• Buscar

• Síguenos en Twitter

• Categorías

  • actualizaciones (24)
  • adware (3)
  • Anuncios (13)
  • Botnets (12)
  • Clickjacking (2)
  • Curiosidades (21)
  • Defacement (2)
  • Educación (50)
  • Estadísticas (3)
  • Eventos (11)
  • exploit (31)
  • General (18)
  • Hacking (23)
  • Herramientas (12)
  • Heurística (5)
  • Hoax (2)
  • Informes (6)
  • Ingenieria social (49)
  • Malware (147)
  • Phishing (31)
  • Piratería (4)
  • Productos (27)
  • redes sociales (26)
  • rogue (13)
  • Scam (1)
  • scareware (2)
  • seguridad (19)
  • Spam (63)
  • telefonía (2)
  • Tutoriales (18)
  • Vulnerabilidades (113)

• Archivos

  • Julio 2010 (36)
  • Junio 2010 (43)
  • Mayo 2010 (27)
  • Abril 2010 (26)
  • Marzo 2010 (14)
  • Febrero 2010 (16)
  • Enero 2010 (14)
  • Diciembre 2009 (7)
  • Noviembre 2009 (5)
  • Octubre 2009 (3)
  • Septiembre 2009 (3)
  • Agosto 2009 (8)
  • Julio 2009 (6)
  • Junio 2009 (2)
  • Mayo 2009 (4)
  • Abril 2009 (6)
  • Marzo 2009 (6)
  • Febrero 2009 (3)
  • Enero 2009 (3)
  • Diciembre 2008 (5)
  • Noviembre 2008 (5)
  • Octubre 2008 (10)
  • Septiembre 2008 (9)
  • Agosto 2008 (7)
  • Julio 2008 (8)
  • Junio 2008 (10)
  • Mayo 2008 (13)
  • Abril 2008 (12)
  • Marzo 2008 (7)
  • Febrero 2008 (5)
  • Enero 2008 (2)
  • Diciembre 2007 (7)
  • Noviembre 2007 (6)
  • Octubre 2007 (7)
  • Septiembre 2007 (9)
  • Agosto 2007 (3)
RSS Artículos | RSS Comentarios

Phishing a Bancaja

En las últimas horas hemos recibido una cantidad importante de correos supuestamente enviados desde la entidad Bancaja. El formato de los correos es bastante simple, tal y como se puede ver a continuación:

A pesar de que en el remitente aparezca el nombre de la entidad, realmente ha sido enviada desde una cuenta de correo personal por lo que deducimos que los remitentes de estos mensajes forman parte de algún tipo de botnet.

Se puede ver como se anuncia la recepción de un mensaje y se proporcionan dos enlaces para poder leerlo. Cuando pulsamos sobre cualquiera de estos enlaces accedemos a una página que simula ser un portal de entrada para usuarios particulares de la entidad:

A pesar de parecer una web auténtica, si observamos la barra de direcciones del navegador veremos como la estructura de la dirección web difiere de las páginas auténticas como esta:

Además, si bien la mayoría de los enlaces que aparecen el web falsa nos redirigen al sitio verdadero, hay una serie de enlaces, situados en la parte inferior de la casilla de registro, que no redirigen a ninguna parte y se muestra una pantalla de error:

Es importante estar alerta ante este tipo de engaños ya que cada vez son más sofisticados y pueden hacer picar a los usuarios menos precavidos. Tomando como ejemplo el caso que nos ocupa se podrían seguir las siguientes medidas de precaución:

- Desconfiar siempre de supuestos correos enviado por entidades bancarias. NUNCA se nos pedirá por parte de nuestro banco que accedamos a un sitio web donde debamos introducir nuestros datos de registro de banca online.

- Asegurarnos de que la pagina web de nuestro banco (o al menos aquellas partes de la web que requieran del envío de información sensible) se encuentre correctamente cifradas y este cifrado se encuentre verificado, tal y como se muestra en este ejemplo:

- Verifique en la barra del navegador que todas las direcciones de su entidad bancaria siguen la misma estructura. En este caso, la diferencia en las direcciones ha sido clave para detectar que el enlace enviado por correo se trataba de uno falso.

Con estos consejos y un buen uso del sentido común podremos evitar que nuestros ahorros caigan en malas manos.

Josep Albors

Actualización 24 de Julio: En las últimas horas hemos detectado como los mensajes de phishing ahora apuntaban a Caja Canarias. Las técnicas usadas eran las mismas que en el caso de Bancaja por lo que recomendamos tomar las mismas precauciones.

Vulnerabilidad grave en Firefox

Que los navegadores son uno de los vectores de ataque preferidos por los creadores de malware es algo que ya sabemos a estas alturas. Es por eso que cualquier vulnerabilidad descubierta en alguno de los navegadores más usados por los usuarios supone una amenaza para los usuarios. La vulnerabilidad que nos ocupa en este caso afecta al navegador Mozilla Firefox en su versión 3.5 y permite la ejecución de código con los mismos permisos en los que se esté ejecutando el navegador (que en la mayoría de casos será como Administrador).

Como en ocasiones anteriores, el problema radica en el manejo que realiza el navegador con el código Javascript. Siendo este el mayor agujero de seguridad que tiene los navegadores actualmente se hace necesario gestionar de alguna forma eficaz el acceso que hace el navegador cuando se pide la ejecución de este tipo de código. Por suerte, los usuarios de Firefox que lo deseen tiene a su disposición herramientas que permiten gestionar o anular del todo la ejecución de JavaScript como por ejemplo el famoso complemento NoScript.

Siendo actualmente el navegador parte fundamental del sistema operativo y una de las aplicaciones más usadas, se hace fundamental que los usuarios lo tengan actualizado y se dediquen a configurarlo para mitigar las amenazas que constantemente aparecen.

Josep Albors

Boletín mensual de actualizaciones soluciona 0 day

Como cada segundo martes de cada mes, Microsoft lanza sus parches de seguridad para sus sistemas operativos. En esta ocasión es importante destacar que, con la aplicación de estos parches, se solucionan dos vulnerabilidades graves. Entre ellas se encuentra la que comentábamos la semana pasada y que permitía tomar control de un sistema vulnerable aprovechando un fallo en una librería.

Sobra decir que se recomienda aplicar estos parches tan pronto como se encuentren disponibles. Especialmente grave es el caso descubierto la semana pasada puesto que Microsoft conocía de su existencia desde hace un año y no ha sida hasta esta última semana cuando se ha puesto manos a la obra para tratar de solucionarlo.

Esperamos que con la próxima salida de Windows 7 y sus mejoras en seguridad estas vulnerabilidades 0 day sean menos frecuentes. Mientras tanto, los usuarios podrán seguir informándose en blogs de seguridad para estar al día de las amenazas que puedan afectar a su sistema operativo.

Josep Albors

Librería de Windows afectada por 0 day

Según informan varios medios especializados entre los que destacamos a Hispasec, existe una vulnerabilidad 0 day en la librería msvidctl.dll de Windows que está siendo aprovechada por diversos atacantes. El vector de ataque, tal y como viene siendo habitual en los últimos meses, se realiza a través de scripts en páginas web que han visto comprometida su seguridad. A través de estas páginas, miles de usuarios pueden infectarse si no se toman las medidas adecuadas.

Además de las recomendaciones habituales de mantener nuestro sistemas de seguridad (antivirus, cortafuegos) actualizados o de evitar cargar scripts maliciosos, mediante el uso de aplicaciones cono NoScript en el navegador Firefox, desde Hispasec se nos recomienda (al menos hasta que este exploit esté corregido por Microsoft) activar el kill bit de control, creando, con permisos de administrador, un fichero de texto, guardarlo con la extensión .reg, haciendo doble clic sobre el mismo y contestar SÍ cuando el sistema nos pregunte si deseamos añadir esa clave al registro. El contenido de ese fichero debe ser:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\
ActiveX Compatibility\{0955AC62-BF2E-4CBA-A2B9-A63F772D46CF}]
“Compatibility Flags”=dword:00000400

La aparición de este tipo de exploits o vulnerabilidades no es nueva y muy seguramente veamos más en los próximos meses. Esperamos que las medidas de seguridad anunciadas para Windows 7 ayuden a mitigar estas amenazas. Mientras tanto los usuarios deberán permanecer informados sobre todas las amenazas que puedan afectar a su sistema y tratar de protegerse con soluciones de seguridad con defensa proactiva.

Josep Albors.

Actualización 8 de Julio: Microsoft ha puesto a disposición de los usuarios una solución temporal que puede ser descargada desde aquí.

Malware se aprovecha del fallecimiento de Michael Jackson

Una semana después de la trágica muerte del, considerado por muchos, rey del pop, ríos de tinta se han vertido en los medios de comunicación especulando sobre su misteriosa muerte. Sabiendo de la repercusión a nivel mundial de una noticia de tal magnitud, los creadores de malware no han desaprovechado la oportunidad y, apenas instantes después de conocerse la muerte del cantante, emprendieron una campaña masiva de envío de correos no deseados que pretendían infectar a la mayor cantidad de usuarios posible usando varias técnicas.

En algunos correos se nos adjuntaba un fichero que simulaba ser un documento de Word con las letras de nuevas canciones no publicadas. En realidad se trataba de un fichero ejecutable que usa la técnica de engaño que ya hemos visto en ocasiones anteriores.

Otro ejemplo es el envío de correos que afirman conocer los secretos tras la muerte del artista y ofrecen la descarga de un vídeo mediante un enlace introducido en el correo. Si se observa el enlace veremos que realmente se trata, de nuevo, de un fichero ejecutable que descarga un código malicioso. A continuación un ejemplo de este tipo de correos:

Una variante más elaborada del ejemplo anterior es el envío de enlaces que nos dirigen a un sitio web donde se descarga el malware al pulsar sobre el falso video o bien cuando nos disponemos a descargar un falso códec. Es entonces cuando procederá a descargar el código malicioso tal y como se ve en la imagen a continuación.

No es extraño que veamos en un futuro cercano mas amenazas que intenten aprovecharse de la importancia de esta noticia como puedan ser archivos .mp3 infectados o supuestos recopilatorios de los varios discos del cantante en las redes P2P que contengan códigos maliciosos.

Cuando suceden este tipo de noticias es ya común que se aproveche la repercusión mediática de las mismas para engañar a la gente mediante ingeniería social. Sin ir más lejos, desde ESET estamos atentos a la reactivación de la botnet Waledac con motivos de las celebraciones del día de la independencia en Estados unidos (4 de julio). Esta botnet es conocida por realizar campañas masivas de envío de correos no deseados aprovechando fechas destacadas del calendario como fue, por ejemplo, el día de los enamorados.

Ante este tipo de engaños y amenazas la primera línea de defensa es el sentido común de los usuarios que, por defecto, deben desconfiar, por muy curiosos que puedan estar por conocer más detalles de la noticia.

Josep Albors

España a la cabeza del ranking de ataques maliciosos en Internet.

Recientemente se publicó el informe del Barómetro de Internet de Interoute donde aparecían los países con mayores ataques maliciosos en Internet. En ese Ranking, España aparecía en primer lugar, seguida de Reino Unido y Alemania. Los ataques de denegación de servicio (DDoS) y las redes botnet son las principales amenazas provenientes de Internet que analiza este informe y demuestra que aun nos queda mucho trabajo por hacer para securizar nuestros sistemas.

La aparición de España como primera en este ranking no nos sorprende a los que seguimos de cerca este tipo de noticias ya que, si bien los usuarios españoles hemos mejorado bastante la seguridad de nuestros sistemas en los últimos años, también es cierto que nuestra presencia en la red de redes ha experimentado un crecimiento exponencial (redes sociales, foros, descargas P2P, etc.).

Si analizamos a fondo estas amenazas observaremos que todo empieza por la infección de un sistema vulnerable sin protección antivirus o con esta mal configurada. Una vez el sistema se encuentra infectado, pasará a formar parte de un botnet que empleará los recursos de esa máquina infectada para enviar spam, códigos maliciosos o ataques a máquinas criticas como son los servidores web.

Es por eso que, si deseamos que los ataques provenientes desde Internet no representen la amenaza que son ahora, debemos empezar por las máquinas que usamos los usuarios para que estas no puedan ser empleadas por los creadores de malware con fines maliciosos. Tal y como se ha venido recomendando, mantener el sistema y los programas que usamos actualizados a la vez que contar con una protección antivirus eficaz es el primer paso para hacer que España abandone ese primer puesto del ranking.

Josep Albors