• Buscar

• Síguenos en Twitter

• Categorías

  • actualizaciones (45)
  • adware (4)
  • Android (2)
  • Anuncios (30)
  • Apple (12)
  • BlackHat SEO (5)
  • Botnets (41)
  • Cálico Electrónico (1)
  • Clickjacking (7)
  • Curiosidades (38)
  • datos (9)
  • DDoS (3)
  • Defacement (7)
  • Educación (72)
  • entrevista (5)
  • Espionaje (11)
  • Estadísticas (9)
  • Eventos (14)
  • exploit (66)
  • Facebook (16)
  • Filtraciones (25)
  • General (59)
  • Hacking (58)
  • hacktivismo (19)
  • Herramientas (18)
  • Heurística (6)
  • Hoax (3)
  • Humor (1)
  • Informes (16)
  • Ingenieria social (98)
  • Juegos (5)
  • Mac (10)
  • Malware (243)
  • Phishing (59)
  • Piratería (7)
  • Privacidad (20)
  • Productos (36)
  • ransomware (3)
  • redes sociales (65)
  • rogue (25)
  • rootkit (1)
  • Scada (4)
  • Scam (21)
  • scareware (2)
  • seguridad (80)
  • sorteos (2)
  • Spam (123)
  • spyware (2)
  • telefonía (33)
  • Troyanos (12)
  • Tutoriales (19)
  • Unix (1)
  • Vulnerabilidades (197)

• Archivos

  • mayo 2012 (13)
  • abril 2012 (12)
  • marzo 2012 (22)
  • febrero 2012 (21)
  • enero 2012 (26)
  • diciembre 2011 (17)
  • noviembre 2011 (19)
  • octubre 2011 (20)
  • septiembre 2011 (23)
  • agosto 2011 (24)
  • julio 2011 (18)
  • junio 2011 (16)
  • mayo 2011 (18)
  • abril 2011 (11)
  • marzo 2011 (18)
  • febrero 2011 (17)
  • enero 2011 (19)
  • diciembre 2010 (20)
  • noviembre 2010 (22)
  • octubre 2010 (27)
  • septiembre 2010 (30)
  • agosto 2010 (24)
  • julio 2010 (36)
  • junio 2010 (43)
  • mayo 2010 (27)
  • abril 2010 (26)
  • marzo 2010 (14)
  • febrero 2010 (16)
  • enero 2010 (14)
  • diciembre 2009 (7)
  • noviembre 2009 (5)
  • octubre 2009 (3)
  • septiembre 2009 (3)
  • agosto 2009 (8)
  • julio 2009 (6)
  • junio 2009 (2)
  • mayo 2009 (4)
  • abril 2009 (6)
  • marzo 2009 (6)
  • febrero 2009 (3)
  • enero 2009 (3)
  • diciembre 2008 (5)
  • noviembre 2008 (5)
  • octubre 2008 (10)
  • septiembre 2008 (9)
  • agosto 2008 (7)
  • julio 2008 (8)
  • junio 2008 (10)
  • mayo 2008 (13)
  • abril 2008 (12)
  • marzo 2008 (7)
  • febrero 2008 (5)
  • enero 2008 (2)
  • diciembre 2007 (7)
  • noviembre 2007 (6)
  • octubre 2007 (7)
  • septiembre 2007 (9)
  • agosto 2007 (3)
RSS Artículos | RSS Comentarios

Nueva vulnerabilidad en Windows 7

Según informa Microsoft en el aviso de seguridad emitido ayer, existe una vulnerabilidad que afecta a los sistemas Windows 7 y Windows Server 2008 R2. Dicha vulnerabilidad se encontró en el control de pantalla de Canonical (cdd.dll), usado por la composición del escritorio para mezclar los gráficos de Windows Graphics Device Interface (GDI) y los dibujos de DirectX.

Los investigadores de Microsoft creen que, en caso de ser aprovechada, esta vulnerabilidad podría causar, en la mayoría de casos, que el sistema dejase de responder y se reiniciase. En teoría, la ejecución de código es posible, pero las implementaciones en materia de seguridad que realizó Microsoft en estos sistemas operativos hace que el aprovechamiento de esta vulnerabilidad para ejecutar malware sea bastante difícil.

Para que esta vulnerabilidad pueda ser aprovechada, se ha de tener activado el tema Windows Aero, por lo que su desactivación evitará que su sistema pueda ser afectado. Recordamos que Aero se encuentra desactivado por defecto en Windows Server 2008 R2 por lo que recomendamos desactivarlo únicamente en sistemas Windows 7 que se crean vulnerables. Para realizar dicha acción acceda al Panel de control > Personalización y elija uno de los temas básicos o de contraste alto en lugar de uno de los temas de Aero.

Desde Microsoft también se ha informado que no se tiene constancia de que haya ningún exploit publicado para esta vulnerabilidad, aunque esto podría cambiar en el futuro por lo que recomendamos tomar las medidas de precaución necesarias.

Josep Albors

El vendedor de 1 millón y medio de cuentas de Facebook localizado

Según informa el portal Computerworld, la red social Facebook, en colaboración con el grupo de seguridad Verising iDefense, han localizado al hacker llamado Kirllos, el cual intentó recientemente vender un 1 millón y medio de cuentas de Facebook.

Los detalles de la operación todavía son escasos pero sí que ha trascendido que Kirllos podría haber vendido ya hasta 700.000 cuentas, y según Verising iDefense, pedía entre 25$ y 45$ por cada 1000 cuentas, dependiendo de la calidad del usuario de Facebook.

Según Computerworld, en declaraciones realizadas por el portavoz de Facebook Axten Simon: “Hemos determinado la identidad de Kirllos a través de las direcciones IP, cuentas en línea y otra información, y creo que es muy probable que sea un hacker de bajo nivel”.

Además, el expediente de Kirllos fue entregado a la policía, pero también se indicaba que si esta actuación tuvo lugar en Rusia la denuncia no podrá ser procesada. Es extremadamente difícil detener a los piratas informáticos rusos, sobre todo si la intrusión se produjo en otro país.

Axten Simon también indico que Kirllos desapareció de los foros de hacking después de que su oferta se hiciera pública y que tampoco respondió a Facebook cuando los investigadores trataron de comprar más cuentas.

David Sánchez

Falso video en facebook usado con fines maliciosos

Durante el pasado fin de semana observamos como varios usuarios de Facebook colgaban en su muro un mensaje idéntico con un vídeo  adjunto. Como ya hemos comprobado en ocasiones anteriores, esto es síntoma de una propagación masiva de algún nuevo malware así que decidimos investigar un poco.

Nos encontramos con bastantes perfiles con el mensaje que vemos a continuación en su muro:

En la imagen observamos un texto donde nos menciona que se trata “del vídeo más sexy de la historia” y se acompaña de una imagen sugerente, incitando al usuario a que pulse sobre la misma y se reproduzca el mencionado video. No obstante, en lugar de llevarnos al prometido vídeo, se nos llevaba a una aplicación de Facebook donde se nos indicaba que no teníamos nuestro reproductor multimedia actualizado y nos invitaba a descargar la última versión. Si aceptamos y descargamos el instalador desde ese enlace, lo único que conseguiremos será instalar una gran cantidad de adware (publicidad no deseada) en nuestro sistema.

El problema de este tipo de infecciones es que, una vez el usuario ha visto su sistema comprometido, sigue propagando la infección publicándola en su muro, de forma que sus contactos también la verán y podrán caer víctimas.

Ante este tipo de vector de ataque la mejor solución pasa por evitar caer en este tipo de enlaces, contar con una protección adecuada en nuestro sistema para evitar que se instalen aplicaciones con contenido malicioso y, si ya hemos sido víctimas del ataque, intentar cambiar nuestros datos de acceso a la red social para evitar casos de secuestro de nuestro perfil. Asimismo, también debemos eliminar la aplicación Winamp desde el apartado Configuración de las aplicaciones de Facebook

Josep Albors

Usando Twitter para gestionar botnets

Cuando se trata de innovar, los creadores de malware suelen estar a la última. En su caso esta innovación se demuestra observando las técnicas usadas para propagar y controlar sus creaciones. De esta forma, los ciber-delincuentes han utilizado el servicio Twitter para poder gestionar una botnet. Aunque ya habíamos visto casos anteriores, por ejemplo en el artículo “Malware en las redes sociales”, en esta ocasión se proporcionan las herramientas y las instrucciones necesarias para que cualquier usuario, aunque posea unos conocimientos mínimos, pueda generar y controlar su propio ejército de ordenadores zombies.

Nuestros compañeros de ESET Latinoamerica han analizado una aplicación que permite generar un código malicioso para infectar a máquinas y añadirlas a la botnet. Posteriormente, el botmaster podrá controlar estas máquinas desde Twitter usando una serie de comandos.

Para conseguirlo tan solo se deberá contar con una cuenta de Twitter activada e introducir el nombre de dicha cuenta en la aplicación que genera el código malicioso. Como se puede observar, no se emplean conocimientos avanzados de programación ni técnicas complejas de hacking ni nada similar. Se trata de una utilidad al alcance de cualquier principiante, lo que la hace aun más peligrosa puesto que pueden haber miles de usuarios creando su propio malware y distribuyéndolo.

Una vez se ha generado el código malicioso, el atacante solo debe esparcirlo para que infecte al mayor número de usuarios posibles, bien sea adjuntándolo a algún correo electrónico, ubicándolo en alguna web preparada para tal efecto o cualquier otro vector de propagación que se crea oportuno.

Si un usuario ejecuta el código malicioso, entrará a formar parte de la Bonet del atacante, que podrá, a partir de ese momento, lanzar ordenes desde su cuenta de Twitter a todas las máquinas controladas de forma remota. Estas órdenes se lanzan mediante comandos como los que mostramos a continuación:

• El comando .DDOS*IP*PUERTO realiza un Ataque de Denegación de Servicio Distribuido (DDoS)
• Con .DOWNLOAD*ENLACE/MALWARE.EXE se descarga otro código malicioso
• .VISIT*ENLACE abre el enlace en el navegador del usuario
• El comando .REMOVEALL elimina automáticamente la información de la botnet y el perfil de Twitter

Nuestros compañeros de ESET Latinoamérica también han elaborado un vídeo donde se puede observar, paso a paso, todo el proceso de generación del malware, control de la botnet y tráfico generado desde la máquina de la víctima. Creemos que es un documento muy interesante para poder investigar el comportamiento de este tipo de malware por lo que lo reproducimos a continuación.

Como hemos observado, la creación de malware no está solo en manos de gente con experiencia. Con herramientas como la que hemos analizado en este artículo es posible reclutar un buen número de máquinas zombie sin apenas esfuerzo. Eso nos tiene que mantener alerta ante cualquier archivo sospechoso, aunque su remitente sea un conocido, puesto que es posible que su sistema haya sido comprometido y esté enviando malware sin saberlo.

Josep Albors

El Mundial de futbol 2010 ya empieza a utilizarse para propagar infecciones

Como hemos ido indicando desde que creamos este blog, el malware también se aprovecha de cualquier circunstancia conocida o evento importante para intentar infectar al máximo número de usuarios posible. Es por esto, que hoy les informamos de una infección que se propaga mediante un correo electrónico, en brasileño, en el cual nos indican que hemos resultado ganadores del premio CocaCola para participar en la Copa del Mundo 2010 de Sudáfrica:

El enlace nos lleva a la descarga del archivo Copa2010Premiococacola.scr. Dicha extensión se utiliza normalmente para los salvapantallas de Windows, aunque en este caso es un gusano que modifica el registro y tiene la funcionalidad de comunicarse con servidores remotos. Además se hace pasar por un falso antivirus detectando virus inexistentes en el ordenador infectado.

Lo curioso de esta infección es que, hasta hace muy poco, se propagaba también desde un correo electrónico en inglés, en el que se indicaba que la cuenta de correo iba a ser deshabilitada. En el correo también se indicaba que se tenía que ejecutar el archivo adjunto y seguir unas supuestas instrucciones.

Desde el departamento técnico de Ontinet.com, venimos informando a los usuarios a través de nuestro blog sobre multitud de infecciones que se propagan por correo electrónico, utilizando, como en este caso, la ingeniería social para infectar al usuario. Además para evitar en la medida de lo posible estas infecciones aconsejamos disponer de un filtro para el correo no deseado y una protección antivirus activa y correctamente actualizada. En el caso de que por cualquier motivo nos hayamos visto afectados por este virus, en el siguiente enlace disponen de una serie de operaciones a realizar para eliminarlo correctamente del sistema.

David Sánchez

Propagan malware usando el nombre del BBVA

Parece que esta semana, los creadores de malware se han encaprichado con el banco BBVA. Si el pasado martes alertábamos de un nuevo caso de phishing hacia esta entidad, hoy nos encontramos que se está propagando malware desde correos y enlaces con su nombre. El ejemplo que vemos a continuación, nos muestra un correo cuyo remitente es, supuestamente, algún tipo de atención al cliente de esta entidad bancaria. En realidad es una dirección de correo suplantada usando técnicas de spoofing y no tienen nada que ver con el BBVA.

En ese correo se nos avisa del ingreso de una cantidad de dinero (varía con cada correo pero suele ser inferior a 100 euros) en nuestra cuenta. También se nos invita a pulsar sobre un enlace que, en teoría, nos muestra información adicional acerca de esta transferencia. No obstante, si pulsamos sobre ese enlace, accederemos a una web como la que mostramos a continuación:

En esa web se nos avisa de que no disponemos de la última versión de Macromedia Flash Player (aunque esto no sea cierto) y se nos invita a descargar un archivo ejecutable con una supuesta actualización para nuestro sistema. Es la misma técnica usada la semana anterior con enlaces que, presuntamente, nos mostraban fotos de un usuario.

Observamos como la url del enlace del que se produce la descarga, coincide (al menos en los primeros caracteres) con la de la entidad bancaria suplantada, pero se trata de un engaño ya que el dominio real apunta a Rusia.

Al intentar descargar el archivo ejecutable, el antivirus nos avisa de su verdadero contenido. En este caso se trata de un troyano usado para añadir equipos infectados a una red de máquinas zombies, lo que se conoce como botnet.

No nos cansaremos de repetir la importancia de revisar siempre los correos recibidos y los enlaces que nos envían. Pueden parecer auténticos o de remitentes confiables pero esto no es motivo para bajar la guardia. Nuestro sentido común y un buen antivirus nos pueden ahorrar muchas molestias si sabemos usarlos.

Josep Albors

Nuevo timo dirigido a los usuarios que descargan contenido ilegal

La Jefatura Superior de Aragón, según ha informado el periódico Heraldo, ha descubierto un nuevo tipo de estafa a través de Internet. Este consiste en engañar a los usuarios haciéndoles creer que van a ser denunciados ante los tribunales por descargar películas o música desde Internet a no ser que abonen una cantidad determinada de Euros.

Exactamente, el texto indicado es el siguiente: “Ha sido usted detectado mientras realizaba descargas ilegales a través de Internet; la solución se ajusta a dos vías, ser denunciado ante los tribunales o bien eludir la acción de la Justicia mediante el abono de la cantidad indicada en euros”.

Este tipo de fraude ya había aparecido en otros países, de ello escribimos la siguiente entrada del mes de abril. Durante el día de hoy hemos detectado el mismo tipo de fraude en castellano. Como pueden observar en las capturas, aparecen referencias a artículos, noticias y asociaciones falsas, dando un aspecto de veracidad al usuario que recibe este tipo de avisos. Actualmente esta infección viene provocada por diferentes enlaces de descarga directa referentes a películas, música u otro tipo de software.

El funcionamiento de esta infección es el mismo que el de los falsos antivirus, pero en este caso, en vez de salir la típica ventana del falso antivirus indicando que el equipo está infectado y que debemos pagar una cantidad para desinfectarlo, hace referencia a un posible delito de piratería.

Desde el departamento técnico de Ontinet.com, queremos indicar a los usuarios que desconfíen de todo mensaje de Internet o correo electrónico que nos pida cualquier tipo de pago. También aconsejamos contactar con su proveedor de seguridad, el cual le ayudará a deshacerse de la posible infección de forma correcta.

David Sanchez

Informe de fraude online y casos de cibercrimen durante 2009 presentado por S21sec

Hoy la compañía S21sec, (miembro del Consejo Nacional Consultor sobre Cyberseguridad), ha presentado un informe en el que se ofrece una visión de la evolución de los distintos tipos de fraude online y cibercrimen desde el 2005. En la realización del “Informe sobre fraude online y cibercrimen” han colaborado empresas, organizaciones e instituciones públicas, tanto a nivel nacional como internacional.

De dicho informe cabe destacar la reducción de ataques durante 2009 respecto al año 2008, aunque dichos ataques han sido más sofisticados y por ello han generado un mayor impacto y repercusión que en 2008.

Al respecto de los puntos importantes tratados en el informe, ofrecemos un pequeño resumen a continuación:

• Podemos ver que Estados Unidos continúa ocupando el puesto número uno del ranking respecto a procedencia de los ataques.

• Los ataques cibernéticos coordinados contra objetivos de carácter religioso, político o económico son cada vez más frecuentes. Esto ha provocado que todas las Naciones tomen medidas al respecto.

• El fraude online desciende en España por primera vez en cuatro años, aunque como comentábamos anteriormente, el impacto ahora es mayor.

• Durante el año 2009 se ha reducido el número total de vulnerabilidades detectadas. Las más llamativas son las de los controles ActiveX de Microsoft y archivos PDF de Adobe y Acrobat Reader.

Pueden leer el informe completo aquí.

Alguna de las conclusiones que se pueden obtener de este informe son, que aunque el volumen de ataques es menor, el malware es más sofisticado y produce un mayor impacto. Además, para su propagación se aprovecha de vulnerabilidades, tanto de los sistemas operativos, como de aplicaciones de uso cotidiano como Adobe. Para evitarlo en la medida de lo posible, desde el departamento técnico de Ontinet.com, aconsejamos a los usuarios realizar las actualizaciones pertinentes en el sistema operativo y también en aplicaciones de uso cotidiano, como navegadores de Internet, Adobe, etc.

Departamento técnico de Ontinet.com

Spam masivo propaga infecciones a través de Google Groups

Una de las actuaciones más típicas realizadas por los desarrolladores de malware para propagar sus infecciones siempre ha sido insertar en un correo electrónico no deseado el adjunto que provocaba la infección, y utilizar ganchos para que el usuario lo ejecutara. Unos ejemplos recientes pueden ser supuestas facturas de envío, falsas actualizaciones de Microsoft, recibo de postales, etc.

Esto ha cambiado durante las últimas semanas. Cada vez, de forma más continuada, se están utilizando enlaces a supuestas páginas de Google groups para descargar el malware, con lo cual, a todo el correo masivo que anteriormente adjuntaba un archivo infectado, ahora se le añade solo un enlace para descargar el malware directamente desde la página de Google groups, eliminando ese archivo adjunto.

A continuación dos ejemplos de lo comentado anteriormente. El primero corresponde a un supuesto mensaje de la compañía DHL y el segundo a una postal de felicitación:

En los dos casos, al hacer clic en el enlace o en la imagen, nos redirige a la siguiente página desde donde podremos descargar el archivo infectado:

Actualmente los archivos alojados en estos servidores corresponden a una infección de tipo Falso Antivirus.

Desde Ontinet.com queremos mostrar a los usuarios esta nueva situación para que no se vean sorprendidos por este tipo de abusos, y tras lo mostrado en esta entrada, actuar correctamente cerrando y eliminando estos correos no deseados. Así mismo, también aconsejamos tener instalada una solución antivirus actualizada y en correcto funcionamiento para que estos archivos sean detectados y eliminados antes de poder ejecutarse en el sistema.

David Sánchez.

Twitter nos dejó sin seguidores temporalmente

Ayer, sobre las 19h, los usuarios del servicio de microblogging Twitter vieron como desaparecían los seguidores y seguidos, tal y como podemos comprobar en la siguiente imagen. Esto se debió a una acción de Twiter para reparar un fallo de seguridad detectado. Este bug permitía a un usuario forzar a otros a seguirlo.

Mientras se procedía a reparar el bug, el servicio de seguimiento se pausó, y aunque en la página principal de Twitter no funcionara, sin embargo, en aplicaciones externas para gestionarlo si que mostraban correctamente esta información.

Esto asustó a muchos usuarios de Twitter, que pensaron que tendrían que volver a realizar de nuevo todo el proceso de seguimiento, aunque a las pocas horas se resolvió el problema y el sistema volvió a cargar las configuraciones correctamente.

David Sánchez

« Artículos Posteriores — Artículos Anteriores »