient.com seguiremos informando de cualquier novedad al respecto. También recomendamos a los usuarios que sean cautos este verano al conectarse a redes WiFi públicas o desprotegidas.

David Sánchez

Artículos Anteriores »