• Busqueda

• Categorias

  • Anuncios (6)
  • Botnets (4)
  • Curiosidades (12)
  • Educación (43)
  • Estadísticas (2)
  • Eventos (8)
  • General (11)
  • Hacking (9)
  • Heurística (5)
  • Informes (4)
  • Ingenieria social (12)
  • Malware (78)
  • Phishing (14)
  • Piratería (1)
  • Productos (13)
  • Spam (32)
  • Tutoriales (17)
  • Vulnerabilidades (43)

• Archivos

  • Julio 2009 (2)
  • Junio 2009 (2)
  • Mayo 2009 (4)
  • Abril 2009 (6)
  • Marzo 2009 (6)
  • Febrero 2009 (3)
  • Enero 2009 (3)
  • Diciembre 2008 (5)
  • Noviembre 2008 (5)
  • Octubre 2008 (10)
  • Septiembre 2008 (9)
  • Agosto 2008 (7)
  • Julio 2008 (8)
  • Junio 2008 (10)
  • Mayo 2008 (13)
  • Abril 2008 (12)
  • Marzo 2008 (7)
  • Febrero 2008 (5)
  • Enero 2008 (2)
  • Diciembre 2007 (7)
  • Noviembre 2007 (6)
  • Octubre 2007 (7)
  • Septiembre 2007 (9)
  • Agosto 2007 (3)

• Enlaces

  • Enciclopedia Virus
  • ESET España
  • Hispasec
  • Virus Radar
RSS Artículos | RSS Comentarios

Malware se aprovecha del fallecimiento de Michael Jackson

Una semana después de la trágica muerte del, considerado por muchos, rey del pop, ríos de tinta se han vertido en los medios de comunicación especulando sobre su misteriosa muerte. Sabiendo de la repercusión a nivel mundial de una noticia de tal magnitud, los creadores de malware no han desaprovechado la oportunidad y, apenas instantes después de conocerse la muerte del cantante, emprendieron una campaña masiva de envío de correos no deseados que pretendían infectar a la mayor cantidad de usuarios posible usando varias técnicas.

En algunos correos se nos adjuntaba un fichero que simulaba ser un documento de Word con las letras de nuevas canciones no publicadas. En realidad se trataba de un fichero ejecutable que usa la técnica de engaño que ya hemos visto en ocasiones anteriores.

Otro ejemplo es el envío de correos que afirman conocer los secretos tras la muerte del artista y ofrecen la descarga de un vídeo mediante un enlace introducido en el correo. Si se observa el enlace veremos que realmente se trata, de nuevo, de un fichero ejecutable que descarga un código malicioso. A continuación un ejemplo de este tipo de correos:

Una variante más elaborada del ejemplo anterior es el envío de enlaces que nos dirigen a un sitio web donde se descarga el malware al pulsar sobre el falso video o bien cuando nos disponemos a descargar un falso códec. Es entonces cuando procederá a descargar el código malicioso tal y como se ve en la imagen a continuación.

No es extraño que veamos en un futuro cercano mas amenazas que intenten aprovecharse de la importancia de esta noticia como puedan ser archivos .mp3 infectados o supuestos recopilatorios de los varios discos del cantante en las redes P2P que contengan códigos maliciosos.

Cuando suceden este tipo de noticias es ya común que se aproveche la repercusión mediática de las mismas para engañar a la gente mediante ingeniería social. Sin ir más lejos, desde ESET estamos atentos a la reactivación de la botnet Waledac con motivos de las celebraciones del día de la independencia en Estados unidos (4 de julio). Esta botnet es conocida por realizar campañas masivas de envío de correos no deseados aprovechando fechas destacadas del calendario como fue, por ejemplo, el día de los enamorados.

Ante este tipo de engaños y amenazas la primera línea de defensa es el sentido común de los usuarios que, por defecto, deben desconfiar, por muy curiosos que puedan estar por conocer más detalles de la noticia.

Josep Albors

España a la cabeza del ranking de ataques maliciosos en Internet.

Recientemente se publicó el informe del Barómetro de Internet de Interoute donde aparecían los países con mayores ataques maliciosos en Internet. En ese Ranking, España aparecía en primer lugar, seguida de Reino Unido y Alemania. Los ataques de denegación de servicio (DDoS) y las redes botnet son las principales amenazas provenientes de Internet que analiza este informe y demuestra que aun nos queda mucho trabajo por hacer para securizar nuestros sistemas.

La aparición de España como primera en este ranking no nos sorprende a los que seguimos de cerca este tipo de noticias ya que, si bien los usuarios españoles hemos mejorado bastante la seguridad de nuestros sistemas en los últimos años, también es cierto que nuestra presencia en la red de redes ha experimentado un crecimiento exponencial (redes sociales, foros, descargas P2P, etc.).

Si analizamos a fondo estas amenazas observaremos que todo empieza por la infección de un sistema vulnerable sin protección antivirus o con esta mal configurada. Una vez el sistema se encuentra infectado, pasará a formar parte de un botnet que empleará los recursos de esa máquina infectada para enviar spam, códigos maliciosos o ataques a máquinas criticas como son los servidores web.

Es por eso que, si deseamos que los ataques provenientes desde Internet no representen la amenaza que son ahora, debemos empezar por las máquinas que usamos los usuarios para que estas no puedan ser empleadas por los creadores de malware con fines maliciosos. Tal y como se ha venido recomendando, mantener el sistema y los programas que usamos actualizados a la vez que contar con una protección antivirus eficaz es el primer paso para hacer que España abandone ese primer puesto del ranking.

Josep Albors

Correos con supestas facturas propagan malware

El uso de los correos electrónico para enviar códigos maliciosos se remonta casi al inicio del uso de Internet por el gran público. En todos estos años hemos visto multitud de variaciones con el fin de conseguir el mayor número de usuarios infectados. No obstante, esta popularidad del correo electrónico como vector de infección también ha hecho que las compañías antivirus lo tengan muy controlado y sean fácilmente detectables en la defensa perimetral instalada en los servidores de correo.

Es por eso que, en los últimos meses, estamos viendo un resurgimiento del envío de código malicioso de forma simple, esto es, con el malware adjunto al mensaje, pero usando técnicas de ingeniería social para hacer que el usuario pique. Así pues, hemos visto correos con supuestos envíos realizados por nosotros mediante compañías de mensajería como SEUR, DHL o Fedex, otros con supuestas fotos de conocidos/as o, facturas no pagadas o, como el que nos ocupa en esta ocasión informes mal redactados.

Es curioso ver como este tipo de amenazas se orientan últimamente a los entornos corporativos por los temas que tratan (facturas o informes). No queremos decir que el usuario corriente esté a salvo de caer en esta treta pero, por su asunto, un empleado de una empresa es más susceptible de abrirlo sin tomar las medidas oportunas.

El malware que se propaga usando esta técnica no tiene nada de nuevo ya que cuando se descomprime se muestra como un documento de Microsoft Word (.doc) aunque realmente sea un ejecutable. Este engaño se consigue asignándole el icono del procesador de textos, añadiéndole la coletilla .doc al nombre del fichero y generando una gran cantidad de espacios en blanco usando la técnica del subrallado para que no se vea la extensión real del fichero. Si tenemos activada la opción de mostrar las extensiones, el archivo se verá de la siguiente manera:

Faktura_es.Doc________________________________________________.exe

Nótese que en este ejemplo se ha sustituido la letra “c” de Factura por la “k” para evitar la detección del adjunto por los filtros antispam que ya estaban prevenidos contra este tipo de ficheros por casos anteriores.

En caso de contar con una solución antivirus que lo detecté, no se nos dejará descomprimir el archivo y en el registro de sucesos podremos observar de que tipo de amenaza se trata.

Aunque últimamente este tipo de vectores de infección no causen grandes problemas a la mayoría de usuarios (mas concienciados en materia de seguridad que hace unos años) no hay que bajar la guardia y desconfiar siempre de este tipo de correos, mas aun sabiendo que usan la ingeniería social para pillarnos desprevenidos y ejecutar algo que, normalmente, no haríamos.

Josep Albors

Sobre las vulnerabilidades 0 day

De nuevo tenemos que hablar de vulnerabilidades que están siendo aprovechadas por atacantes y que no tienen solución por el momento, lo que se conoce como vulnerabilidad 0 day. En este caso la vulnerabilidad se encuentra presente en Direct X (7, 8 y 9) sobre plataformas Windows 2000, XP y 2003.

En este caso, la vulnerabilidad descubierta aprovecha un fallo en el manejo de los archivos Quicktime para ejecutar código malicioso. Mientras no exista un parche, se recomienda manejar con mucha precaución este tipo de ficheros en aquellos sistemas vulnerables.

Aprovechamos la aparición de esta vulnerabilidad para comentar a nuestros lectores un poco sobre las mismas. La propagación de este tipo de vulnerabilidades es práctica habitual en estos días y suele afectar a los programas de uso más común en nuestros sistemas. No hace mucho comentamos en este mismo blog la aparición de una vulnerabilidad de este tipo en la aplicación Power Point de Microsoft Office.

Para los creadores de código malicioso, estos agujeros de seguridad representan una ocasión perfecta para infectar un gran número de máquinas ya que la ventana de tiempo que existe entre el descubrimiento de estas vulnerabilidades y el lanzamiento de un parche que las solucione puede ser de días, semanas e incluso meses. Este periodo de tiempo resulta extremadamente largo si lo comparamos con la velocidad a la que se propaga el malware actualmente. La situación se agrava si la aplicación vulnerable resulta especialmente crítica en el uso cotidiano que damos a nuestro sistema (mención especial merecen los navegadores de Internet). Es por ello que los usuarios debemos extremar nuestras precauciones más de lo habitual ya que, si bien un buen antivirus puede detectar la mayoría de amenazas que intenten aprovecharse de estas vulnerabilidades, no resulta 100% eficaz ante la gran cantidad de códigos maliciosos que se crean cada día.

Es entonces donde debemos aplicar nuestro sentido común y una serie de buenos usos de nuestro sistema para mantener a estas amenazas alejadas del mismo. Tanto si tenemos constancia de que algún programa es vulnerable como si no, es altamente recomendable realizar análisis periódicos con la finalidad de reemplazar versiones obsoletas de nuestras aplicaciones o sistema por las más recientes, ya que estas incorporarán las mejoras en seguridad correspondientes.

Existen multitud de herramientas que nos ayudan en esta tarea y nos facilitan la labor de mantener nuestro sistema y las aplicaciones instaladas en él siempre al día. Secunia Software Inspector o FileHippo son dos ejemplos de las herramientas gratuitas más conocidas y usadas para estos menesteres y que recomendamos desde este blog. Realizar un análisis periódico de nuestro sistema con estas aplicaciones nos ayudará a descubrir posibles fallos de seguridad para que podamos tapar estos puntos débiles.

También observamos como a menudo muchos de los ataques están dirigidos a una aplicación en concreto. En este blog mismo hemos visto como los componentes de la suite ofimática Office ha sufrido ataques constantes, al igual que el navegador Internet Explorer o lectores PDF como Acrobat Reader. Resultaría interesante plantearse si nosotros, como usuarios, podemos cambiar estos programas por otros que cumplan la misma función pero que sean más seguros. Muchas veces esta migración no se realiza por simple desconocimiento o costumbrismo pero deberíamos plantearnos si queremos perder seguridad por no dedicar un poco de tiempo a investigar que otras alternativas de software existen en el mercado (tanto gratuitas como de pago).

Por último, destacar que las vulnerabilidades están a la orden del día en todos los sistemas operativos y no se limitan a Windows. Tan desprotegido se encuentra el administrador de un sistema Windows como el de un GNU/Linux, UNIX o Mac/OS si no sabe actualizar su sistema a tiempo y corregir los agujeros de seguridad de su sistema.

Josep Albors

Spam con imagenes vuelve a la carga

Los spammers nos han sorprendido de nuevo volviendo a utilizar una técnica empleada a finales de 2007, principios de 2008. Se trata del envío de spam usando únicamente imágenes para evitar ser detectado por los filtros antispam. Recordemos que durante la pasada oleada de spam de este tipo se tardaron varios meses en adaptar los filtros para evitar que las casillas de correo quedasen inundadas por miles de correos no deseados anunciando productos farmacéuticos, falsificaciones de relojes o cualquier otro producto.

Veamos un caso reciente de correo de este tipo recibido hace unas horas:

En este caso, el anunciante promociona las habituales pastillas contra la disfunción eréctil masculina. En ninguna parte del mensaje se muestra en modo texto el producto o la dirección de acceso. Todo se concentra en la imagen donde, hasta en tres ocasiones, se indica la dirección de acceso donde se venden este tipo de productos.

El porqué los filtros antispam no han bloqueado todavía esta nueva oleada de mensajes resulta cuanto menos, curioso. Es posible que muchos de los desarrolladores de este tipo de productos hayan eliminado la detección de mensajes no deseados realizados con imágenes de sus filtros al pensar que sería una moda que no volvería a suceder.

Este hecho, junto con otros como la propagación de códigos maliciosos usando medios extraíbles demuestra que técnicas que creíamos obsoletas pueden volver a ser utilizadas y que no debemos bajar la guardia ante este resurgir de viejas tendencias de propagación de malware.

Josep Albors

Ontinet.com ofrece charlas de seguridad en centros educativos

Siguiendo con la labor educativa de Ontinet.com y, tras visitar varios centros educativos como institutos y universidades, el pasado martes 12 de Mayo preparamos un ciclo de seguridad informática para los alumnos, padres y profesores del I.E.S L’estació de Ontinyent.

Este ciclo consistía en dos charlas (mañana y tarde) orientadas a los alumnos donde se les explicaba a que amenazas nos enfrentamos los usuarios actualmente. Se dio un repaso a la historia del malware, pasando a mencionar los vectores de infección más frecuentes para finalizar proporcionando una serie de consejos para evitar infectarse y perder datos confidenciales.

En las charlas orientadas a padres y profesores se comentaron, adicionalmente, aspectos relacionados con la protección de datos personales y como educar a los hijos o alumnos en el buen uso de todas las posibilidades que nos ofrece Internet. Las redes sociales fueron un elemento destacado junto con los juegos online puesto que muchos padres desconocen su funcionamiento y los riesgos potenciales de un mal uso de los mismos.

Desde Ontinet.com agradecemos al I.E.S L’Estació por el apoyo que nos proporcionaron en todo momento y a los medios de comunicación locales (tanto televisivos como radiofónicos) que cubrieron esta noticia. Todo aquél que desee descargar las entrevistas que nos realizaron pueden hacerlo desde los enlaces que indicamos a continuación:

Entrevista televisiva

Entrevista radiofónica

Nuestra intención es seguir fomentando la educación en seguridad informática para que los usuarios estén preparados y puedan afrontar las amenazas actuales.

Josep Albors

Se multiplican los correos prometiendo empleo fácil

Si bien en anteriores ocasiones ya comentamos este tema (y seguramente lo sigamos haciendo en un futuro) es destacable la cantidad de emails que venimos recibiendo últimamente prometiéndonos trabajos bien remunerados a cambio de poco esfuerzo. Estos correos cada vez se encuentran mejor elaborados y apuntan a un tipo de usuarios cada vez más específicos. Pongamos un ejemplo:

Como en los correos más recientes de este tipo se alude a la crisis económica en el asunto para llamar más la atención a aquellos que reciban el correo y, a continuación, se ofrece una oferta que, sobre el papel, parece ideal para ganar dinero de forma fácil.

La realidad es otra y, si bien es posible que recibamos una cantidad de dinero por hacer lo que se nos propone, la realidad es que no tardarán mucho en aparecer las autoridades para preguntar al incauto que aceptó la oferta que ha hecho con el dinero que recibía desde cuentas bancarias robadas usando técnicas de phishing.

Para evitar caer en este tipo de trampas es necesario conocer este tipo de engaños que aprovechan la ingeniería social para conseguir sus propósitos. Asimismo, un buen filtro antispam también nos ayudará a evitar recibir este tipo de correos no deseados.

Josep Albors

Nueva vulnerabilidad en Adobe Reader afecta multiples sistemas

De nuevo, el lector de documentos PDF Adobe Reader sufre una vulnerabilidad que está siendo aprovechada por los creadores de malware.

Esta vulnerabilidad permite a cualquier atacante ejecutar código malicioso aprovechando un fallo en el manejo de JavaScript del lector PDF.

A fecha de hoy, no existe un parche que solucione esta vulnerabilidad que, además, afecta a las versiones de todos los sistemas operativos para los que se encuentra disponible Adobe Reader (Windows, GNU/Linux y Mac/OSX), por lo que se recomienda desactivar JavaScript hasta que se solucione esta incidencia. Esto se consigue accediendo al programa Adobe Reader > Menú Edición > Preferencias… > JavaScript y desmarcar la casilla Activar JavaScript para Acrobat.

Aprovechándose de esta vulnerabilidad y del bombardeo constante de información acerca de la llamada “Nueva Gripe”, hemos comenzado a recibir en nuestros laboratorios documentos PDF que dicen hablar de esta enfermedad y que realmente aprovechan la vulnerabilidad para ejecutar código malicioso en el sistema del usuario. Es más que probable que mientras no aparezca un parche que solucione este problema, veamos cada vez más documentos con temas de actualidad que intenten llamar nuestra atención.

Desde Ontinet.com recomendamos usar programas gratuitos alternativos que realizan la misma función a la hora de abrir este tipo de documentos y que sufren en menor medida este tipo de ataques. Por ejemplo, Foxit Reader o cualquiera de los que recomienda Hispasec en su noticia acerca de este tema.

Josep Albors

Diseño: Sonia Gandía

Spam aprovecha alerta sanitaria para propagarse

De nuevo se demuestra que los spammers aprovechan cualquier oportunidad para hacer negocio. En este caso, aprovechando la alerta sanitaria ocasionada por la gripe porcina, muchos de los sitios que ya vendían en farmacias online viagra o sucedáneos, están aprovechando para promocionar otros productos como los antibióticos. Así pues, entre el clásico spam que recibimos a diario promocionando los productos estrella contra la disfunción eréctil, encontramos estos días correos que ofrecen antibióticos a precio reducido. A continuación un ejemplo:

En este mensaje observamos una descripción breve del producto ofertado junto a un enlace que nos llevará a la web donde podremos adquirir estos productos. Esta web nos resultará familiar porque es prácticamente la misma que vemos constantemente cuando se nos oferta viagra, pero esta vez nos centraremos en el apartado de antibióticos.

No hace falta que recordemos que todos los productos que se venden en este tipo de web no han pasado ningún control sanitario siguiendo normativas internacionales ni ofrecen ningún tipo de garantía, por lo que, además de perder nuestro dinero, podemos poner en peligro nuestra salud.

Josep Albors

Botnets en Mac

Tal y como hemos venido comentando en noticias anteriores de este blog, los usuarios de Mac (y, por extensión, de ningún otro sistema operativo) están exentos de sufrir ataques de malware. Hace poco nos hacíamos eco de la existencia de software troyanizado. Ahora parece ser que una de las finalidades de ese software infectado era crear una botnet de sistemas Mac, al estilo de las ya existentes en Windows.

Este es tan solo un ejemplo de que cualquier sistema puede ser vulnerable si no se toman las medidas necesarias para hacerlos seguro. No olvidemos que el actual sistema Mac/OSX es heredero de los sistemas UNIX y que, como sistema operativo que es, está diseñado para ejecutar aplicaciones (entre las que se incluyen códigos maliciosos).

Es por ello que, si bien el sistema en sí tiene un buen planteamiento de diseño y mejor administración de permisos de usuario que en Windows, todas estas medidas de seguridad pueden venirse abajo en un momento si el usuario no sabe gestionarlas o las ignora.

Igual que ocurre en la mayoría de malware actual para Windows, el malware para Mac requiere de una interacción del usuario, puesto que es este quien en última instancia ejecuta el código malicioso que infectará su sistema.

Es necesario, pues, crear una capa extra de protección basada en la educación de los usuarios para que sepan como evitar exponerse a riesgos innecesarios, educación que esperamos poder proporcionar desde este humilde blog.

Josep Albors
Diseño: Sonia Gandia

Artículos Anteriores »