• Buscar

• Síguenos en Twitter

• Categorías

  • actualizaciones (44)
  • adware (4)
  • Anuncios (30)
  • Apple (7)
  • BlackHat SEO (5)
  • Botnets (34)
  • Clickjacking (6)
  • Curiosidades (35)
  • datos (7)
  • DDoS (3)
  • Defacement (7)
  • Educación (67)
  • entrevista (3)
  • Espionaje (10)
  • Estadísticas (8)
  • Eventos (14)
  • exploit (59)
  • Facebook (12)
  • Filtraciones (22)
  • General (39)
  • Hacking (55)
  • hacktivismo (16)
  • Herramientas (18)
  • Heurística (6)
  • Hoax (3)
  • Informes (15)
  • Ingenieria social (94)
  • Juegos (3)
  • Mac (6)
  • Malware (239)
  • Phishing (55)
  • Piratería (6)
  • Privacidad (13)
  • Productos (36)
  • redes sociales (60)
  • rogue (25)
  • rootkit (1)
  • Scada (4)
  • Scam (18)
  • scareware (2)
  • seguridad (76)
  • sorteos (2)
  • Spam (118)
  • spyware (2)
  • telefonía (27)
  • Troyanos (5)
  • Tutoriales (18)
  • Unix (1)
  • Vulnerabilidades (186)

• Archivos

  • febrero 2012 (4)
  • enero 2012 (26)
  • diciembre 2011 (17)
  • noviembre 2011 (19)
  • octubre 2011 (20)
  • septiembre 2011 (23)
  • agosto 2011 (24)
  • julio 2011 (18)
  • junio 2011 (16)
  • mayo 2011 (18)
  • abril 2011 (11)
  • marzo 2011 (18)
  • febrero 2011 (17)
  • enero 2011 (19)
  • diciembre 2010 (20)
  • noviembre 2010 (22)
  • octubre 2010 (27)
  • septiembre 2010 (30)
  • agosto 2010 (24)
  • julio 2010 (36)
  • junio 2010 (43)
  • mayo 2010 (27)
  • abril 2010 (26)
  • marzo 2010 (14)
  • febrero 2010 (16)
  • enero 2010 (14)
  • diciembre 2009 (7)
  • noviembre 2009 (5)
  • octubre 2009 (3)
  • septiembre 2009 (3)
  • agosto 2009 (8)
  • julio 2009 (6)
  • junio 2009 (2)
  • mayo 2009 (4)
  • abril 2009 (6)
  • marzo 2009 (6)
  • febrero 2009 (3)
  • enero 2009 (3)
  • diciembre 2008 (5)
  • noviembre 2008 (5)
  • octubre 2008 (10)
  • septiembre 2008 (9)
  • agosto 2008 (7)
  • julio 2008 (8)
  • junio 2008 (10)
  • mayo 2008 (13)
  • abril 2008 (12)
  • marzo 2008 (7)
  • febrero 2008 (5)
  • enero 2008 (2)
  • diciembre 2007 (7)
  • noviembre 2007 (6)
  • octubre 2007 (7)
  • septiembre 2007 (9)
  • agosto 2007 (3)
RSS Artículos | RSS Comentarios

Campaña de spam usa el nombre de Xerox y archivos jpg para propagar malware

Si ayer mismo publicábamos un análisis de un malware escondido en un archivo jpg, hoy hemos comprobado en nuestro laboratorio como se han empezado a detectar campañas de spam más elaboradas y que pretenden infectar el máximo número de usuarios usando imágenes adjuntas a los correos para conseguirlo.

En el ejemplo que vimos ayer tan solo se nos mostraba un escueto mensaje, mientras que en las muestras recibidas hoy en nuestros laboratorios ya se observa una mejora en el asunto y cuerpo del mensaje con la finalidad de engañar más fácilmente a los usuarios y conseguir que ejecuten el archivo adjunto malicioso. En esta ocasión se ha vuelto a usar una técnica que se popularizó hace unos meses. Se trata de enviar el correo como si proviniese de un centro de escaneo Xerox, lo que puede llegar a confundir a muchos usuarios, especialmente aquellos que trabajen en grandes empresas.

Como dato curioso, decir que hemos recibido tanto muestras antiguas que siguen utilizando el archivo adjunto comprimido en zip, y que, una vez extraido,  simula ser un documento de Word, como nuevas muestras que ya utilizan el archivo con extensión jpg en lugar del zip para encapsular este mismo documento. No obstante, los ciberdelincuentes detrás de esta campaña de envío de spams no se han molestado en cambiar los datos del correo que aun indican que el archivo adjunto es un zip.

Este cambio de estrategia demuestra que la inclusión de archivos con la extensión jpg como contenedores de otros archivos infectados está dando resultado. Esto se debe a que muchos usuarios aun desconocen que pueden encontrar malware en estos archivos, a pesar de que hay constancia de casos similares desde hace bastantes meses.

Si analizamos el contenido del archivo jpg con un editor hexadecimal, veremos (como en el caso que analizamos ayer) como, dentro del mismo se encuentra comprimido el archivo Xerox_Scan_N0032-42344250.doc.exe, archivo que es detectado por las soluciones de seguridad de ESET como Win32/Oficla.GN.

Desde el laboratorio de ESET en Ontinet.com nos gustaría destacar como, el simple cambio de usar un tipo de fichero u otro puede hacer que las amenazas tengan más éxito a la hora de infectar a más usuarios. No estamos hablando de técnicas complejas de infección con aprovechamiento de vulnerabilidades de por medio. En este caso, lo único que se aprovecha es la confianza que los usuarios aun tenemos en ciertos tipos de archivos, confianza que puede costarnos muy cara en caso de no contar con una solución de seguridad capaz de detectar este tipo de amenazas.

Josep Albors

Actualización 1/10: Parece que esta manera de incluir malware en archivos adjuntos está dando su fruto puesto que, durante el día de hoy, hemos visto como se empieza usar un falso correo de Fedex para seguir propagando este típo de amenazas. Es probable que, durante una temporada, sigamos viendo como se usan archivos jpg en lugar de archivos comprimidos adjuntos como contenedores de malware.

Linkedin, otra víctima más del spoofing

Esta semana estamos comprobando que la mayoría del spam que se está recibiendo en los buzones de correo hace referencia a la red de contactos profesionales Linkedin. Según CISCO Systems, el volumen de correos recibidos corresponde al 24% de todo el spam mundial.

Los desarrolladores de malware intentan aprovecharse de la cantidad de usuarios que utilizan esta red para propagar distintos tipos de malware utilizando la técnica del spoofing.

Por lo detectado hasta ahora, podemos distinguir hasta cuatro tipos de correos distintos haciendo referencia a Linkedin:

• El primero de ellos es un correo muy simple, con adjuntos llamados Approved.zip, Contact List.zip, resume_new.zip o sources_new.zip. Todos ellos contienen malware de tipo Kryptic.HAD. Además el correo se envía con remitente communication@linkedin.com para hacerlo más fiable.

• Otro tipo de correos detectados son los que contienen falsas invitaciones a la red Linkedin, con un diseño muy cuidado, y que intentan adueñarse de las credenciales del usuario, con remitente invitations@linkedin.com:

  

• También hemos detectado otro tipo de spam haciendo referencia a Linkedin, es un correo como el siguiente, que hace referencia a un recordatorio de invitaciones pendientes de aceptar y mensajes pendientes para leer:

  

  Al pulsar en cualquier de los enlaces se abre una página en holandés con un escudo familiar, aunque también pueden utilizarse otro tipo de imágenes, en la que se intenta cargar el archivo js.php, por medio del cual se intenta infectar al sistema mediante un JS/Kryptic.L.Gen y un Trojan Downloader.Agent.NAI.

  

  Una vez descarga el software malintencionado, redirige a la ventana ya conocida de farmacia online.

• Y por último, otro de los correos detectados, es el que en vez de mostrar la imagen anterior, muestra la página ya conocida de “Espere 4 segundos”. Mientras se muestra esta página, internamente intenta descargar el mismo tipo de malware, redirigiendo finalmente a la página de farmacia online. También se ha detectado este mismo comportamiento pero propagando malware para atrapar al equipo infectado en la botnet Zeus y propagando también troyanos bancarios.

  

Desde el departamento técnico de ESET en Ontinet.com, queremos indicar a los usuarios, que no van a recibir este tipo de avisos en el caso de que no sean usuarios de esta red de contactos profesionales. Por ello, aconsejamos eliminar los mensajes directamente. Para los usuarios de Linkedin, hasta que se erradique totalmente esta oleada de spam, aconsejamos acceder directamente a la red Linkedin para comprobar si tiene nuevas invitaciones o mensajes sin leer y así evitar ser infectado mediante este método. Contar con una protección antivirus activa y actualizada evitará también que podamos infectarnos al pulsar en cualquiera de estos enlaces maliciosos.

David Sánchez.

Imágenes que no son lo que parecen

Cuando hablamos de archivos que pueden infectar nuestro sistema, la mayoría de usuarios aun siguen pensando únicamente en archivos ejecutables. Lamentablemente, hace tiempo que los códigos maliciosos pueden incluirse en multitud de tipos de archivos diferentes, empezando por los clásicos virus de macro que se incluían en los documentos ofimáticos (Word, Excel, etc.) hasta los ya habituales archivos PDF, sin olvidarnos de los archivos multimedia de audio (MP3) y video (AVI).

Así las cosas, cuando en nuestro laboratorio recibimos correos no deseados con archivos adjuntos, siempre intentamos analizar el contenido de los mismos, encontrando multitud de muestras de nuevos códigos maliciosos. El caso que vamos a comentar hoy resulta especialmente interesante puesto que, lo que a primera vista parecía ser una cosa, luego resulta ser algo completamente diferente.

Nuestro análisis comienza con la recepción de un correo, como muchos otros, con un archivo adjunto. Normalmente, cuando recibimos imágenes adjuntas estas suelen pertenecer a algún tipo de promoción de farmacias online o de bellas señoritas ligeras de ropa y en actitud seductora, que, quieras que no, siempre ayudan a romper la monotonía y a que esboces una sonrisa cuando llevas mucho tiempo analizando muestras.

En este caso, no obstante, tan solo obtenemos una triste imagen en gris y que no parece tener ningún sentido, a menos que se haya querido usar como fondo del mensaje, pero no es el caso.

Picados por la curiosidad de recibir este mensaje sin ninguna finalidad aparente (no intenta vendernos nada, ni que accedamos a ningún enlace), decidimos analizar el archivo adjunto más a fondo con un editor hexadecimal para encontrarnos con una sorpresa.

Si nos fijamos bien, lo que parecía ser una simple imagen esconde más secretos. Para empezar se trata de un archivo comprimido que, a su vez, contiene otro documento de nombre Changelog_09_2010.doc_______________________.exe lo que representa un caso típico de doble extensión. Repasando, que es gerundio. Tenemos un archivo con extensión jpg que muestra una imagen pero realmente actua como un contenedor de un archivo con doble extensión. Este simula ser un documento de Word pero, en realidad, es un ejecutable. Demasiadas molestias para una simple imagen que solo muestra un fondo gris, ¿no?.

Si contamos con un software antivirus, lo más seguro es que detecte esta amenaza sin mayores problemas. De hecho, en el momento de escribir este artículo, más de la mitad de los motores antivirus presentes en Virustotal ya detectaban estas muestras como una amenaza.

Como conclusión, desde el laboratorio de ESET en Ontinet.com nos gustaría hacer hincapié en el hecho de que no existen tipos de archivos seguros actualmente. A pesar de eso, la mayoría de usuarios siguen pensando que solo pueden infectarse con ejecutables. Es por ello que debemos permanecer alerta ante correos sospechosos como el que hemos analizado y contar siempre con un antivirus actualizado para detener este tipo de amenazas .

Josep Albors

Stuxnet, conspiraciones y centrales nucleares

Cuando el pasado mes de Julio nos hicimos eco del descubrimiento de un nuevo malware que apuntaba a los sistemas de gestión de infraestructuras, ya observamos que no se trataba de un malware típico. Los objetivos que perseguía, el aprovechamiento de vulnerabilidades que no habían sido hechas públicas (algunas de ellas aun siguen sin solución) o la elevada tasa de detección en países como Irán ya pronosticaban que estábamos ante un nueva amenaza mucho más sofisticada de lo que habíamos visto hasta el momento.

Mucho se ha escrito en los últimos días sobre este tema, una vez se ha analizado concienzudamente el código fuente de este código malicioso, y ciertamente todas las opiniones coinciden en apuntar que Stuxnet es una muestra de malware única. La profesionalidad en su creación que, recordemos, no solo usaba vulnerabilidades desconocidas ,si no que llegó a usar certificados digitales legítimos de alguna de las empresas tecnológicas más importantes para pasar desapercibida (demostrando de paso la poca fiabilidad de las listas blancas de aplicaciones), unido a un método de propagación eficaz, hicieron que lograse su objetivo en razonablemente alto porcentaje de ocasiones.

Tampoco ayudó que Siemens, la empresa fabricante de los sistemas SCADA de gestión de infraestructuras críticas a los que afecta Stuxnet, mantuviese unos datos de acceso al sistema que eran públicos y apenas costaba un par de minutos de búsqueda en Internet encontrar los datos de registro para acceder como administrador de uno de esos sistemas. Más grave aun resulta que estos sistemas dejen de funcionar si se cambian estos datos de acceso, lo cual deja a los administradores de los mismos en una situación bastante incomoda

A partir de este punto ya depende de la imaginación/sentido común del periodista o analista de turno para determinar cuales eran las verdaderas intenciones de Stuxnet y quién se encuentra detrás de este ataque. Ya se han empezado a ver las primeras especulaciones (bastante sensacionalistas) como aquellas que afirman que tanto Estados Unidos como Israel están detrás de este ataque y que su finalidad era la de terminar, (o, al menos, retrasar) el programa nuclear Iraní. Ciertamente, los datos obtenidos por los expertos de ESET que han analizado a fondo este malware, indican que más de la mitad de incidentes se concentran en Irán pero hay más casos de los que se han tenido aviso, como las 14 plantas energéticas que se vieron afectadas en Alemania.

Así las cosas, debemos recordar que Stuxnet puede que sea solo una avanzadilla de la nueva generación de malware que está por venir, al menos en cuanto a ataques dirigidos. Otros casos, como la operación Aurora que tanta repercusión tuvo a principios de años son buenos ejemplos de que existen cibercriminales profesionales que buscan beneficios más allá de ganar dinero a espuertas con la creación de malware.

Josep Albors

Se publica parche para corregir vulnerabilidad en ASP.net

Microsoft ha tomado cartas en el asunto y ha puesto a disposición de los usuarios una actualización urgente, fuera de lo que son las actualizaciones mensuales que se publican los segundos martes de cada mes, para corregir una vulnerabilidad descubierta días atrás en la tecnología ASP.net y que puede permitir que un atacante alterar el contenido de los datos para diversos fines

En su blog indican que, debido al aumento de incidencias reportadas aprovechándose de esta vulnerabilidad, han creído conveniente, para mayor seguridad de los usuarios, la publicación de esta actualización, la cual está probada y preparada para su correcto funcionamiento.

Inicialmente solo estará disponible a través del Centro de descarga de Microsoft, aunque en los próximos días también estará disponible a través del sistema Windows Update.

Desde el departamento técnico de ESET en Ontinet.com, aconsejamos realizar esta actualización es todos los equipos críticos en producción y protegerlos así de cualquier acción indeseable.

David Sánchez.

Skype, otra víctima del scam

Hemos detectado durante este fin de semana un nuevo intento de estafa, en este caso dirigido a los usuarios de Skype, software gratuito que permite realizar llamadas a través de Internet. Y, como en la mayoría de los casos, se pone en conocimiento del usuario mediante el correo electrónico.

Bajo el asunto: “Download Skype VoIP Addons – More Free Talks”, en el correo recibido se informa acerca de nuevas actualizaciones y mejoras en la aplicación:

Al acceder al enlace proporcionado en el correo, nos encontramos con la siguiente página y un enlace para descargar la supuesta actualización:

Al hacer clic en el enlace de descarga, nos encontraremos con un pequeño registro de tres pasos, y en el último de ellos se nos pedirán los datos de la tarjeta de crédito para realizar el pago.

Otra de las curiosidades es la dirección a la que accedemos cuando nos pide los datos para realizar el pago, es una dirección https correspondiente a un dominio ruso, con un cifrado falso, este acceso mediante protocolo seguro puede dar al usuario una falsa sensación de seguridad.

Desde el departamento técnico de ESET en Ontinet.com, aconsejamos a los usuarios de Skype que omitan cualquier aviso o correo de actualización que no haga referencia a la página legítima www.skype.com, y además de ello confirmar que la descarga e instalación de este software es absolutamente gratuito. Disponen de más información acerca de este tipo de ataques aquí.

David Sánchez

Enlaces maliciosos en Twitter

Continúan las malas noticias para los usuarios de la red de Microbloggin Twitter. Si hace unos días el ataque fue producido por una vulnerabilidad en el sistema, hoy informamos de un nuevo ataque a sus usuarios. Aunque este tipo de ataque no se debe a ninguna vulnerabilidad, se puede decir que ha sido simplemente un ataque de ingeniería social.

El funcionamiento del mismo es el siguiente:

• Alguien publica un tweet con un texto, en el que se incluye la palabra “WTF” y un enlace a una imagen.

• El enlace tiene un código Javascript, en el cual, aparece el código necesario para que se publiquen dos tweets, uno de los cuales también tiene el enlace con el Javascript malicioso. El otro es un simple texto subido de tono.

Por lo que el usuario, al hacer clic en el enlace, verá como se le publican estos dos tweets en su propia cuenta, y de esta forma se propaga en pocos minutos, afectando a cada vez más usuarios curiosos.

Twitter ha hecho pública una nota donde informa de que el enlace ha sido deshabilitado y están intentando eliminar los tweets ofensivos.

Desde el departamento técnico de ESET en Ontinet.com, aconsejamos no pulsar en enlaces sospechosos, con texto llamativo, aunque vengan de usuarios conocidos. En este enlace encontrarán información acerca de los enlaces cortos y de como protegernos de su uso por parte de los creadores de malware.

El acortar los enlaces es una gran ventaja a la hora de publicar un texto, ya que nos permite poder agregar más texto, pero tiene un gran inconveniente, el desconocimiento, por parte del usuario, de a dónde nos va a redirigir ese enlace acortado. Mientras Twitter no solucione este tema, los usuarios de esta red social van a tener que prestar mucha atención siempre que se haga clic en uno de estos enlaces, no ocurra como en este caso que les hemos comentado.

David Sánchez

Los misterios de Stuxnet

El virus Stuxnet, creado específicamente para afectar al software de gestión de infraestructuras críticas aprovechando distintas vulnerabilidades, no deja de reportar noticias dado la poca información de su origen y de la finalidad de los creadores. De sus acciones y efectos hemos hablado en alguna ocasión hace varios días en nuestro blog.

Muchas empresas de seguridad están analizando su código línea por línea para intentar obtener algo de información. Entre ellas se encuentra ESET, que está realizando una profunda investigación respecto a Stuxnet.

Muchas de las preguntas todavía se encuentran sin responder, pero por ejemplo se van conociendo detalles, tal y como comenta David Harley en su blog, jefe de investigadores de ESET. De esas investigaciones se sabe que alguno de los desarrolladores tiene conocimientos de SCADA, software de Siemens y SQL. Estos conocimientos no son los normales en hackers de alquiler contratados anteriormente, por gobiernos o grupos militares, para el llamado espionaje cibernético.

Otro detalle, es que uno de cada tres de los sitios SCADA afectados se encuentran en Alemania donde, a diferencia de Irán, no aparece en la telemetría de los laboratorios de ESET con un alto volumen de infecciones.

Desde el departamento técnico de ESET en Ontinet.com les mostramos este interesante informe de los estudios realizados por los laboratorios de ESET sobre el virus Stuxnet, donde, además de intentar dar respuesta a algunas cuestiones interesantes, se discuten algunas de las características de este código malicioso fascinante y variado.

David Sánchez

Nota oficial de Twitter tras el ataque de ayer

No se ha hecho esperar la nota pública de Twitter respecto al problema ocurrido ayer. En la misma, se aclaran una serie de puntos como el tipo de ataque, la causa, los efectos que producía y a que afectaba. Dicha nota la resumimos a continuación:

“El ataque fue causado por la vulnerabilidad Cross-site scripting (XSS), práctica que consiste en introducir código no fiable de una página web en otra”

“La vulnerabilidad indicada fue descubierta y parcheada el pasado mes, sin embargo, en una actualización reciente del sitio, resurgió”.

Los efectos que comentan son los indicados ayer en este mismo blog, y se produjeron desde retweets y redirecciones a otros perfiles o páginas no deseadas utilizando el comando “Onmouseover”, hasta simples modificaciones visuales en el perfil.

También indican lo que ya informábamos, que solo fue afectado el sitio web Twitter.com no afectando a aplicaciones móviles. Y que la mayoría de incidentes detectados se pueden clasificar como de broma o de promoción.

Otro aspecto importante que comentan es el siguiente: “No hemos detectado problemas relacionados con que se causara un daño a los ordenadores o en las cuentas. Y, no hay necesidad de cambiar las contraseñas de cuentas de usuario ya que la información no se vio comprometida a través de este exploit.”

Desde el departamento técnico de ESET en Ontinet.com, indicamos a los usuarios que disponen de la nota oficial en el siguiente enlace. Y aconsejamos aplicar los consejos de seguridad indicados en la entrada anterior.

David Sánchez

Vulnerabilidad Xss en Twitter

A lo largo del día de hoy se han venido produciendo extraños sucesos en Twitter, provocados por un ataque del tipo XSS (Cross-site scripting). Tal y como indican desde Twitter, el problema ya ha sido solucionado y el acceso ya debería ser el correcto.

A principios de septiembre, Josep Albors, director técnico de Ontinet.com, ya advirtió de dicha vulnerabilidad en este mismo blog. La incidencia ocurrida hoy es un ejemplo práctico de dicha vulnerabilidad pero modificada para hacerla más eficaz si cabe.

Tal y como comenta Federico Pacheco, jefe de investigación y educación de ESET Latinoamérica en su blog, provocaba que al acceder a Twitter viéramos letras gigantes y manchas de colores. Esto era debido a una vulnerabilidad en el acortador de urls propio de Twitter mediante la cual, al pasar el puntero del mouse por encima (onmouseover) de un tweet especialmente armado, se lanza un script que hace que por ejemplo, el vínculo malicioso se retwittee a todos los contactos.

Otra posibilidad que existía era que al visitar un perfil, automáticamente se le abra al usuario una ventana emergente que permitiría a un atacante dirigir al usuario a un sitio con contenido malicioso.

Desde el departamento técnico de ESET en Ontinet.com aconsejamos utilizar utilidades de escritorio para el uso de estas redes sociales de tipo microblogging, como pueden ser TweetDeck, Echofon, Twitterrific, Seesmic, inmunes a esta vulnerabilidad. También aconsejamos desactivar la ejecución de ActiveX y Scripts en los navegadores, para que, en el caso de que alguna otra página sufra un ataque de este tipo, no verse afectados por el mismo.

David Sánchez

Artículos Anteriores »