• Buscar

• Síguenos en Twitter

• Categorías

  • actualizaciones (24)
  • adware (3)
  • Anuncios (13)
  • Botnets (12)
  • Clickjacking (2)
  • Curiosidades (21)
  • Defacement (2)
  • Educación (50)
  • Estadísticas (3)
  • Eventos (11)
  • exploit (31)
  • General (18)
  • Hacking (23)
  • Herramientas (12)
  • Heurística (5)
  • Hoax (2)
  • Informes (6)
  • Ingenieria social (49)
  • Malware (147)
  • Phishing (31)
  • Piratería (4)
  • Productos (27)
  • redes sociales (26)
  • rogue (13)
  • Scam (1)
  • scareware (2)
  • seguridad (19)
  • Spam (63)
  • telefonía (2)
  • Tutoriales (18)
  • Vulnerabilidades (113)

• Archivos

  • Julio 2010 (36)
  • Junio 2010 (43)
  • Mayo 2010 (27)
  • Abril 2010 (26)
  • Marzo 2010 (14)
  • Febrero 2010 (16)
  • Enero 2010 (14)
  • Diciembre 2009 (7)
  • Noviembre 2009 (5)
  • Octubre 2009 (3)
  • Septiembre 2009 (3)
  • Agosto 2009 (8)
  • Julio 2009 (6)
  • Junio 2009 (2)
  • Mayo 2009 (4)
  • Abril 2009 (6)
  • Marzo 2009 (6)
  • Febrero 2009 (3)
  • Enero 2009 (3)
  • Diciembre 2008 (5)
  • Noviembre 2008 (5)
  • Octubre 2008 (10)
  • Septiembre 2008 (9)
  • Agosto 2008 (7)
  • Julio 2008 (8)
  • Junio 2008 (10)
  • Mayo 2008 (13)
  • Abril 2008 (12)
  • Marzo 2008 (7)
  • Febrero 2008 (5)
  • Enero 2008 (2)
  • Diciembre 2007 (7)
  • Noviembre 2007 (6)
  • Octubre 2007 (7)
  • Septiembre 2007 (9)
  • Agosto 2007 (3)
RSS Artículos | RSS Comentarios

Spam con ofertas de empleo

En la situación económica actual, no es de extrañar que los creadores de códigos maliciosos y spammers se aprovechen de la necesidad de la gente para intentar conseguir sus objetivos. Ejemplo de ello es un correo spam que venimos recibiendo de forma insistente en las últimas horas y que dice así:

Nótese la pobre redacción del mensaje que, aunque aparente provenir de una empresa seria, comete multitud de fallos de sintaxis en la redacción del mismo. A pesar de ello, lo que realmente llama la atención de los receptores de este mensaje y provoca que algunos usuarios caigan en su engaño, es la posibilidad de ganar dinero fácilmente trabajando desde casa.

Pero, ¿Qué se esconde detrás de esta (y muchos otros correos que recibimos a diario con temática similar) suculenta oferta de empleo?. Aparentemente todo son beneficios.

Nosotros recibimos en nuestra cuenta bancaria un ingreso de la empresa que nos ha contratado y realizamos una transferencia al número de cuenta que nos indiquen, quedándonos a cambio una comisión. Hasta ahí todo parece normal pero las cosas se tuercen cuando las autoridades se presentan en nuestro domicilio para acusarnos de delitos de robo mediante técnicas de phising. Es entonces cuando nos daríamos cuenta de que hemos sido usados por los cibercriminales que roban datos bancarios para hacer de intermediarios en la transferencia de dinero desde la cuenta robada a la suya.

Obviamente, este paso intermedio se realiza para evitar ser rastreados y sean los muleros (como se conocen a las personas que realizan estas transferencias) los que terminen pagando las consecuencias de las actividades criminales de otros.

Así pues, lo mejor en estos casos es desconfiar de este tipo de ofertas, ya vengan por correo electrónico o desde webs, y advertir a nuestros conocidos para que no sean víctimas del engaño y paguen por los delitos cometidos por otras personas.

Josep Albors

Lanzada actualización crítica de Windows

A pesar de no encontrarnos en el segundo martes del mes, que es cuando Microsoft suele lanzar sus actualizaciones, la compañía de Redmond ha decidido publicar el parche correspondiente a una actualización de seguridad crítica. Este adelantamiento en la publicación se debe a la gravedad de la vulnerabilidad corregida que afecta al servicio RPC, usado por Windows para comunicar diferentes aplicaciones.

Recomendamos a nuestros lectores que actualicen sus sistemas lo antes posible y todos aquellos que deseen saber mas acerca de esta vulnerabilidad pueden acceder a los artículos que han sido elaborados por nuestros compañeros de la Enciclopedia Virus e Hispasec.

Actualización 27/10: A fecha de hoy existe al menos un código malicioso del tipo gusano que aprovecha esta vulnerabilidad. ESET NOD32 Antivirus detecta esta amenaza como Win32/Gimmiv.A

Josep Albors

Falsos informes propagan códigos maliciosos

Durante el día de hoy, venimos observando como recibimos de forma insistente en nuestra bandeja de correo destinada al spam, una nueva propagación masiva de códigos maliciosos que usan una doble extensión falsa para ocultar su contenido dañino.

Esta código malicioso llega en un mensaje en español que tiene el siguiente formato o similar:

Como vemos, usa la misma técnica de engaño que ya hemos observado en multitud de ocasiones anteriormente. Esto es, intentando engañar al usuario para que abra el fichero adjunto. En esta ocasión el mensaje viene en nuestro idioma (aunque con el saludo “Hello” en inglés y sin acentos) e instándonos a que abramos un supuesto informe importante de nuestra empresa.

También cabe resaltar que los envíos se realizan (al menos las muestras recibidas de momento) desde cuentas de correo alojadas en proveedores de habla hispana. Normalmente estas cuentas de correo pertenecerán a personas que tienen su máquina infectada y forman parte de una botnet, aunque también cabe la posibilidad de que se hayan registrado miles de cuentas a nombre de falsos usuarios para realizar este envío.

Si abrimos el archivo comprimido comprobaremos la verdadera extensión del mismo como fichero ejecutable que és:

Si contamos con un antivirus actualizado que detecte esta amenaza e intentamos ejecutar dicho archivo, la alerta saltará avisándonos de la infección:

Como en anteriores ocasiones, recomendamos no abrir este tipo de ficheros ni seguir enlaces que nos sean proporcionados en mensajes de correo (aunque el remitente del mensaje sea de confianza) si no estamos esperando recibirlos.

Josep Albors

Comparativas antivirus. Como hacerlas bien

Uno de los factores mas importantes para decantarse por una u otra solución antivirus suele ser la lectura de comparativas antivirus realizadas por empresas o publicaciones relacionadas, de algún modo, con la seguridad informática o la informática en general.

Desgraciadamente, pocas veces se sigue una metodología de trabajo adecuada que represente las amenazas a las que se enfrentan los usuarios diariamente, bien sea por falta de tiempo, recursos o conocimiento de los evaluadores. El resultado suelen ser, en el mejor de los casos, unas comparativas mas o menos representativas del malware en el mundo real, pero también pueden salir resultados parciales hacia según que casa antivirus.

Por suerte, aun quedan expertos en seguridad informática que siguen una metodología totalmente imparcial y que intentan acercarse lo mas posible a los escenarios cotidianos que puedan tener los usuarios en sus equipos. El equipo de Hispasec son un buen ejemplo de ello y el artículo donde exponen como se deberían hacer las comparativas es de lectura altamente recomendable.

Esperemos que su lectura ayude a nuestros usuarios a entender la situación actual de las comparativas antivirus y como deben interpretarse sus resultados.

Josep Albors.

Amenazas informáticas en tiempos de la crisis

La delicada situación financiera actual ha hecho que muchos de nosotros andemos con pies de plomo cuando se trate de invertir nuestro dinero o gestionar nuestros ahorros. Los cibercriminales lo saben y aprovechan nuevos métodos para realizar sus ataques de phishing, pharming o robo de identidad.

Son varias las maneras en las que nuestra cuenta bancaria puede verse seriamente mermada por este tipo de amenazas y casi todas usan la ingeniería social. Tenemos, por ejemplo, los casos de envíos masivos de correos que parecen provenir de entidades bancarias. Esta ha sido el método mas usado y ha ido perfeccionándose con el tiempo aunque el objetivo siempre ha sido que el usuario acceda a una página falsa que simula ser la de su banco e introduzca sus credenciales de acceso. Una vez obtenidas estas credenciales, los ciberdelincuentes tienen acceso a la cuenta de la victima y pueden vaciarla.

Una variación mas sofisticada de este ataque consiste en incluir en estos correos u código malicioso que realice un ataque de pharming. Este tipo de ataques modifican un fichero presente en los sistemas operativos llamado hosts, aprovechándose de vulnerabilidades en el protocolo DNS. El resultado es la redirección del usuario a servidores que albergan paginas webs maliciosas cuando intenta acceder a las originales. Un ejemplo de este ataque seria el que realiza el troyano Qhost.

También hay que tener en cuenta que, para evitar ser reconocido en la red, muchos usuarios utilizan “proxys anónimos”, lo que les permite navegar utilizando una dirección IP que no es asociada a su ordenador ni a su cuenta. Pero estos proxys anónimos pueden tener su DNS alterado, bien por un ataque que hayan sufrido o bien a propósito. Si el usuario desea conectarse a su banco o llevar a cabo alguna compra, y el DNS está alterado, puede que sea víctima de una estafa, ya que la página del banco, aunque parezca la original, puede ser completamente falsa.

Si bien este tipo de ataques llevan ya un tiempo entre nosotros, la situación económica actual puede hacer que se incrementen. Asimismo, las técnicas usadas cada vez son mas sofisticadas por lo que, para evitar ser victimas de estas amenazas, hemos de confiar en nuestro sentido común y no actuar con precipitación, así como disponer de un buen sistema de protección integral que bloquee estos ataques.

Josep Albors

Código malicioso usa correo de Microsoft para propagarse

En las últimas horas venimos recibiendo un aviso de nuestro antivirus NOD32 que detecta una amenaza cada vez que recibimos un supuesto correo enviado desde Microsoft. El correo esta bastante bien preparado, usando direcciones de la empresa de Redmond e incluso hace uso de una supuesta firma PGP para proporcionar mas autenticidad. A continuación vemos un ejemplo de uno de estos correos:

En él se nos avisa de que Microsoft ha lanzado una nueva actualización de seguridad y que, en lugar de distribuirla a través de su servicio Windows Update, lo harán usando el correo electrónico para evitar que los creadores de malware puedan anular la eficiencia de las actualizaciones vía web.

Seguidamente, se nos dan una serie de instrucciones que consisten en ejecutar el fichero adjunto y seguir las instrucciones que se nos proporcionarán. Obviamente, el fichero adjunto es un código malicioso que ESET NOD32 detecta como una variante del troyano Win32/Spy.Goldun.NDO.

A pesar de que este tipo de correos son bastante comunes y su eficiencia no es tanta como lo era antaño, el hecho de venir de una fuente confiable y estar razonablemente bien redactado (en inglés) puede hacer que, usuarios que reciban este correo, piquen el anzuelo. El hecho de contar con un antivirus actualizado y con protección proactiva puede ayudarnos a deshacernos de amenazas de este tipo sin mayores problemas.

Josep Albors

Aplicaciones que asustan a los usuarios, “Scareware”

Desde hace ya algún tiempo han proliferado la aparición de falsos avisos de seguridad por medio de ventanas emergentes o pop-ups, muchas de ellas aparentando ser del propio Windows, que nos advierten de falsos peligros en nuestro ordenador (virus, fallos del software, etc). Todo ello forma parte del “scareware” (del verbo asustar, scare), que anuncia falsas soluciones para desinfectar nuestro sistema, que en ningún caso se encuentra infectado o en mal estado, y por lo tanto intenta engañar al usuario.

Estas aplicaciones intentan captar la atención del usuario con una ventana de alerta llamativa indicando que el sistema está en riesgo, ya sea de virus o de errores del sistema, e intenta forzar al usuario hacer clic en esa misma ventana para solucionar el problema. Al hacer clic se instalan en nuestro sistema algunas aplicaciones, las cuales normalmente inician un falso análisis del ordenador. Cuando éste termina muestra falsos informes como pueden ser varios virus o errores de disco inexistentes, enviado al usuario a una página web para comprar la versión completa de su producto para solucionar estos falsos problemas.

Dicho engaño supone, sobretodo, un coste económico, producido por la compra de la versión completa de estas aplicaciones. La mayoría de las veces este malware consigue su objetivo aprovechándose de la ansiedad del usuario por solucionar la falsa infección.

Incluso Microsoft ha tomado cartas en el asunto, viendo la peligrosidad y el aumento de esta técnica para engañar a los usuarios, iniciando una serie de juicios contra distribuidores de este tipo de programas.

Una de las aplicaciones más famosas que utiliza dicho método es el XP Antivirus 2008, o su nueva versión llamada Antivirus 2009.

Para evitar el scareware se pueden utilizar aplicaciones antipop-up para los navegadores de internet utilizados. Existen aplicaciones de este tipo totalmente gratuitas como pueden ser el Google toolbar o el Yahoo toolbar, y, en el caso de que sean afectados por este tipo de amenazas, utilizar las aplicaciones de seguridad instaladas en el ordenador o consultar con su experto en seguridad.

David Sanchez

Lanzamiento beta pública ERA 3.0

En el día de hoy nos enorgullece presentar a nuestros usuarios la beta pública de ESET Remote Administrator, la última versión de la herramienta pensada para todos aquellos administradores de red que deseen gestionar los productos ESET NOD32 Antivirus Business y ESET Smart Security Business.

Todos aquellos usuarios que deseen evaluar esta nueva versión, teniendo en cuenta que se trata de una beta y que, como tal, puede contener errores que no la hacen recomendable para instalarla en entornos de producción, puede descargarla desde los siguientes enlaces:

ESET Remote Administrator Console 3.0 (2000/XP/2003/2008/Vista)

ESET Remote Administrator Server 3.0 (Windows NT/2000/XP/2003/2008/Vista)

Manual (en Inglés)

Josep Albors

La cafetera me ha infectado

En los días que vivimos no es extraño ver todo tipo de aparatos conectados entre si o a una red. Es por eso que los cibercriminales están aprovechando, cada vez mas, estas puertas de acceso para robar información confidencial o infectar los ordenadores de una red.

El caso mas común consiste en aprovechar alguna vulnerabilidad no corregida en algún dispositivo presente en una oficina como, por ejemplo, una impresora. Un ejemplo de este tipo de ataques lo podemos ver en uno de los artículos publicados recientemente en la web de nuestros compañeros de Hispasec:

http://www.hispasec.com/unaaldia/3633

Los ataques a este tipo de dispositivos (impresoras, scanners o faxes) no son nuevos y llevan muchos años entre nosotros. La novedad radica en que el abanico de dispositivos vulnerables ha aumentado de forma exponencial en los últimos años.

Así pues podemos encontrar desde teléfonos móviles hasta cafeteras que se conectan a la red para recopilar nuevas mezclas de café. Todos estos dispositivos son, normalmente, obviados en las políticas de seguridad de la empresa cuando, en realidad, representan un vector de ataque aprovechable.

Ante estas nuevas amenazas, es recomendable revisar las políticas de seguridad con el fin de evitar intrusiones no deseadas desde dispositivos externos, a los que normalmente esperaríamos encontrar en una red local.

Josep Albors

Nueva vulnerabilidad web: Clickjacking

Cuando aun tenemos recientes las últimas vulnerabilidades y fallos de diseño que exponían a todos los internautas a nuevas amenazas, recibimos de manos de expertos reconocidos en materia de seguridad informática la noticia del descubrimiento de una nueva vulnerabilidad. Esta parece afectar a casi todos los navegadores, exceptuando aquellos que, como Lynx y similares, funcionan en modo texto.

Pero, ¿en que consiste esta nueva vulnerabilidad conocida como Clickjacking?. En pocas palabras, se trataría de la posibilidad de un atacante de controlar los enlaces que nuestro navegador visita cuando accedemos a un sitio web malicioso. La novedad en esta ocasión es que no es necesaria la ejecución de código javascript por lo que deshabilitando esta función en nuestro navegador no nos ayudará a ser menos vulnerables.

Con la ejecución de este exploit, se puede hacer que su navegador pulse sobre cualquier enlace, botón, imagen u objeto de la web preparada por el atacante, de forma totalmente transparente para el usuario.

Es de esperar que aparezcan nuevos ataques que aprovechen esta vulnerabilidad, bien preparando páginas maliciosas con algún gancho para atraer posibles víctimas, o bien explotando esta vulnerabilidad en páginas legítimas que no estén debidamente protegidas ante los ataques de inyección de código.

Ante esta nueva amenaza, los usuarios deben andar con mucha cautela a la hora de navegar, sospechar de ejecuciones automatizadas por parte de su navegador y mantener actualizado su sistema antivirus para evitar que un código malicioso que se ejecute automáticamente desde la web consiga afectar su sistema.

Actualización 7/10: Nuestros compañeros de ESET Latinoamerica han preparado una entrada en su blog donde explican como configurar los navegadores mas comunes para protegernos de esta nueva técnica de ataque.

Josep Albors