• Buscar

• Síguenos en Twitter

• Categorías

  • actualizaciones (44)
  • adware (4)
  • Anuncios (30)
  • Apple (7)
  • BlackHat SEO (5)
  • Botnets (34)
  • Clickjacking (6)
  • Curiosidades (35)
  • datos (7)
  • DDoS (3)
  • Defacement (7)
  • Educación (67)
  • entrevista (3)
  • Espionaje (10)
  • Estadísticas (8)
  • Eventos (14)
  • exploit (59)
  • Facebook (12)
  • Filtraciones (22)
  • General (39)
  • Hacking (55)
  • hacktivismo (16)
  • Herramientas (18)
  • Heurística (6)
  • Hoax (3)
  • Informes (15)
  • Ingenieria social (94)
  • Juegos (3)
  • Mac (6)
  • Malware (239)
  • Phishing (55)
  • Piratería (6)
  • Privacidad (13)
  • Productos (36)
  • redes sociales (60)
  • rogue (25)
  • rootkit (1)
  • Scada (4)
  • Scam (18)
  • scareware (2)
  • seguridad (76)
  • sorteos (2)
  • Spam (118)
  • spyware (2)
  • telefonía (27)
  • Troyanos (5)
  • Tutoriales (18)
  • Unix (1)
  • Vulnerabilidades (186)

• Archivos

  • febrero 2012 (4)
  • enero 2012 (26)
  • diciembre 2011 (17)
  • noviembre 2011 (19)
  • octubre 2011 (20)
  • septiembre 2011 (23)
  • agosto 2011 (24)
  • julio 2011 (18)
  • junio 2011 (16)
  • mayo 2011 (18)
  • abril 2011 (11)
  • marzo 2011 (18)
  • febrero 2011 (17)
  • enero 2011 (19)
  • diciembre 2010 (20)
  • noviembre 2010 (22)
  • octubre 2010 (27)
  • septiembre 2010 (30)
  • agosto 2010 (24)
  • julio 2010 (36)
  • junio 2010 (43)
  • mayo 2010 (27)
  • abril 2010 (26)
  • marzo 2010 (14)
  • febrero 2010 (16)
  • enero 2010 (14)
  • diciembre 2009 (7)
  • noviembre 2009 (5)
  • octubre 2009 (3)
  • septiembre 2009 (3)
  • agosto 2009 (8)
  • julio 2009 (6)
  • junio 2009 (2)
  • mayo 2009 (4)
  • abril 2009 (6)
  • marzo 2009 (6)
  • febrero 2009 (3)
  • enero 2009 (3)
  • diciembre 2008 (5)
  • noviembre 2008 (5)
  • octubre 2008 (10)
  • septiembre 2008 (9)
  • agosto 2008 (7)
  • julio 2008 (8)
  • junio 2008 (10)
  • mayo 2008 (13)
  • abril 2008 (12)
  • marzo 2008 (7)
  • febrero 2008 (5)
  • enero 2008 (2)
  • diciembre 2007 (7)
  • noviembre 2007 (6)
  • octubre 2007 (7)
  • septiembre 2007 (9)
  • agosto 2007 (3)
RSS Artículos | RSS Comentarios

Fallo de seguridad permitiría obtener credenciales de usuarios de Twitter

A día de hoy, las redes sociales suponen un objetivo muy tentador para los creadores de malware. En ellas se almacenan muchos datos personales que pueden utilizarse para preparar ataques elaborados a objetivos concretos. Además, al haber muchas personas conectadas entre sí resulta muy sencillo propagar enlaces y aplicaciones maliciosos entre usuarios que, por regla general, suelen bajar la guardia cuando se trata de interactuar con supuestas amistades.

Una de las redes mas famosas es Twitter, donde los usuarios intercambian sus opiniones o comentarios en micro posts de no mas de 140 caracteres. Recientemente se ha sabido que esta empresa deshabilitó una característica de esta red debido a que podía ser aprovechada por atacantes para obtener las credenciales de acceso de sus usuarios. Este ataque aprovecharía una vulnerabilidad en Adobe Flash descubierta en 2006, vulnerabilidad de la que informó debidamente Adobe y que ya no debería suponer un riesgo si los sitios webs que se veían afectados hubiesen actuado en consecuencia.

Los ataques a Twitter y el uso de esta red como vector de ataques no es nuevo ya que durante todo 2009 vimos como los creadores de malware usaron esta plataforma bastante asiduamente. El uso de la ingeniería social para engañar a los usuarios para que pulsaran enlaces maliciosos fue y sigue siendo una de las mejores bazas de los ciberdelincuentes. No obstante, no debemos olvidarnos de otros clásicos como el spam o el phising que también supieron aprovecharse de las características de Twitter.

Como red social que es también comparte otras amenazas con Facebook, Tuenti, Hi5 o similares. Así pues, también encontramos casos de aplicaciones maliciosas, gusanos (Koobface es un buen ejemplo) o la suplantación de identidad. No obstante, también encontramos casos excepcionales como fue el uso de Twitter como plataforma para dar ordenes a Botnets.

En resumen. Las amenazas en las redes sociales están a la orden del día. No son ningún caso aislado y van a ir aumentando su número al mismo ritmo de crecimiento de las redes sociales. Es tarea de los usuarios el usar el sentido común y unas buenas herramientas de protección para evitar caer en la trampa de los ciberdelincuentes.

Josep Albors

Nuevo gusano MBR a la antigua usanza

Los laboratorios de ESET en Eslovaquia nos avisan de un nuevo gusano que se propaga rápidamente y que modifica el primer sector (MBR) de todos los discos a los que tenga acceso. El problema es mas grave si tenemos en cuenta que la recuperación de los datos almacenados en los discos afectados resulta difícil y puede requerir la ayuda de programas o profesionales especializados en estos menesteres.

Aunque originalmente este gusano tenía como objetivo una asociación de moteros del centro de Eslovaquia, en el momento de publicar esta noticia, ya se había extendido a varios países europeos (entre los que se incluye España), EE.UU. y Tailandia.

Hasta ahora, los laboratorios de ESET han conseguido identificar dos variantes de este gusano, conocidas como Win32/Zimuse.A y Win32/Zimuse.B, variantes que difieren en el modo de propagación y el tiempo de activación. Mientras la variante A necesita 10 días antes de empezar a propagarse usando dispositivos USB, la variante B tan solo necesita 7 días. En cuanto a la ejecución de la rutina que deja los discos inservibles, la variante A tarda 40 días en activarse mientras que la variante B reduce este tiempo a la mitad. No obstante, si se usa un método de desinfección inadecuado, el gusano activa inmediatamente su rutina destructiva, como si hubiésemos cortado el cable equivocado al tratar de desactivar una bomba.

Este gusano utiliza dos vías de propagación, bien introduciéndose en páginas web legítimas en forma de un archivo ZIP autoextraible o un programa para evaluar el coeficiente intelectual, o bien usando medios extraíbles como puedan ser las memorias USB. Ha sido este segundo método, el principal responsable de su rápida propagación, la cual, según los últimos datos recibidos, esperamos que siga creciendo.

Es curioso y atípico encontrar, a día de hoy, ejemplares de malware como el aquí descrito. Muestras como esta pertenecen a la vieja escuela de creadores de virus, que no perseguían (en su mayoría) un fin económico. En este caso en concreto, tampoco vemos mucha sofisticación a la hora de escribir el código ya que ni siquiera cifra el contenido del disco atacado y tan solo busca corromper el MBR.

Aquellos usuarios que utilicen soluciones actualizadas de ESET como ESET NOD32 Antivirus y ESET Smart Security pueden estar tranquilos, ya que este gusano está detectado y su solución de seguridad podrá eliminarlo sin problemas. En el caso de que lo necesitase, ESET ha puesto a disposición de los usuarios una herramienta de limpieza específica para esta amenaza.

Aunque las nuevas amenazas tienen un nivel de propagación muy elevada, no debemos olvidar que códigos maliciosos diseñados a la antigua usanza también pueden beneficiarse de los medios de interconexión entre ordenadores y la velocidad de las redes actuales. Asimismo, amenazas de este tipo nos recuerdan la importancia de realizar copias de seguridad de nuestros discos para evitar perder información valiosa en el caso de que sufran algún daño.

Josep Albors

Aplicaciones maliciosas secuestran perfiles de Facebook

En las típicas previsiones para el año entrante que se suelen hacer, muchos expertos en seguridad vaticinaron que las redes sociales verían incrementado el número de ataques que tienen a sus usuarios como objetivo. Uno de estos expertos es el investigador Nitesch Dhanjani quien ha alertado de la posibilidad de que los datos de acceso a la cuenta de Facebook sean capturados mientras se interactúa con otro sitio web relacionado con aplicaciones de terceros.

Este tipo de aplicaciones son muy famosas entre los usuarios de esta red social, variando desde simples juegos a aplicaciones mas complejas. El problema radica en que muchos usuarios de Facebook utilizan aplicaciones de terceros que no han sido verificadas, posiblemente creadas por ciberdelincuentes para obtener los datos de acceso a las cuentas de los usuarios.

Normalmente, cuando se requería el acceso a los datos del usuario por parte de este tipo de aplicaciones, Facebook avisaba con una ventana de los peligros que esta acción podría acarrear. Sin embargo, desde el cambio en la política de privacidad, estas aplicaciones no requieren mostrar el mensaje de advertencia. Con este cambio de política, Facebook añade una mayor cantidad de aplicaciones de otras compañías en su red social pero a costa de omitir la verificación de las mismas exponiendo así a los usuarios a posibles ataques.

Según el investigador Shlomi Narkolayev se pueden preparar ataques del tipo clickjacking para secuestrar cuentas de Facebook usando ingeniería social para redirigir a los usuarios a webs con contenido malicioso. Este investigador ha publicado en su blog un video donde muestra un ejemplo de como sería un ataque de este tipo.

Clickjacking es una técnica usada con fines maliciosos que engaña a los usuarios, permitiendo revelar información confidencial de estos o tomar el control de sus sistemas, por el mero acto de pulsar sobre enlaces aparentemente inofensivos. Esta vulnerabilidad puede encontrarse en casi todos los navegadores y plataformas.

Sabiendo que muchos usuarios simplemente se limitan a coleccionar este tipo de aplicaciones sin comprobar su origen y, lo que es peor, promocionarlas entre sus amistades, la velocidad de propagación de este tipo de amenazas suele ser bastante elevada.

Desde aquí recomendamos verificar siempre el origen de estas aplicaciones e instalarlas únicamente si se ha comprobado que el autor es de plena confianza.

Josep Albors

Nuevas funciones de Internet Explorer 8 para una navegación más segura

La navegación web sigue siendo el punto fuerte de Internet. Podemos realizar transacciones online, acceder a foros, juegos online, nuestra red o redes sociales. Por ello es necesario comprobar la seguridad de la aplicación que utilizamos, para realizar estas con total seguridad e impedir cualquier fuga de información.

A continuación explicaremos nuevas características, a nivel de seguridad, de las que dispone el navegador Internet Explorer 8.

La exploración InPrivate, evita que Internet Explorer almacene datos sobre su sesión de exploración. Esto evita que cualquier otra persona que use su equipo pueda tener acceso al historial de sitios visitados. Las barras de herramientas y las extensiones quedan deshabilitadas de forma predeterminada.

Podemos abrir una ventana desde el menú Seguridad > Exploración de InPrivate o presionar la combinación de teclas Ctrl + Mayús + P una vez abierto el navegador.

El modo protegido de Internet Explorer sirve para dificultar la instalación de software malintencionado en el equipo, y desautoriza la instalación deliberada de controles o complementos de ActiveX. Dicha opción está activada por defecto cuando navegamos a través de Internet Explorer y se muestra de la siguiente forma en la barra de estado:

Podemos activar y desactivar el modo protegido desde el menú Herramientas > Opciones de Internet > Pestaña Seguridad:

El Filtro SmartScreen es otra característica de Internet Explorer la cual detecta sitios web que intentan suplantar la identidad de otros. El Filtro SmartScreen también ayuda en la protección contra la instalación de software o malware malintencionados.

Para comprobar una página web debemos acceder al menú Herramientas > Filtro SmartScreen > Comprobar este sitio web. Aparecerá una ventana donde nos indicará la peligrosidad de la web. También tenemos la opción desde este mismo menú (Filtro SmartScreen) de Notificar un sitio web como no seguro.

Ejemplo de página analizada por el filtro Smart Screen:

Este tipo de herramientas incluidas en la versión 8 de Internet Explorer pueden sernos de gran ayuda a la hora de realizar una navegación más segura, tanto en la protección de la privacidad,  como a la hora de evitar cualquier tipo de software malicioso o página fraudulenta mientras navegamos.

David Sánchez

Microsoft lanzará hoy un parche que soluciona vulnerabilidad en Internet Explorer

Microsoft ha decido saltarse su política habitual de lanzar actualizaciones para sus productos el segundo martes de cada mes y publicará, hoy mismo, una actualización para solucionar la grave vulnerabilidad de Internet Explorer que tan comentada ha sido en los últimos días.

Según informa Microsoft en un boletín de seguridad lanzado ayer, este parche está destinado a todas las versiones de Windows soportadas actualmente por la empresa, versiones que van desde el Windows 2000 SP4 al reciente Windows 7.

No hace falta avisar a estas alturas de la importancia de instalar este parche tan pronto como se encuentre disponible para su descarga, sobretodo en aquellos entornos corporativos que no quieran verse afectados por ataques como los sufridos recientemente por Google, Adobe y varias empresas mas.

Josep Albors.

Escalada de privilegios en Windows con exploit 0 day

Según acaba de publicar la empresa Hispasec Sistemas en su web, se ha descubierto un exploit capaz de escalar privilegios en un sistema Windows. Su descubridor, Tavis Ormandy, ya avisó de esta vulnerabilidad a Microsoft en junio del año pasado pero aun no se ha publicado ningún parche que la solucione.

El exploit en sí permite ejecutar código con los máximos privilegios que hay en el sistema, aunque el usuario tenga establecidos unos permisos mínimos. Esto afecta sobremanera a todos aquellos usuarios empresariales ya que sus cuentas suelen tener una serie de permisos limitados para mitigar precisamente los efectos de ejecutar código no autorizado. Por otra parte, los usuarios domésticos tienen la mala costumbre de proclamarse administradores del sistema por lo que esta vulnerabilidad del sistema no causará mas estragos que los que ya causa esta manera de gestionar el sistema.

En la noticia comentada en la web de Hispasec se ofrecen información mas detallada acerca de esta vulnerabilidad, causada por un fallo de diseño que afecta a todos los sistemas Windows de 32 bits y arquitectura NT. Asimismo, ofrecen una solución temporal, orientada principalmente a todos los administradores de redes de usuarios que quieran mitigar los efectos de este exploit con tan solo aplicar una nueva política.

Es de prever que esta vulnerabilidad del sistema sea ampliamente aprovechada durante los próximos días y hasta que se publique un parche de seguridad que la solucione.

Josep Albors

Actualización crítica de seguridad para Apple Mac OS X

A pesar de que habitualmente hablamos de las actualizaciones de seguridad de Windows por ser las que ocurren con mas frecuencia, no debemos olvidar que todos los sistemas operativos lanzan cada cierto tiempo (dependiendo del fabricante) sus propias actualizaciones para mejorar la seguridad y funcionalidad.

En este caso no toca hablar de la primera actualización importante de seguridad del año para la plataforma Apple , mas concretamente, sus sistemas Mac OS X 10.5 y Mac OS X 10.6. Esta actualización de seguridad soluciona vulnerabilidades que podrían hacer que se ejecutase código malicioso si el usuario abriese ficheros de audio especialmente modificado o accediese a webs comprometidas.

Asimismo, se ha aprovechado esta actualización para solucionar los fallos de seguridad que contiene la versión de Adobe Flash Player que viene incluida en el sistema operativo. Recordemos que las recientes vulnerabilidades descubiertas y solucionadas por Adobe no distinguen entre plataformas y pueden ser aprovechadas en todos aquellos sistemas operativos en las que se encuentren instaladas.

Para comprobar si tenemos actualizaciones disponibles para nuestro sistema Mac OS X, simplemente deberemos acceder al apartado de Preferencias del sistema > Sistema > Actualización de software. Veremos como por defecto se encuentra configurado para buscar y descargar actualizaciones una vez a la semana pero si lo deseamos podemos proceder a realizar esas actualizaciones de forma inmediata pulsando sobre el botón “Buscar ahora”.

Aunque sistemas como Mac OS X y GNU/Linux se ven menos amenazados por las amenazas actuales (centradas en su gran mayoría en atacar a sistemas Windows) esto no significa que los usuarios de estas plataformas deban despreocuparse de la seguridad de su equipo. Muchas veces, esta sensación de falsa seguridad, de ser invulnerable, hace que los usuarios se confíen y terminen cayendo en engaños como el phishing o ejecuten archivos preparados específicamente para atacar a sus sistemas. Aun son relativamente pocos, pero desde nuestros laboratorios venimos observando una tendencia al alza de equipos infectados que forman parte de redes zombies y que usan sistemas operativos distintos de Windows.

Para terminar, tan solo recordar que los buenos hábitos de navegación, la defensa y actualización de nuestros sistemas y el sentido común se aplican a todos los usuarios, independientemente del sistema operativo que usen.

Josep Albors

Nuevos casos de PDF infectados

En anteriores entradas de este blog ya indicamos algunos de los métodos de propagación que se estaban usando para propagar ficheros PDF infectados que se aprovechasen de la última vulnerabilidad crítica de Adobe. Hoy vemos como métodos tradicionales de envío de malware han sido reciclados para propagar nuevas variantes.

En nuestra bandeja de entrada de correo, hemos recibido varios mensajes donde se nos pregunta por una foto que supuestamente nos han tomado, proporcionando un enlace para visualizarla:

Cuando pulsamos sobre el enlace, se nos redirige a una web de descargas desde la que descargará automáticamente un archivo con el nombre “pdf.pdf”:

El fichero descargado esta modificado especialmente para aprovecharse de la vulnerabilidad CVE-2009-4324 que afectaba a los programas Adobe Reader y Acrobat de la empresa Adobe, empresa que publicó el pasado 12 de enero un parche para solucionar este fallo.

Se recomienda a todos aquellos usuarios que aun no hayan aplicado este parche y estén usando versiones vulnerables de estos programas, actualicen lo antes posible puesto que es muy probable que veamos mas ataques de este tipo en las próximas semanas.

Josep Albors

Vulnerabilidad 0-day de IE usada para atacar grandes empresas

Mucho se ha hablado en los últimos días de los ataques sufridos por varias empresas importantes que vieron como se accedía a sus redes internas y se extraía información confidencial de las mismas. Al principio, fueron Adobe y Google las que anunciaron que habían sido víctimas de estos ataques pero, a día de hoy, ya son mas de 30 las empresas afectadas por este ataque y posterior robo de información.

Durante estos días, varios investigadores expertos en códigos maliciosos han analizado este ataque y han descubierto que aprovechaba una vulnerabilidad aun no publicada de diferentes versiones de Internet Explorer (lo que se conoce comúnmente como 0-day). El ataque sufrido por estas empresas fue obra de cibercriminales metódicos y bien preparados con sede, supuestamente, en China. No obstante, ahora que esta vulnerabilidad se ha hecho pública, es mas que probable que veamos como otro tipo de ciberdelincuentes la aprovechen para infectar el mayor número de sistemas posible.

Microsoft ya publicó el pasado día 14 un informe donde avisaba de esta vulnerabilidad y nombraba los sistemas y versiones del navegador que eran vulnerables. Los usuarios pueden comprobar si son vulnerables a este tipo de ataque, consultando la tabla ofrecida por el fabricante. Como solución, Microsoft ofrece actualizar a la versión mas reciente de su navegador (IE8) o habilitar la opción DEP en aquellos sistemas mas antiguos con versiones anteriores de Internet Explorer.

También se prevee que se publique un parche que solucione esta vulnerabilidad aunque Microsoft no se ha pronunciado sobre si este parche se publicará fuera del ciclo habitual de actualizaciones de Windows.

Incidentes como este nos recuerda, una vez mas, la importancia de mantener nuestros sistemas y aplicaciones actualizadas aunque, en este caso también se podría evitar usando navegadores alternativos como Firefox, Opera o Google Chrome.

Josep Albors

Malware aprovecha terremoto en Haití para propagarse

Que los creadores de malware aprovechan cualquier ocasión para intentar esparcir sus creaciones es algo que ya damos por sentado, aunque sea aprovechando una catástrofe humanitaria como el terremoto acontecido recientemente en Haití. Así pues, ante la falta de información oficial, millones de usuarios intentan buscar datos en forma de videos o imágenes que puedan ayudar a conocer la situación en la zona devastada.

Como lo mas lógico es que los usuarios utilicen un buscador web, los creadores de malware han usado técnicas de Black-Hat SEO para posicionar los enlaces maliciosos entre los primeros resultados, tal y como vemos a continuación:

Si el usuario pulsa sobre uno de estos enlaces maliciosos, su navegador se minimizará y aparecerá un mensaje de alerta en el centro de su pantalla, avisándole de que su ordenador se encuentra en peligro e indicándole de que debe realizar un análisis del sistema en búsqueda de códigos maliciosos.

Seguidamente veremos como se abre una pantalla en nuestro navegador que simula ser un análisis de nuestro sistema, con una barra de progreso y un resumen de las amenazas supuestamente detectadas. Como dato anecdótico, las carpetas y la interfaz siempre harán referencia a las que podemos encontrar en un sistema Windows, aunque estemos usando GNU/Linux o Mac OS/X.

Una vez finalizado el falso análisis aparecerá una ventana mostrándonos un resumen con las amenazas supuestamente detectadas.

Por último, una nueva ventana aparecerá invitándonos a descargar una aplicación de seguridad con la que desinfectar nuestro sistema de las falsas amenazas detectadas.

Como vemos, la metodología de este ataque no es novedosa y ya hemos podido observarla con anterioridad pero, la curiosidad de los usuarios para obtener información sobre noticias de actualidad, hace que los creadores de malware solo tengan que modificar un poco los enlaces y usar la ingeniería social para que, con poco esfuerzo, sus creaciones vuelvan a estar vigentes.

Para evitar ser infectados por este tipo de amenazas deberemos, además de contar con un antivirus actualizado, desconfiar de enlaces desconocidos cuando busquemos información y acudir únicamente a sitios de reputación contrastada. Asimismo, si por accidente pulsamos sobre alguno de los enlaces maliciosos tan solo deberemos evitar descargar el malware que se nos ofrecerá en el último paso para evitar exponer nuestro sistema a riesgos innecesarios.

Josep Albors

Actualización 15/01/2010: En el momento de escribir esta actualización, los enlaces maliciosos han visto aumentado su número consideráblemente, llegando a copar los primeros resultados en los buscadores cuando se solicita información acerca de como realizar donaciones. Durante varias horas, Google ha llegado a mostrar enlaces maliciosos directamente cuando se introducia información para buscar formas de donar dinero para ayudar a las víctimas del desastre y se pulsaba sobre el botón “Voy a tener suerte”. Como el resto de campañas de este tipo, esperamos que haya un pico de enlaces maliciosos y después remitan este tipo de infecciones.

Artículos Anteriores »