Ciber-atacantes iranies suspenden el servicio de buscador chino

Categorias: Hacking | | 2 Comentarios » |

Cada vez es mas frecuente encontrarnos con noticias que hablan de ciber-ataques realizados por ciertos grupos contra objetivos de lo mas diverso. En este caso, el Iranian Cyber Army, responsable también del ataque a Twitter de hace unas semanas, ha atacado al principal motor de búsqueda web en China, Baidu.com.

El ataque consistió en un secuestro de las DNS de este buscador, redireccionando a todos los que intentaban acceder a la web del buscador a otra página donde se mostraba el siguiente mensaje:

Este ataque, interrumpió el correcto funcionamiento del buscador durante unas horas, impidiendo a los usuarios del mismo realizar búsquedas ya que se encontraban con el sitio caído y siendo redireccionados a la web preparada por los atacantes iraníes. El ataque resulta especialmente llamativo ya que no se conocen motivos para que estos activistas iraníes ataquen objetivos situados en China, mas allá de llamar la atención sobre la situación política de su país.

Por otra parte, esta agresión no ha quedado sin repuesta y, horas después de haberse detectado, varias paginas web iraníes fueron atacadas en represalia por un grupo de ciber-atacantes chinos, dejándolas tal y como se ve a continuación:

Esto parece haber sido un claro mensaje por parte de los ciber-atacantes chinos a los iraníes para avisarles de que no se les ocurra volver a intentar algo similar en su territorio.

A pesar de que estos sucesos puedan parecer anecdóticos, representan una amenaza seria y real, no solo para empresas y particulares sino también para los gobiernos. Como muestra, el ciber-ataque que sufrió Georgia a varias de las webs consideradas críticas de su gobierno y economía días antes de que Rusia procediera a invadir parte del territorio georgiano.

Esta claro que, cada vez mas, los ciudadanos, las empresas y los gobiernos dependemos de los servicios que se encuentran en las redes de comunicaciones. Sería interesante comenzar a plantearnos si los servicios críticos a los que se puede acceder a través de la red se encuentran debidamente protegidos o pueden ser vulnerables a un ataque.

Josep Albors.



Cuidado con las aplicaciones maliciosas para Android

Categorias: Malware,Phishing | | Sin comentarios » |

Los teléfonos móviles pueden parecer un terreno relativamente virgen en cuestión de amenazas informáticas pero, poco a poco vemos como esto está cambiando. Si hace unas semanas comentábamos un ataque dirigido a los usuarios que hubiesen aplicado el jailbreak a su iPhone, ahora son los usuarios de plataformas con sistema operativo Android los que se ven afectados por un caso de aplicaciones maliciosas.

Según se ha descubierto, uno de los muchos desarrolladores de aplicaciones para Android, concretamente el desarrollador Droid09, habría subido a la plataforma de descarga Android Market (similar a la App Store de Apple) varias aplicaciones maliciosas con la finalidad de robar datos de acceso a la banca online.

El método usado por estas aplicaciones maliciosas es el de abrir una shell (interprete de comandos) de forma oculta al usuario para robar las credenciales de acceso a la banca online. Se recomienda a los usuarios que pudieran haber instalado alguna de las aplicaciones de este desarrollador que las desinstalen lo antes posible, avisen a su entidad bancaria por si se hubiesen realizado operaciones no autorizadas y, sobretodo, cambien los datos de acceso a la banca online.

Tal y como anunciamos, los dispositivos móviles serán un mercado a tener en cuenta por los creadores de malware y esperamos que las amenazas para este tipo de dispositivos vayan aumentando. De momento, tanto los usuarios de Windows Mobile como de Symbian pueden proteger sus dispositivos con un antivirus diseñado para esta plataforma.

Josep Albors



Ejemplo de aprovechamiento de la vulnerabilidad de Adobe

Categorias: Botnets,Malware,Vulnerabilidades | | Sin comentarios » |

Como ya venimos indicando en estos últimos días, se está propagando multitud de malware aprovechando la vulnerabilidad no corregida (CVE-2009-4324) en productos de Adobe. En este caso nos encontramos con un ejemplo de descarga de malware mediante un enlace recibido a través de un correo electrónico como el que vemos a continuación:

Pulsando sobre ese enlace, accederemos a una dirección web preparada especialmente para descargar un archivo pdf malicioso de forma automática pero también invita al usuario a descargarse un ejecutable infectado con un troyano:

Este archivo aprovecha la vulnerabilidad descrita anteriormente y ejecuta código JavaScript en el sistema del usuario, pasando su máquina a formar parte de una botnet y siendo controlada por una aplicación web conocida como FSPACK.

Gracias a la colaboración de Jorge Mieres, experto analista de seguridad de ESET Latinoamérica, hemos conseguido extraer los ficheros .js y .swf que ejecutan la infección y acceder al panel de control de esta botnet:

Aunque la mayoría de mensajes que están propagando esta infección aun se encuentran en inglés no podemos bajar la guardia ya que no sería de extrañar que nos topásemos con ejemplos como el analizado en este artículo pero adaptados a los usuarios de habla hispana.

Para evitar ser infectados con estos métodos recuerden desactivar la función JavaScript en sus productos Adobe y contar con un antivirus actualizado capaz de detectar estas amenazas.

Josep Albors



Código malicioso ya explota vulnerabilidad de Adobe

Categorias: Malware,Vulnerabilidades | | Sin comentarios » |

Como ya comentamos en este mismo blog a medidos del mes pasado, la empresa Adobe informó de una vulnerabilidad (CVE-2009-4324) en algunos de sus programas que podría ser aprovechada por atacantes. A día de hoy ya hemos detectado varios casos de documentos pdf maliciosos que, aprovechándose de esta vulnerabilidad, infectan el sistema con un troyano a la vez que abren un inofensivo pdf con el programa Acrobat Reader.

Sabiendo que Adobe no lanzará un parche que solucione esta vulnerabilidad hasta el próximo día 12 de Enero, recomendamos a todos los usuarios de la aplicación Adobe Reader desactivar la ejecución de JavaScript tal y como ya indicamos en la entrada anterior de este blog que hablaba de esta vulnerabilidad.

Adobe por su parte, ya manifestó su interés en realizar actualizaciones periódicas como ya hace, por ejemplo, Microsoft. Ahora, sin embargo, y muy probablemente debido a la gran cantidad de vulnerabilidades detectadas en los últimos meses en sus productos, ha decidido ir un paso mas allá y afirma estar trabajando en un actualizador que trabaje de forma trasparente y no requiera la intervención del usuario. Significa esto un paso decidido para mejorar la seguridad de sus productos ya que permitirá tener actualizados todos sus productos independientemente de que el usuario se acuerde o no.

Josep Albors



« Artículos Posteriores

Atención: nuestra página utiliza cookies Al utilizar nuestro sitio web, consiente nuestra política de uso.

Aceptar y ocultar este mensaje