• Buscar

• Síguenos en Twitter

• Categorías

  • actualizaciones (44)
  • adware (4)
  • Anuncios (30)
  • Apple (7)
  • BlackHat SEO (5)
  • Botnets (34)
  • Clickjacking (6)
  • Curiosidades (35)
  • datos (7)
  • DDoS (3)
  • Defacement (7)
  • Educación (67)
  • entrevista (3)
  • Espionaje (10)
  • Estadísticas (8)
  • Eventos (14)
  • exploit (59)
  • Facebook (12)
  • Filtraciones (22)
  • General (39)
  • Hacking (55)
  • hacktivismo (16)
  • Herramientas (18)
  • Heurística (6)
  • Hoax (3)
  • Informes (15)
  • Ingenieria social (94)
  • Juegos (3)
  • Mac (6)
  • Malware (239)
  • Phishing (55)
  • Piratería (6)
  • Privacidad (13)
  • Productos (36)
  • redes sociales (60)
  • rogue (25)
  • rootkit (1)
  • Scada (4)
  • Scam (18)
  • scareware (2)
  • seguridad (76)
  • sorteos (2)
  • Spam (118)
  • spyware (2)
  • telefonía (27)
  • Troyanos (5)
  • Tutoriales (18)
  • Unix (1)
  • Vulnerabilidades (186)

• Archivos

  • febrero 2012 (4)
  • enero 2012 (26)
  • diciembre 2011 (17)
  • noviembre 2011 (19)
  • octubre 2011 (20)
  • septiembre 2011 (23)
  • agosto 2011 (24)
  • julio 2011 (18)
  • junio 2011 (16)
  • mayo 2011 (18)
  • abril 2011 (11)
  • marzo 2011 (18)
  • febrero 2011 (17)
  • enero 2011 (19)
  • diciembre 2010 (20)
  • noviembre 2010 (22)
  • octubre 2010 (27)
  • septiembre 2010 (30)
  • agosto 2010 (24)
  • julio 2010 (36)
  • junio 2010 (43)
  • mayo 2010 (27)
  • abril 2010 (26)
  • marzo 2010 (14)
  • febrero 2010 (16)
  • enero 2010 (14)
  • diciembre 2009 (7)
  • noviembre 2009 (5)
  • octubre 2009 (3)
  • septiembre 2009 (3)
  • agosto 2009 (8)
  • julio 2009 (6)
  • junio 2009 (2)
  • mayo 2009 (4)
  • abril 2009 (6)
  • marzo 2009 (6)
  • febrero 2009 (3)
  • enero 2009 (3)
  • diciembre 2008 (5)
  • noviembre 2008 (5)
  • octubre 2008 (10)
  • septiembre 2008 (9)
  • agosto 2008 (7)
  • julio 2008 (8)
  • junio 2008 (10)
  • mayo 2008 (13)
  • abril 2008 (12)
  • marzo 2008 (7)
  • febrero 2008 (5)
  • enero 2008 (2)
  • diciembre 2007 (7)
  • noviembre 2007 (6)
  • octubre 2007 (7)
  • septiembre 2007 (9)
  • agosto 2007 (3)
RSS Artículos | RSS Comentarios

Correos con supuestas facturas propagan malware

El uso de los correos electrónico para enviar códigos maliciosos se remonta casi al inicio del uso de Internet por el gran público. En todos estos años hemos visto multitud de variaciones con el fin de conseguir el mayor número de usuarios infectados. No obstante, esta popularidad del correo electrónico como vector de infección también ha hecho que las compañías antivirus lo tengan muy controlado y sean fácilmente detectables en la defensa perimetral instalada en los servidores de correo.

Es por eso que, en los últimos meses, estamos viendo un resurgimiento del envío de código malicioso de forma simple, esto es, con el malware adjunto al mensaje, pero usando técnicas de ingeniería social para hacer que el usuario pique. Así pues, hemos visto correos con supuestos envíos realizados por nosotros mediante compañías de mensajería como SEUR, DHL o Fedex, otros con supuestas fotos de conocidos/as o, facturas no pagadas o, como el que nos ocupa en esta ocasión informes mal redactados.

Es curioso ver como este tipo de amenazas se orientan últimamente a los entornos corporativos por los temas que tratan (facturas o informes). No queremos decir que el usuario corriente esté a salvo de caer en esta treta pero, por su asunto, un empleado de una empresa es más susceptible de abrirlo sin tomar las medidas oportunas.

El malware que se propaga usando esta técnica no tiene nada de nuevo ya que cuando se descomprime se muestra como un documento de Microsoft Word (.doc) aunque realmente sea un ejecutable. Este engaño se consigue asignándole el icono del procesador de textos, añadiéndole la coletilla .doc al nombre del fichero y generando una gran cantidad de espacios en blanco usando la técnica del subrallado para que no se vea la extensión real del fichero. Si tenemos activada la opción de mostrar las extensiones, el archivo se verá de la siguiente manera:

Faktura_es.Doc________________________________________________.exe

Nótese que en este ejemplo se ha sustituido la letra “c” de Factura por la “k” para evitar la detección del adjunto por los filtros antispam que ya estaban prevenidos contra este tipo de ficheros por casos anteriores.

En caso de contar con una solución antivirus que lo detecté, no se nos dejará descomprimir el archivo y en el registro de sucesos podremos observar de que tipo de amenaza se trata.

Aunque últimamente este tipo de vectores de infección no causen grandes problemas a la mayoría de usuarios (mas concienciados en materia de seguridad que hace unos años) no hay que bajar la guardia y desconfiar siempre de este tipo de correos, mas aun sabiendo que usan la ingeniería social para pillarnos desprevenidos y ejecutar algo que, normalmente, no haríamos.

Josep Albors

Sobre las vulnerabilidades 0 day

De nuevo tenemos que hablar de vulnerabilidades que están siendo aprovechadas por atacantes y que no tienen solución por el momento, lo que se conoce como vulnerabilidad 0 day. En este caso la vulnerabilidad se encuentra presente en Direct X (7, 8 y 9) sobre plataformas Windows 2000, XP y 2003.

En este caso, la vulnerabilidad descubierta aprovecha un fallo en el manejo de los archivos Quicktime para ejecutar código malicioso. Mientras no exista un parche, se recomienda manejar con mucha precaución este tipo de ficheros en aquellos sistemas vulnerables.

Aprovechamos la aparición de esta vulnerabilidad para comentar a nuestros lectores un poco sobre las mismas. La propagación de este tipo de vulnerabilidades es práctica habitual en estos días y suele afectar a los programas de uso más común en nuestros sistemas. No hace mucho comentamos en este mismo blog la aparición de una vulnerabilidad de este tipo en la aplicación Power Point de Microsoft Office.

Para los creadores de código malicioso, estos agujeros de seguridad representan una ocasión perfecta para infectar un gran número de máquinas ya que la ventana de tiempo que existe entre el descubrimiento de estas vulnerabilidades y el lanzamiento de un parche que las solucione puede ser de días, semanas e incluso meses. Este periodo de tiempo resulta extremadamente largo si lo comparamos con la velocidad a la que se propaga el malware actualmente. La situación se agrava si la aplicación vulnerable resulta especialmente crítica en el uso cotidiano que damos a nuestro sistema (mención especial merecen los navegadores de Internet). Es por ello que los usuarios debemos extremar nuestras precauciones más de lo habitual ya que, si bien un buen antivirus puede detectar la mayoría de amenazas que intenten aprovecharse de estas vulnerabilidades, no resulta 100% eficaz ante la gran cantidad de códigos maliciosos que se crean cada día.

Es entonces donde debemos aplicar nuestro sentido común y una serie de buenos usos de nuestro sistema para mantener a estas amenazas alejadas del mismo. Tanto si tenemos constancia de que algún programa es vulnerable como si no, es altamente recomendable realizar análisis periódicos con la finalidad de reemplazar versiones obsoletas de nuestras aplicaciones o sistema por las más recientes, ya que estas incorporarán las mejoras en seguridad correspondientes.

Existen multitud de herramientas que nos ayudan en esta tarea y nos facilitan la labor de mantener nuestro sistema y las aplicaciones instaladas en él siempre al día. Secunia Software Inspector o FileHippo son dos ejemplos de las herramientas gratuitas más conocidas y usadas para estos menesteres y que recomendamos desde este blog. Realizar un análisis periódico de nuestro sistema con estas aplicaciones nos ayudará a descubrir posibles fallos de seguridad para que podamos tapar estos puntos débiles.

También observamos como a menudo muchos de los ataques están dirigidos a una aplicación en concreto. En este blog mismo hemos visto como los componentes de la suite ofimática Office ha sufrido ataques constantes, al igual que el navegador Internet Explorer o lectores PDF como Acrobat Reader. Resultaría interesante plantearse si nosotros, como usuarios, podemos cambiar estos programas por otros que cumplan la misma función pero que sean más seguros. Muchas veces esta migración no se realiza por simple desconocimiento o costumbrismo pero deberíamos plantearnos si queremos perder seguridad por no dedicar un poco de tiempo a investigar que otras alternativas de software existen en el mercado (tanto gratuitas como de pago).

Por último, destacar que las vulnerabilidades están a la orden del día en todos los sistemas operativos y no se limitan a Windows. Tan desprotegido se encuentra el administrador de un sistema Windows como el de un GNU/Linux, UNIX o Mac/OS si no sabe actualizar su sistema a tiempo y corregir los agujeros de seguridad de su sistema.

Josep Albors