• Buscar

• Síguenos en Twitter

• Categorías

  • actualizaciones (24)
  • adware (3)
  • Anuncios (13)
  • Botnets (12)
  • Clickjacking (2)
  • Curiosidades (21)
  • Defacement (2)
  • Educación (50)
  • Estadísticas (3)
  • Eventos (11)
  • exploit (31)
  • General (18)
  • Hacking (23)
  • Herramientas (12)
  • Heurística (5)
  • Hoax (2)
  • Informes (6)
  • Ingenieria social (49)
  • Malware (147)
  • Phishing (31)
  • Piratería (4)
  • Productos (27)
  • redes sociales (26)
  • rogue (13)
  • Scam (1)
  • scareware (2)
  • seguridad (19)
  • Spam (63)
  • telefonía (2)
  • Tutoriales (18)
  • Vulnerabilidades (113)

• Archivos

  • Julio 2010 (36)
  • Junio 2010 (43)
  • Mayo 2010 (27)
  • Abril 2010 (26)
  • Marzo 2010 (14)
  • Febrero 2010 (16)
  • Enero 2010 (14)
  • Diciembre 2009 (7)
  • Noviembre 2009 (5)
  • Octubre 2009 (3)
  • Septiembre 2009 (3)
  • Agosto 2009 (8)
  • Julio 2009 (6)
  • Junio 2009 (2)
  • Mayo 2009 (4)
  • Abril 2009 (6)
  • Marzo 2009 (6)
  • Febrero 2009 (3)
  • Enero 2009 (3)
  • Diciembre 2008 (5)
  • Noviembre 2008 (5)
  • Octubre 2008 (10)
  • Septiembre 2008 (9)
  • Agosto 2008 (7)
  • Julio 2008 (8)
  • Junio 2008 (10)
  • Mayo 2008 (13)
  • Abril 2008 (12)
  • Marzo 2008 (7)
  • Febrero 2008 (5)
  • Enero 2008 (2)
  • Diciembre 2007 (7)
  • Noviembre 2007 (6)
  • Octubre 2007 (7)
  • Septiembre 2007 (9)
  • Agosto 2007 (3)
RSS Artículos | RSS Comentarios

Falso video de Angelina Jolie infecta a los usuarios

En las últimas horas estamos recibiendo una cantidad bastante grandes de correos ofreciendo un supuesto vídeo de Angelina Jolie. Este envío masivo de spam tiene dos características para hacer que los usuarios caigan en su trampa.

La primera es que intenta hacer que el remitente del correo sea lo mas fiable posible para que el usuario no desconfíe. En este caso se usa (de nuevo) a Microsoft como fuente de la noticia para ganarse la confianza del receptor del mensaje.

La segunda característica usada es nuestra vieja conocida, la ingeniería social. De todos es sabido que el morbo atrae las miradas de muchos usuarios y mas si este incluye a famosas de buen ver. En este caso, si nos fijamos en el nombre del archivo que se descargará a nuestro sistema si pulsamos sobre el enlace proporcionado en el correo, se nos invita a ver un video de la actriz desnuda.

Pero si nos fijamos mas en el nombre del fichero, observaremos como este posee una doble extensión, .avi como contenedor de video (para así intentar engañar a los que esperan ver el video) y .exe como fichero ejecutable (la verdadera extensión del archivo y la que demuestra que se trata de un ejecutable malicioso).

Ante este tipo de amenazas lo ideal para la evitar que nuestro sistema se vea comprometido es disponer de un antivirus actualizado que detecte y bloquee este tipo de códigos maliciosos. ESET NOD32 detecta esta amenaza como Win32/TrojanDropper.Small.NHU.

Josep Albors

Nuevos ataques a sitios gubernamentales

Durante estas últimas semanas hemos vuelto a observar ataques a webs ubicadas en países pertenecientes al antiguo radio de influencia Soviético, tal y como ya vimos el año pasado. A principios del presente mes de julio se atacaron más de 300 sitios webs pertenecientes a instituciones gubernamentales de Lituania. Todos estos sitios webs estaban albergados en el mismo proveedor de servicios por lo que, una vez comprometido el mismo, fue relativamente fácil hacer caer tal cantidad de webs.

Este ataque fue el resultado de un ataque coordinado por parte parte de hackers presuntamente rusos y probablemente veamos mas de este tipo en el futuro ya que, el motivo principal es la retirada de símbolos pertenecientes a la antigua Unión Soviética en los países que han sufrido estos ataques.

Otro ejemplo de este tipo son los ataques sufridos en el sitio web oficial del presidente de Georgia. Siguiendo el mismo patrón que en ataques anteriores, este sitió sufrió una Denegación de Servicio Distribuido (DDoS), provocado por una botnet donde miles de máquinas infectadas obedecían las ordenes del controlador de la misma desde su centro de control.

Viendo la relativa facilidad con la que se puede disponer de miles de maquinas zombis para realizar este tipo de operaciones y de las pocas medidas de seguridad que toman muchos sitios webs de carácter gubernamental, no será de extrañar que veamos mas ataques de este tipo bastante a menudo. Desde hace tiempo se libra una guerra virtual entre diversas potencias aunque tan solo llegamos a vislumbrar escaramuzas como las que informamos en esta noticia, escaramuzas que, sin duda pueden representar entrenamientos para futuros ataques a gran escala.

A nivel particular podemos ayudar a impedir este tipo de ataques evitando que nuestra maquina se infecte y pase a formar parte del ejercito de ordenadores zombies que los ejecutan. Para eso resulta indispensable disponer de una buena protección antivirus y hacer buen uso de nuestro sentido común a la hora de navegar y abrir archivos sospechosos.

Josep Albors

Nuevos casos de phishing en juegos online

Como ya vimos en otras entradas de este blog, los juegos online están en el punto de mira de los creadores de códigos maliciosos y de los phishers (aquellos que roban usuarios y contraseñas). Con motivo del lanzamiento de la versión beta de World Of Warcraft: Wrath of the Lich King han aparecido numerosos casos de phishing que persiguen robar los personajes pertenecientes a los miles de usuarios de este juego de rol multijugador masivo online (o MMORPG por sus siglas en Inglés).

Para apuntarse a esta fase Beta los usuarios deben acceder al enlace que la empresa desarrolladora (Blizzard) a destinado a tal fin para, cuando esté lista, se pueda informar a los jugadores. Sabedores de que estos se encuentran ansiosos por recibir esta confirmación para empezar a jugar, los creadores de phishing han empezado a enviar falsos correos electrónicos donde se infroma de la apertura de la fase beta. A continuación mostramos un ejemplo:

O este otro:

En ambos casos observamos como el mensaje se encuentra bien redactado y podría pasar por uno auténtico, no siendo dificil que los usuarios que los reciban puedan ser engañados fácilmente.

Otras variantes intentan emular una supuesta página de registro para probar la beta como, por ejemplo, la que mostramos a continuación:

Para el público no habitual de este tipo de juegos les puede resultar extraño que los desarrolladores de malware se molesten en crear códigos maliciosos para robar personajes de juegos online. El beneficio de estos robos se encuentra en que, una vez el phisher consigue acceder a la cuenta robada, puede cambiar el dinero o los objetos que posea el personaje por dinero real, normalmente mediante subastas online, obteniendo sumas cuantiosas.

Recomendamos a todos los jugadores de este tipo de juegos que desconfíen de aquellos correos que no estén esperando de los desarrolladores hasta que se anuncie la apertura de la fase beta de forma oficial.

Para la creación de esta entrada, agradecemos la inestimable colaboración de Noghri, jugador con varios personajes de elevado nivel en el World of Warcraft y gran amigo.

Josep Albors

Nuevos metodos de envío de spam

Viendo que los filtros antispam de los servidores de correo y los usuarios bloquean gran parte de los mensajes no solicitados, los spammers se ingenian nuevos métodos para inundar nuestras casillas de correo.

El mas reciente consiste en poner en el apartado de “Remitente” la dirección de correo electrónico a la que se quiere enviar el correo no deseado y en el apartado “Destino” una dirección ficticia. Al no existir esta dirección destino, el mensaje es devuelto a aquel remitente que, supuestamente, lo envió.

Normalmente los usuarios sabemos identificar el spam tan solo revisando el asunto pero un mensaje del tipo “Mail delivery error” puede causar alarma, mas aun si nuestra dirección de correo aparece en el mensaje como remitente del mismo. A continuación vemos un ejemplo de un mensaje de este tipo:

En este caso era un mensaje promocionando la venta de viagra pero pueden ser de cualquier tipo, incluso se puede usar esta técnica de ingeniería social para enviar códigos maliciosos.

Conviene ignorar este tipo de mensajes con el asunto “Mail delivery error” a menos que sepamos a ciencia cierta que hemos enviado un mensaje a uno de nuestros contactos y el error en la entrega provenga de esa dirección.

Josep Albors

Importante actualización soluciona vulnerabilidad grave en DNS

En los boletines de seguridad de Microsoft de Julio se ha publicado un parche que soluciona dos importantes vulnerabilidades en el sistema de nombres de dominio (DNS). Esta vulnerabilidad descubierta por un experto en seguridad informática hubiese permitido a los ciberdelincuentes redirigir cualquier dirección de Internet a sitios ilegítimos especialmente preparados con el fin de robar datos personales de los usuarios, tales como claves de acceso a la banca online, aun a pesar de que el usuario hubiese tecleado de manera correcta la dirección en su navegador.

Al tratarse de una vulnerabilidad de este nivel, cualquier usuario que no haya aplicado el parche de seguridad estará expuesto al robo de información confidencial desde su sistema aunque disponga de un software de seguridad en su sistema.

Recomendamos encarecidamente actualizar su sistema operativo Windows, a todos aquellos usuaros que aun no lo hayan hecho, mediante Windows Update.

Sirva esta noticia para recordarnos que un sistema actualizado es igual de importante que disponer de un buen antivirus.

Josep Albors

Mas códigos maliciosos que aprovechan la ingeniería social

Aprovechando dos noticias importantes del fin de semana pasado, se han lanzado dos nuevas campañas de propagación de códigos maliciosos para intentar que los usuarios, movidos por la curiosidad, descarguen archivos preparados para infectar su sistema.

El primero de los dos casos que comentaremos hace relación a la festividad estadounidense del 4 de Julio. Aprovechando esta fecha se lanzó una campaña masiva de spam que adjuntaba el fichero “fireworks.exe” o bien “Fireworks of Fireworks.exe”, que simulaba ser una animación con fuegos artifíciales. En realidad no era si no otra variante más del conocido Nuwar (catalogando ESET esta variante como Win32/Nuwar.DC).

A pesar de que esta propagación estaba principalmente orientada a ciudadanos estadounidenses, muchas veces los envíos de spam no hacen distinción acerca de la localización del destinatario y cualquier usuario puede verse afectado.

La segunda propagación de spam con código malicioso adjuntado pretende ser un video exclusivo de la liberación de Ingrid Betancourt y otros rehenes de las FARC. El archivo tiene el nombre de Video_Ingrid-Betancourt.exe y es una variante más del troyano que ESET detecta como Win32/VB.NNP.

Ante este tipo de ataques que se aprovechan de la curiosidad humana la mejor solución es hacer caso omiso de aquellos correos que no hemos solicitados, desconfiar de los ficheros adjuntos (sean del tipo que sean) y sobretodo, disponer de un antivirus actualizado que detecte estas amenazas antes de que nuestra curiosidad nos juegue una mala jugada.

Josep Albors

Nuevas amenazas de phishing en el horizonte

Si las entidades bancarias pensaban que las amenazas actuales, con el phishing a la cabeza, eran su mayor preocupación en materia de seguridad, vemos como aparecen nuevas amenazas combinadas que, a corto plazo, pueden hacer que el panorama sea bastante peor.

Hasta ahora, los correos de phishing incluían un enlace que dirigía a un usuario desprevenido hasta una web preparada especialmente para simular la de la entidad bancaria. Una vez introducidos los datos de registro, los creadores de este ataque disponían de los datos necesarios para poder sacar dinero de la cuenta del usuario impunemente.

Ese era el procedimiento habitual hasta hace poco, pero estamos recibiendo casos de phishing en los que, además del enlace a la falsa web del banco, se adjunta un fichero ejecutable que contiene un troyano que infecta la máquina del usuario. Una vez el usuario se encuentra infectado, reenvía este correo de phishing consiguiendo que la propagación, usando una curva de crecimiento exponencial, se extienda a mas victimas potenciales que usando el procedimiento habitual. Una evolución mas sofisticada de esta infección consiste en inyectar el código malicioso en la propia web modificada para que se ejecute aprovechando vulnerabilidades del navegador o del sistema.

Para complementar este ataque, los phishers (creadores de ataques phishing) cuentan con una nueva arma y son las miles de direcciones de correo gratuitas que proveen Hotmail, Gmail, Yahoo Mail y otros servicios. Hasta ahora la tarea de creación de estas cuentas no era rentable para estos creadores de códigos maliciosos por la seguridad implementada a la hora de generar una cuenta. Esta seguridad estaba representada por los captcha, sistemas de reconocimiento de caracteres que dificultaba la automatización en la creación de cuentas de correo.

Al romperse esta barrera de seguridad nada impide crear de forma automática miles de cuentas de correo desde las que enviar spam o correos con falsos enlaces a entidades bancarias y, ya de paso, sacarse unos importantes beneficios vendiendo estas cuentas al mejor postor. En la imagen mostrada a continuación se observa los precios que se pagan al adquirir cierta cantidad de diferentes cuentas de correo:

Aunque es un panorama bastante desalentador para los usuarios de la banca electrónica, pueden evitarse experiencias desagradables siguiendo una serie de consejos:

• Nunca acceder a nuestra entidad bancaria siguiendo enlaces insertados en mensajes de correo.

• Asegurarnos que nuestro navegador (que debe encontrarse actualizado) establece una conexión segura (el típico candadito) entre nuestra máquina y la entidad bancaria.

• Disponer de un antivirus actualizado y con protección proactiva.

• Realizar operaciones online en entidades bancarias que ofrezcan una tarjeta de coordenadas. De esta forma, aun en el caso de que consigan acceder a nuestra cuenta bancaria, no será posible realizar ninguna operaciónsin esta tarjeta de seguridad.

Desde Ontinet.com seguiremos informando acerca de nuevas variantes de estas amenazas para que todos nuestros lectores sepan como protegerse de ellas.

Josep Albors

Importante ataque a los organismos ICANN e IANA

Aunque a muchos nos puedan sonar extraño el nombre de estos organismos, ICANN e IANA son los encargados de proporcionar los nombres para sitios y máquinas en Internet. Es por ello que este ataque resulta especialmente llamativo puesto que se ha atacado directamente a una entidad básica para el correcto funcionamiento de toda la red.

El ataque se produjo el pasado día 27 por el grupo de hacking turco NetDevilz (grupo que días antes consiguió secuestrar el dominio de Photobucket) y apenas duró 20 minutos, tiempo suficiente para que todos los visitantes que quisieran acceder a estos sitios fueran redirigidos a otras webs. En la siguiente imagen observamos como el acceso a la web de www.iana.com estuvo inaccesible temporalmente desde cualquier parte del mundo.

A pesar de la corta duración del ataque, se tardaron entre 24 y 48 horas en corregir la vulnerabilidad usada y actualizar todas las maquinas implicadas.

La importancia de este ataque es el calibre de las organizaciones implicadas, demostrando, una vez más, que nadie es totalmente invulnerable en la red y que los sistemas usados en la actualidad, así como las tecnologías de protección, deben seguir mejorando.

Josep Albors