• Buscar

• Síguenos en Twitter

• Categorías

  • actualizaciones (45)
  • adware (4)
  • Android (2)
  • Anuncios (30)
  • Apple (12)
  • BlackHat SEO (5)
  • Botnets (41)
  • Cálico Electrónico (1)
  • Clickjacking (7)
  • Curiosidades (38)
  • datos (9)
  • DDoS (3)
  • Defacement (7)
  • Educación (72)
  • entrevista (5)
  • Espionaje (11)
  • Estadísticas (9)
  • Eventos (14)
  • exploit (66)
  • Facebook (16)
  • Filtraciones (25)
  • General (59)
  • Hacking (58)
  • hacktivismo (19)
  • Herramientas (18)
  • Heurística (6)
  • Hoax (3)
  • Humor (1)
  • Informes (16)
  • Ingenieria social (98)
  • Juegos (5)
  • Mac (10)
  • Malware (243)
  • Phishing (59)
  • Piratería (7)
  • Privacidad (20)
  • Productos (36)
  • ransomware (3)
  • redes sociales (65)
  • rogue (25)
  • rootkit (1)
  • Scada (4)
  • Scam (21)
  • scareware (2)
  • seguridad (80)
  • sorteos (2)
  • Spam (123)
  • spyware (2)
  • telefonía (33)
  • Troyanos (12)
  • Tutoriales (19)
  • Unix (1)
  • Vulnerabilidades (197)

• Archivos

  • mayo 2012 (13)
  • abril 2012 (12)
  • marzo 2012 (22)
  • febrero 2012 (21)
  • enero 2012 (26)
  • diciembre 2011 (17)
  • noviembre 2011 (19)
  • octubre 2011 (20)
  • septiembre 2011 (23)
  • agosto 2011 (24)
  • julio 2011 (18)
  • junio 2011 (16)
  • mayo 2011 (18)
  • abril 2011 (11)
  • marzo 2011 (18)
  • febrero 2011 (17)
  • enero 2011 (19)
  • diciembre 2010 (20)
  • noviembre 2010 (22)
  • octubre 2010 (27)
  • septiembre 2010 (30)
  • agosto 2010 (24)
  • julio 2010 (36)
  • junio 2010 (43)
  • mayo 2010 (27)
  • abril 2010 (26)
  • marzo 2010 (14)
  • febrero 2010 (16)
  • enero 2010 (14)
  • diciembre 2009 (7)
  • noviembre 2009 (5)
  • octubre 2009 (3)
  • septiembre 2009 (3)
  • agosto 2009 (8)
  • julio 2009 (6)
  • junio 2009 (2)
  • mayo 2009 (4)
  • abril 2009 (6)
  • marzo 2009 (6)
  • febrero 2009 (3)
  • enero 2009 (3)
  • diciembre 2008 (5)
  • noviembre 2008 (5)
  • octubre 2008 (10)
  • septiembre 2008 (9)
  • agosto 2008 (7)
  • julio 2008 (8)
  • junio 2008 (10)
  • mayo 2008 (13)
  • abril 2008 (12)
  • marzo 2008 (7)
  • febrero 2008 (5)
  • enero 2008 (2)
  • diciembre 2007 (7)
  • noviembre 2007 (6)
  • octubre 2007 (7)
  • septiembre 2007 (9)
  • agosto 2007 (3)
RSS Artículos | RSS Comentarios

El cazador cazado

Cuando hablamos de creadores de malware, botmasters o spammers el usuario común piensa en expertos informáticos y genios del cibercrimen que campan a su antojo por la red. Esta imagen, muchas veces influenciada por una aproximación no muy realista realizada desde la industria del cine, dista bastante de la realidad en la mayoría de los casos. Existen mafias organizadas, cierto. Estructuras empresariales perfectamente organizadas con diversos departamentos y funciones claramente definidas como un departamento de creación de malware, otro de creación y modificación de webs y otro de administración y finanzas donde se gestionan todos los beneficios obtenidos.

Pero también existen los pequeños ciber-criminales solitarios o de grupos reducidos que quieren obtener un beneficio rápido de este tipo de actividades delictivas. Para este tipo de ciber-criminales, la herramienta que mejor cumple con sus objetivos son los kits de exploits, baratos, fáciles de usar y preparados para realizar su función tan pronto como se instalan. Estas aplicaciones pueden conseguirse por una cantidad variable que oscila entre los 300 y 4000 dólares aproximadamente (también hay promociones y descuentos periódicos) dependiendo de las funcionalidades o popularidad del kit. Una vez se consigue esta aplicación, el aprendiz de ciber-delincuente ya puede empezar a infectar equipos para formar su propia botnet o preparar sitios webs que se aprovechen de vulnerabilidades no corregidas cuando los visitan. Veamos la interfaz de acceso a uno de estos kits por cortesía de nuestro compañero Jorge Mieres.

No obstante, estos kits no son más que aplicaciones y, como tales, pueden tener errores y fallos de seguridad como así ha sido demostrado por un grupo de investigadores. Hasta 13 agujeros de seguridad han sido descubiertos en los kits de exploits mas conocidos y usados. Esto significa que se puede aprovechar alguna de estas vulnerabilidades para tomar control del panel de administración o robar la información almacenada relativa a las máquinas que han sido infectadas.

El estudio y aprovechamiento de estas vulnerabilidades puede servir a las fuerzas de seguridad para localizar al ciber-delincuente, recopilar pruebas en su contra y arrestarlo pero este no es el uso que se le da principalmente. Por irónico que parezca, quienes más aprovechan estas vulnerabilidades en los kits de exploits son los propios ciber-delincuentes, atacándose los unos a los otros. Esta situación que podría parecer absurda, tiene sentido si analizamos el ahorro de tiempo que para un ciber-delincuente supone robarle los ordenadores de una botnet a otro usuario de estos kits, en lugar de formar la suya propia o, por poner otro ejemplo, el robo de información sensible (números de tarjetas de crédito, datos de acceso a banca online, usuarios y contraseñas para acceder a otros servicios web, etc).

Así pues, podríamos concluir diciendo que nadie está a salvo en la red, ni los propios ciber-delincuentes, victimas ellos mismos de sus creaciones y de sus compañeros de “profesión”. Tal vez sería interesante que se descargasen e instalasen un buen antivirus para evitar ser atacados pero, por el bien del resto, preferimos que dediquen sus esfuerzos a pelearse entre ellos antes que a infectar a los usuarios.

Josep Albors

Continúan los ataques de correos brasileños con regalo

Si hace unos días informábamos en nuestro blog sobre un correo malicioso con una foto adjunta sospechosa, que al infectar al usuario robaba los datos de acceso a la banca online, hoy nos hemos encontrado con otro intento, de esta escuela brasileña, para conseguir claves bancarias.

Este correo, recibido durante el día de hoy, con un curioso remitente, no es tan simple como el que comentábamos en la entrada anterior. En él se habla sobre un pequeño acertijo muy simpático y adjunta un supuesto vídeo. Al hacer clic sobre el vídeo nos pide la descarga del archivo Mucao.zip, descargado desde la web http://www.myfryendsweb.net, la cual simplemente hace de servidor donde se aloja el malware.

El archivo descargado es detectado por ESET como troyano bancario. Los creadores de malware utilizan como método principal para propagar sus infecciones la ingeniería social, aprovechándose de la curiosidad de los usuarios al recibir este tipo de correos para llevar a cabo sus objetivos.

Desde el departamento técnico de ESET en Ontinet.com aconsejamos disponer de un módulo antispam correctamente configurado para en el caso de recibir este tipo de correos sean redirigidos directamente a la carpeta de correo no deseado, al igual que aconsejamos el uso de una protección antivirus correctamente actualizada para así evitar este tipo de infecciones.

David Sánchez

Hackean cuentas de Twitter desde Turquía

Desde ayer por la tarde venimos observando cómo varios perfiles de Twitter aparecen con el mensaje “Hacked By Turkish Hackers”. Parece que el mensaje deja bien claro quien ha sido el atacante, tal y como se muestra en la siguiente imagen.

Muchos de los afectados son ciudadanos israelíes por lo que, de ser cierto que este ataque procede desde Turquía, podría ser una represalia virtual al bloqueo de Gaza y a los ataques del ejército israelí a toda embarcación que desee romper ese bloqueo.

No obstante, ningún grupo se ha hecho aun responsable de esta acción ni la ha reivindicado. También hemos detectado cuentas de Twitter con el mismo mensaje creadas para la ocasión y que no contenían mensajes previos. Si bien la “venganza” contra usuarios hebreos tras el trágico incidente marítimo acontecido unas semanas tiene lógica, es bastante extraño que se generen cuentas nuevas con tan solo ese mensaje.

Aun hay poca información sobre este caso por lo que se puede especular sobre cualquier posibilidad, desde que el incidente no pasé de este punto a que se usen las cuentas hackeadas para otros fines (envío de enlaces maliciosos a los seguidores de las cuentas comprometidas, por ejemplo).

Lo que sí está claro es que lo usuarios afectados han visto sus cuentas de Twitter comprometidas tras haber caído en algún mensaje o enlace de phishing preparado para obtener sus credenciales de acceso. Por eso, desde el departamento técnico de ESET en Ontinet.com, recomendamos siempre introducir nuestras claves de acceso en los sitios oficiales y nunca en aquellos a los que hayamos accedido tras pulsar sobre un enlace.

Josep Albors

Troyanos en el portal de descarga de Lenovo

Según se informa desde algunas webs, durante el pasado fin de semana se observó cómo se descargaba malware desde el portal de descargas de Lenovo. Todo aquel usuario que visitase el susodicho portal vería como era redirigido, mediante el uso de un iframe introducido en el portal, a una web especialmente preparada para descargar un código malicioso y aprovechar posibles vulnerabilidades del navegador Internet Explorer.

El código malicioso descargado en el archivo exe.exe es una variante de un viejo conocido y ESET NOD 32 Antivirus lo identifica como Win32/TrojanDownloader.Bredolab.BE . Esta variante convertía al sistema infectado en un bot y se quedaba esperando a recibir órdenes desde un centro de control que, seguramente, gestione varios miles de ordenadores formando una botnet.

Desde el propio fabricante de ordenadores se informa que se ha procedido a eliminar el código malicioso. Asimismo, recomienda a todos los que visitaron su portal de descargas durante el pasado fin de semana que analicen su sistema en búsqueda de posibles infecciones.

Cada vez es más frecuente que páginas webs legítimas se vean comprometidas y empiecen a distribuir malware, rompiendo la creencia popular de que solo las páginas webs con cracks, warez y contenidos sexuales pueden descargar malware en nuestro sistema. Es por ello que, desde el departamento técnico de ESET en Ontinet.com, aconsejamos andar con pies de plomo ante cualquier situación anómala en una web de confianza, así como descargar e instalar un antivirus que pueda protegernos ante las amenazas que se propagan de esta manera.

Josep Albors

cuidado con la ingeniería social y el mundial

Una de las mejores maneras que tienen los creadores de malware para distribuir sus creaciones es el correo electrónico. Bien introduciendo un código malicioso o incluyendo en el mensaje un enlace a un sitio web (donde está alojado el malware) es una manera muy rápida, sencilla y barata. Por muy poco dinero en muy poco tiempo, podemos mandar millones de mensajes de correo. Y alguien picará en la trampa.

Pero para que la infección tenga éxito es necesario que el receptor lo abra y luego ejecute el código malicioso, cosa difícil hoy en día, ya que los usuarios suelen tener algún sistema de protección más o menos efectivo, y cada vez están más atentos a posibles mensajes fraudulentos.

A pesar de eso, hay técnicas que nunca fallan. Basta con acudir a los temas más morbosos o con contenido sexual, o recurrir a una noticia de actualidad.Y en este momento, la situación puede ser muy propicia.

Nos encontramos inmersos en un fenómeno mundial (globalizaciones y crisis aparte) como es el mundial de fútbol, en el que hay dos elementos muy noticiables: los problemas de la selección francesa y la relación de una periodista destacada en Sudáfrica con el portero de la selección española. Un creador de malware puede mandar un mensaje con suficiente morbo sobre cualquiera de los dos temas para pillar desprevenidos a los usuarios.

Desde el departamento técnico de ESET en Ontinet.com queremos recordar la necesidad de analizar con un buen antivirus cualquier mensaje extraño que llegue, independientemente de que el emisor del mensaje sea una persona de confianza. Es posible que la dirección del mensaje haya sido falseada, e incluso aunque haya sido realmente enviado por un conocido, puede contener malware.

Fernando de la Cuadra

Multitud de Tweets muestran falsas webs para ver el mundial online

Durante estos días, tanto desde nuestro blog del departamento técnico de ESET en Ontinet.com como en otros blogs de seguridad, se ha estado informando acerca de multitud de casos en los que los creadores de malware se aprovechan para propagar malware utilizando el nombre del mundial de fútbol.

Hoy hemos dado con un nuevo método para intentar timar a los usuarios que deseen ver el mundial a través de la red. Este timo empieza con un simple Tweet, (un Tweet es una publicación o una actualización de tu estado en Twitter). Como se puede ver en la imagen mostrada a continuación, suelen aparecer a la hora de comienzo del partido ofreciendo un enlace para poder ver el partido online de forma totalmente gratuita.

Al acceder al enlace que se muestra, vemos una ventana con un gran texto donde, al hacer clic, accederemos al partido online anunciado.

Al acceder a esos enlaces vemos como aparentemente se carga el vídeo del partido en streaming, cogiendo la señal real de otras páginas web desde donde si se pueden ver realmente los partidos online, pero a los pocos segundos se abre una ventana emergente tapando parte del vídeo y oscureciendo la visualización de la página.

Supuestamente hay que hacer clic sobre esos enlaces para hacer una encuesta rápida, o para confirmar que no está accediendo un spambot a la página que pueda afectar al streaming y así poder ver el partido online tranquilamente. Pero no es así, haciendo clic en cualquiera de esos enlaces nos encontramos con varias páginas de publicidad, donde se realizan una serie de falsos sorteos, juegos o encuestas que al finalizar nos piden el número de móvil para posteriormente recibir un código de acceso al sorteo.

Pero aunque indiquemos el número de móvil e introduzcamos el código recibido no vamos a poder acceder al partido en cuestión. Este tipo de situación también lo encontrábamos en una entrada al blog, en aquel caso afectaba a los usuarios de un canal de Youtube.

Desde el departamento técnico de ESET en Ontinet.com, aconsejamos que no se dejen engañar por este tipo de tweets y en el caso de encontrase con alguna de estas páginas cerrar el enlace para no caer en la trampa. Existen multitud de páginas que ofrecen este tipo de servicio de forma gratuita, por ello rogamos intenten acceder a páginas contrastadas de visualización de partidos online.

David Sánchez

Yo, por un script ¡MA-TO!

A pesar de que la mayoría de ataques a sitios webs tienen como finalidad colocar algún código malicioso que infecte a los usuarios que lo visitan, aun quedan grupos de hackers que aprovechan un ataque para protestar sobre algún tema en concreto o reivindicar sus ideas. Este ha sido el caso ocurrido este fin de semana en la web de un conocido programa televisivo.

Si alguien intentaba acceder a la web de ese programa se encontraba con la siguiente pantalla (pinchar sobre la imagen para ampliarla):

En ella aparecían los nombres de las personas que hicieron esta sustitución de la web (actividad conocida como “defacement”) así como también mensajes a uno de los integrantes de ese programa. La web permaneció alterada hasta el domingo por la noche, permitiendo que miles de usuarios se encontrasen con esa sorpresa.

Este tipo de ataques suelen buscar la repercusión mediática y por ello eligen como víctimas a webs que tengan una cantidad de visitas importante. Existen casos de defacement a largo de toda la historia de la web. Algunos de los más recientes y con mayor repercusión fueron la suspensión de uno de los mayores buscadores chinos por parte de activistas iraníes o la colocación de una imagen de Mr. Bean en la inauguración de la web de la presidencia española de la UE:

Más recientemente, podemos citar el defacement sufrido en la web de BP en protesta por el vertido de crudo en aguas del golfo de México:

Como vemos, este tipo de actividades están a la orden del día y aprovechan fallos en la seguridad de las webs para cambiar su contenido. Es tarea de los administradores de esas web solucionar cualquier agujero de seguridad para evitar incidentes de este tipo o más graves que impliquen robo de información sensible o la colocación de malware que pueda infectar a los usuarios que las visiten. Con respecto a estos últimos, desde el departamento técnico de ESET en Ontinet.com, recomendamos descargar e instalar un antivirus que nos mantenga protegidos de posibles códigos maliciosos que se hayan podido ser colocados en páginas webs legítimas.

Josep Albors

Blackhat SEO aprovechando juegos online para distribuir malware

Largo y tendido hemos hablado y mostrado ejemplos de las amenazas que se aprovechan del Black-hat SEO. Esta técnica es utilizada por los creadores de malware para posicionar los enlaces maliciosos en los primeros resultados.

Desde el departamento técnico de ESET en Ontinet.com venimos detectando que, principalmente, este tipo de técnica es utilizada para infectar a los usuarios de juegos online, y últimamente con mayor insistencia, a aquellos con millones de usuarios de redes sociales.

Como ya hemos comentado se posicionan en los primeros lugares de las búsquedas que tengan que ver con trucos, guías, armas y otra serie de mejoras, dependiendo de la aplicación a la que hagan referencia. Además, en el texto del enlace prometen al usuario aumentar de nivel de forma instantánea, conseguir que a su personaje no se le acabe nunca el dinero o que nuestra granja sea la mejor de todas. Todo ello aprovechándose de usuarios que quieren mejorar de forma inmediata lo que otros tardarían días en conseguir.

Otra técnica que se está poniendo de moda consiste en desarrollar supuestas aplicaciones para hackear juegos de redes sociales con millones de usuarios como FarmVille o Mafia Wars, donde prometen diversas mejoras, encontrándote con que, para conseguir esa mejora, es necesario ejecutar una aplicación sospechosa o, como en el ejemplo que mostramos a continuación, copiar un código javascript o una dirección URL en nuestro navegador, descargando un software malicioso.

También puede ocurrir que, tal y como mostramos a continuación, aparezca una página de compra y, dependiendo de las mejoras que queramos aplicar y el juego, tendrá un coste u otro, sin ninguna garantía de que vayamos a conseguir lo que indica que estamos comprando.

Desde el departamento técnico de ESET en Ontinet.com, les recordamos que las prisas no son buenas consejeras, sobretodo para los usuarios de este tipo de aplicaciones online. Intentar conseguir algo por métodos no confiables puede provocar que nuestro equipo se infecte. Por ello avisamos a los usuarios de que no se fíen si encuentran páginas o aplicaciones como las que indicamos en esta entrada.

David Sánchez

Falsos correos de Movistar propagan malware

En las últimas horas hemos venido recibiendo una gran cantidad de mensajes cuyo remitente se hace pasar por la empresa Movistar (antigua Telefónica). En ese correo se nos contesta a una supuesta reclamación de unas facturas, indicándonos una cantidad que se nos abonará y se nos adjunta un archivo comprimido que, en teoría, contiene una factura. Veamos un ejemplo:

Si el usuario decide abrir el archivo adjunto se encontrará con una sorpresa en forma de troyano que tanto ESET NOD32 Antivirus como ESET Smart Security detectan como Win32/Kryptik.EZN, tal y como puede observarse en la imagen que mostramos a continuación.

Se trata de un caso más de intentar engañar al usuario que recibe estos mensajes con la posibilidad de tener un beneficio económico inesperado, independientemente de que se haya realizado una reclamación a la empresa Movistar o no. Hace apenas unos días vimos casos similares con correos que decían venir del BBVA y del Banco de España con un mensaje similar.

Conociendo la actual crisis económica, es comprensible que los creadores de malware intenten propagar sus códigos maliciosos apelando al bolsillo de los usuarios. Correos que nos ofrecen ingresar dinero en una cuenta como el que hemos visto en este artículo u ofertas que nos ofrecen trabajar unas pocas horas desde casa a cambio de una importante cantidad de dinero, son bastante frecuentes en los tiempos que corren.

Desde el departamento técnico de ESET en Ontinet.com recomendamos ignorar y eliminar este tipo de correos de nuestra bandeja de entrada así como también descargar e instalar un antivirus que le ofrezca protección proactiva frente a las mismas.

Josep Albors

Despreocúpese de las infecciones a través de USB

Hace bastante tiempo que no hablamos de las infecciones a través de USB, no quiere decir que hayan sido erradicadas, ni mucho menos, si no que no han variado su método de proceder en todo este tiempo, ya que es una vía que sigue dando sus frutos a los creadores de malware para propagar sus nuevas creaciones.

Para hacer un poco de memoria, este tipo de infecciones aprovechan el arranque automático de Windows, modificando el archivo autorun.inf, para que automáticamente se ejecute el malware indicado.

¿Qué hay de nuevo en Windows 7 referente a la protección de los diferentes dispositivos externos?

En el apartado Panel de control\Hardware y sonido\Reproducción automática, podemos encontrar lo siguiente:

Si desmarcamos la casilla “Usar la reproducción automática para todos los medios y dispositivos” se desactiva esta función no será posible que su sistema se infecte por medio de esta vía.

Desde el departamento técnico de Ontinet.com, creemos que es interesante desactivar esta opción para evitar riesgos innecesarios, sin olvidar que es necesaria también una protección antivirus en correcto funcionamiento y actualizada.

David Sánchez

« Artículos Posteriores — Artículos Anteriores »