• Buscar

• Síguenos en Twitter

• Categorías

  • actualizaciones (45)
  • adware (4)
  • Android (2)
  • Anuncios (30)
  • Apple (12)
  • BlackHat SEO (5)
  • Botnets (41)
  • Cálico Electrónico (1)
  • Clickjacking (7)
  • Curiosidades (38)
  • datos (9)
  • DDoS (3)
  • Defacement (7)
  • Educación (72)
  • entrevista (5)
  • Espionaje (11)
  • Estadísticas (9)
  • Eventos (14)
  • exploit (66)
  • Facebook (16)
  • Filtraciones (25)
  • General (59)
  • Hacking (58)
  • hacktivismo (19)
  • Herramientas (18)
  • Heurística (6)
  • Hoax (3)
  • Humor (1)
  • Informes (16)
  • Ingenieria social (98)
  • Juegos (5)
  • Mac (10)
  • Malware (243)
  • Phishing (59)
  • Piratería (7)
  • Privacidad (20)
  • Productos (36)
  • ransomware (3)
  • redes sociales (65)
  • rogue (25)
  • rootkit (1)
  • Scada (4)
  • Scam (21)
  • scareware (2)
  • seguridad (80)
  • sorteos (2)
  • Spam (123)
  • spyware (2)
  • telefonía (33)
  • Troyanos (12)
  • Tutoriales (19)
  • Unix (1)
  • Vulnerabilidades (197)

• Archivos

  • mayo 2012 (13)
  • abril 2012 (12)
  • marzo 2012 (22)
  • febrero 2012 (21)
  • enero 2012 (26)
  • diciembre 2011 (17)
  • noviembre 2011 (19)
  • octubre 2011 (20)
  • septiembre 2011 (23)
  • agosto 2011 (24)
  • julio 2011 (18)
  • junio 2011 (16)
  • mayo 2011 (18)
  • abril 2011 (11)
  • marzo 2011 (18)
  • febrero 2011 (17)
  • enero 2011 (19)
  • diciembre 2010 (20)
  • noviembre 2010 (22)
  • octubre 2010 (27)
  • septiembre 2010 (30)
  • agosto 2010 (24)
  • julio 2010 (36)
  • junio 2010 (43)
  • mayo 2010 (27)
  • abril 2010 (26)
  • marzo 2010 (14)
  • febrero 2010 (16)
  • enero 2010 (14)
  • diciembre 2009 (7)
  • noviembre 2009 (5)
  • octubre 2009 (3)
  • septiembre 2009 (3)
  • agosto 2009 (8)
  • julio 2009 (6)
  • junio 2009 (2)
  • mayo 2009 (4)
  • abril 2009 (6)
  • marzo 2009 (6)
  • febrero 2009 (3)
  • enero 2009 (3)
  • diciembre 2008 (5)
  • noviembre 2008 (5)
  • octubre 2008 (10)
  • septiembre 2008 (9)
  • agosto 2008 (7)
  • julio 2008 (8)
  • junio 2008 (10)
  • mayo 2008 (13)
  • abril 2008 (12)
  • marzo 2008 (7)
  • febrero 2008 (5)
  • enero 2008 (2)
  • diciembre 2007 (7)
  • noviembre 2007 (6)
  • octubre 2007 (7)
  • septiembre 2007 (9)
  • agosto 2007 (3)
RSS Artículos | RSS Comentarios

Trojan Downloader en la página americana RSROCK.net

Desde primera hora de esta mañana, la página rsrock.net, página muy conocida por su contenido multimedia, donde se muestran enlaces para descargar series, películas en versión original, además de ofrecer otro tipo de contenido, ha sido atacada, modificándose su código fuente.

A causa de ello, los usuarios que intentan acceder a la misma se encuentran con que, además de no funcionar correctamente, aparece la ventana ya conocida del falso análisis del sistema.

Esta ventana viene provocada por un script agregado al código fuente de la página:

Una vez termina el falso proceso del análisis, se intenta descargar el troyano a nuestro sistema:

Al ejecutar este archivo, nos veremos afectados por un falso antivirus, cuyo comportamiento es idéntico a los ya reportados anteriormente.

Desde el departamento técnico de ESET en Ontinet.com, aconsejamos a los usuarios evitar acceder de forma temporal a esta página, hasta que el problema sea solucionado por los administradores de la misma. Así mismo, comprobar que su producto antivirus esté actualizado a día de hoy para que su equipo no se vea afectado por esta variante Win32/TrojanDownloader, llamada FakeAlert.AEY en el caso de descargarla accidentalmente, o que haya afectado también a otras páginas web similares.

David Sánchez

Disponible el parche para Adobe Flash Player que soluciona la última vulnerabilidad

La semana pasada informábamos en este mismo blog de una grave vulnerabilidad en Adobe Flash Player en la que un atacante con conocimiento de la misma podría ser capaz de tomar el control del sistema.

El software afectado por esta vulnerabilidad es el siguiente:

• Adobe Flash Player, en la versión 10.1.82.76 y anteriores para los sistemas Windows, Mac, GNU/Linux, Solaris, UNIX y Android.
• Adobe Reader 9.3.4 y versiones anteriores de Windows, Macintosh y UNIX,
• Adobe Acrobat 9.3.4 y anteriores versiones para Windows y Macintosh.

Desde el departamento técnico de ESET en Ontinet.com, indicamos a los usuarios la página de descarga para actualizar a la última versión disponible de Adobe Flash Player, y así solucionar esta vulnerabilidad. Por ahora solo está disponible la solución para Adobe Flash Player. Desde Adobe comentan que esperan tener la solución para Adobe Reader y Adobe Acrobat a principios de Octubre. Rogamos estén atentos a nuestro blog para estar informados al respecto.

Para más información pueden visitar la página de soporte de Adobe.

David Sánchez

Agujero de seguridad en el Kernel de Linux proporciona privilegios de root

Este mes de septiembre está siendo nefasto para los usuarios de sistema Linux, dado la variedad de ataques reportados para este tipo de sistemas. Sobre todo por vulnerabilidades en aplicaciones, como hemos mostrado anteriormente en nuestro blog, o también, como vamos a mostrar a continuación, por una vulnerabilidad en el Kernel.

Según comentan desde h-online.com, existe una vulnerabilidad en el modo de compatibilidad de 32-bit en la versión actual y anteriores del kernel de Linux, detectada en sistemas de 64-bit, que puede ser explotada para escalar privilegios. Esto podría provocar que un atacante irrumpiera en el sistema obteniendo privilegios de superusuario.

Esta vulnerabilidad fue descubierta y remediada en 2007, pero en algún momento de 2008, los desarrolladores del Kernel la reintrodujeron. Por lo que el nuevo exploit solo ha necesitado unas ligeras modificaciones para explotarlo de nuevo.

Hay que destacar que el exploit ya está en circulación, por ello desde el departamento de ESET en Ontinet.com aconsejamos a los usuarios de estos sistemas, que en el caso de necesitar ejecutar archivos binarios de 32 bits en sistemas de 64 bits realicen lo indicado en seclists.org o esperen a la actualización del Kernel en cuanto esté disponible.

David Sánchez

SPAM QUE SUPLANTA EL DOMINIO DE LA GUARDIA CIVIL DE NUEVO EN ACCIÓN

A finales de agosto, Josep Albors, responsable del departamento técnico de ESET en Ontinet.com, informaba acerca de un envío de correos masivos que, mediante la técnica de spoofing , aparentaban ser enviados desde el dominio guardiacivil.gob.es. Hoy se está recibiendo una nueva oleada de estos falsos correos, cuyo mensaje es idéntico al que mostrábamos en agosto, y en los que se ha modificado el archivo a descargar, que ahora se llama citación-876566.scr.

Otra de las novedades, además del cambio de nombre, es la modificación del código malicioso de Win32/TrojanDownloader.Banload.PFI a la nueva variante Win32/TrojanDownloader.Banload.PMD

El hecho de que se haya vuelto a enviar el mismo tipo de correo, solo cambiando la variante del troyano, nos indica que los desarrolladores obtuvieron unos resultados de infección excelentes y vuelven a la carga con una variante nueva que, como pueden comprobar por la página VirusTotal, solo lo detectan unos pocos motores antivirus:
Resultado VirusTotal

Desde el departamento técnico de ESET en Ontinet.com, aconsejamos a los usuarios desconfiar de este tipo de mensajes, sobre todo si van acompañados de adjuntos o enlaces sospechosos. Además, indicar que no se envía por correo electrónico ningún tipo de citación, multa, u otro menester de esta índole, por lo que rogamos hagan caso omiso a este tipo de mensajes.

David Sánchez

No, no es un post antiguo: Vulnerabilidad en Adobe Flash Player

De nuevo Adobe nos informa de una grave vulnerabilidad en uno de sus productos. Si la semana pasada nos alertaba del descubrimiento de una vulnerabilidad en Adobe Reader y Acrobat, esta vez se trata de otro de los productos estrellas de la compañía, Adobe Flash Player que, recordemos, se encuentra instalado en la gran mayoría de sistemas.

Según informa la propia Adobe, esta vulnerabilidad podría hacer que la aplicación se cerrase bruscamente y, además, que un atacante tomase el control del sistema. Las versiones afectadas son la 10.1.82.76 y anteriores para los sistemas Windows, Mac, GNU/Linux, Solaris, UNIX y Android. Sorprende ver en esta lista ver un sistema operativo destinado, principalmente, a dispositivos móviles pero es algo a lo que nos tendremos que ir acostumbrando.

Si bien los ataques destinados a aprovechar la vulnerabilidad en Adobe Reader y Acrobat descubierta la semana pasada, pueden ser bloqueados usando la herramienta EMET 2.0 publicada por Microsoft, ahora mismo no existe parche alguno para este nuevo agujero de seguridad. Para añadir más leña al fuego, algunos informes avisan de que ya se han encontrado casos de malware que se aprovecha de este nuevo fallo, por lo que la situación resulta (una vez mas) complicada para Adobe.

La propia Adobe es consciente de la gravedad del asunto y anuncia la disponibilidad de parches que solucionen esta grave incidencia para finales de septiembre/principios de octubre.

Desde el laboratorio de ESET en Ontinet.com recomendamos estar pendientes del lanzamiento de estas actualizaciones para solucionar esta grave vulnerabilidad. Así mismo, y como solución provisional, aconsejamos la instalación de algún software como NoScript o Flashblock para Firefox o ClickToFlash para Safari bajo Mac OS X.

Josep Albors

Lanzamiento de ESET NOD32 Antivirus Business para Mac OS X

Después de varios meses de una fase beta que ha permitido que decenas de miles de usuarios probasen este nuevo producto, ESET NOD32 Antivirus Business para sistemas Mac OS X es lanzada finalmente al mercado.

Con una interfaz fácilmente reconocible por su similitud con las versiones para Windows y todas las características que han hecho famoso al antivirus ESET NOD32, esta nueva versión se presenta para proteger nuestros sistemas Mac de las cada vez más frecuentes amenazas que los acechan. Asimismo, si tenemos equipos Mac integrados dentro de una red corporativa, evitaremos que actúen como portadores de infecciones y puedan esparcir códigos maliciosos en los sistemas Windows de nuestra red.

Esta versión también permite ser gestionada desde la consola del ESET Remote Administrator 4, que fue lanzada en castellano hace unos días, permitiendo a los administradores de una red gestionar, desde un sistema Windows, todas las soluciones ESET instaladas independientemente del sistema operativo en el que estén instaladas.

El lanzamiento de la versión Business no significa que ESET se haya olvidado de los usuarios domésticos. La versión doméstica de este producto está siendo preparada y se espera su lanzamiento en un futuro cercano. De esta forma, todos los usuarios de Mac OS X podrán disfrutar de la protección más eficaz para su equipo.

Desde el laboratorio de ESET en Ontinet.com animamos a todos aquellos usuarios que deseen probar esta nueva versión a contactar con nosotros mediante los formularios destinados para estos fines.

Laboratorio de ESET en Ontinet.com

Herramienta de Microsoft para protegernos de vulnerabilidad en productos Adobe

La semana pasada nos hacíamos eco de una nueva vulnerabilidad descubierta en Adobe Reader y Adobe Acrobat que podría provocar que un atacante tomase el control de nuestro sistema. Si bien Adobe aun no ha lanzado ninguna actualización que solucione esta vulnerabilidad, desde el departamento de soporte de Microsoft se ha publicado una herramienta que evita que la vulnerabilidad en estas aplicaciones sea aprovechada.

Esta herramienta actúa de diferente manera dependiendo del sistema operativo en el que se instale. Si lo hacemos sobre un Windows 7, Windows Vista, Windows Server 2008 (R2 inclusive) activará de manera obligatoria la funcionalidad ASLR en aquellas librerías que no dispongan de la misma. De esta manera, la librería que se ve afectada, se cargará en una dirección de memoria aleatoria cada vez que se ejecute, evitando que los exploits puedan averiguar en que ubicación se encuentra al no usar la que tiene predeterminada.

Para los sistemas Windows XP y Windows Server 2003, y debido a que estos sistemas no soportan la implementación forzada de ASLR, se utiliza otra forma de mitigar la vulnerabilidad conocida como EAF. De esta forma, si algún exploit trata de cargar código no autorizado, la aplicación vulnerable se cerrará antes de que pueda realizar alguna operación dañina para el sistema.

La única operación que deben hacer los usuarios que necesiten utilizar los productos de Adobe vulnerables para proteger sus sistemas de esta vulnerabilidad, es descargar e instalar la herramienta EMET 2.0 y ejecutar el siguiente comando, teniendo en cuenta la ruta de acceso por si los programas no se encontrasen en la ruta predeterminada:

C:\Program Files (x86)\EMET>emet_conf.exe –add “c:\program files (x86)\Adobe\Reader 9.0\Reader\acrord32.exe”

Desde el laboratorio de ESET en Ontinet.com consideramos muy útil la herramienta proporcionada por Microsoft para mitigar esta nueva vulnerabilidad en productos Adobe. Es por eso que recomendamos encarecidamente la instalación de la misma debido a que ya existen muestras de códigos malicioso aprovechándose de esta reciente vulnerabilidad y su impacto puede ser relativamente alto tanto en sistemas domésticos como en redes empresariales.

Josep Albors

Falsa noticia de la ejecución de Sakineh Mohammadi propaga troyano bancario

El intento de utilizar una noticia muy comentada para propagar malware no es nada nuevo, pero sigue siendo uno de los métodos más utilizados por los desarrolladores de malware para propagar sus infecciones por la red. En anteriores entradas en nuestro blog también informábamos sobre un ataque parecido en un correo electrónico que anunciaba falsas muertes de celebridades.

Es el caso que hoy les comentamos, referente a la noticia de la lapidación de Sakineh Mohammadi, condenada a muerte por adulterio, y que la organización Amnistía Internacional intenta, por todos los medios, anular dicha sentencia.

Se envía un correo electrónico que utiliza el nombre del periódico El Mundo, exactamente la dirección del remitente es ultimas@elmundo.es. Además, como pueden observar en la siguiente imagen, es un mensaje escueto, en el cual muestra cierta información sobre el caso, pero a diferencia de las noticias reales, en este correo se indica que va a ser ejecutada en directo y aparece un enlace para acceder al supuesto vídeo comentado, pero que al contrario de lo que se muestra, descarga el archivo citación-876566.scr.

Este archivo es otra variante del troyano bancario de origen brasileño, llamado Banload, del cual ya hemos hablado en anteriores artículos en este miso blog. Por ello, desde el departamento técnico de ESET en Ontinet.com, aconsejamos a los usuarios hacer caso omiso de este tipo de mensajes de dudosa procedencia, y con más razón en el caso de que no estemos suscritos a ninguna lista de noticias, además de tener nuestro sistema protegido por un software antivirus actualizado por si descargamos el archivo accidentalmente.

David Sánchez

Aclarando conceptos

Cada vez que se publica una vulnerabilidad en algún producto informático tiene mayor repercusión en el público. Todos nos estamos acostumbrando a desayunar con una noticia que informa sobre tal o cual problema. Pero al igual que ocurre con los virus, gusanos y troyanos, en un mismo saco se meten conceptos distintos que conviene aclarar.

Cuando se habla de una vulnerabilidad, en muchos casos se confunde con un exploit, un bug o un ataque. Cada uno de estos conceptos es distinto, aunque en muchos casos pueden estar relacionados.

Un bug es un error que tiene una aplicación o sistema. Sus consecuencias pueden ser muchas, generalmente un cierre inesperado de la aplicación, el cuelgue del sistema, etc. Si ese bug provoca que el sistema o el programa puedan volverse débiles por algún motivo, se le denomina vulnerabilidad, es decir, es un bug que les vuelve vulnerables. Si un hacker se da cuenta de la vulnerabilidad, podrá crear un exploit. Los exploit son pequeños programas que aprovechan la existencia de una vulnerabilidad, aprovechándola para algún fin. Los peores exploits son los que se utilizan para lanzar ataques contra los programas o sistemas vulnerables.

Pero ¿qué es exactamente un 0-day? Ese concepto se empezó a difundir hace tiempo, empleándolo para los exploits que se creaban en el mismo día que una vulnerabilidad. Es decir, que ni siquiera había pasado un día desde el descubrimiento de la vulnerabilidad y ya había un exploit para ella.

Cada vez es más frecuente el uso del adjetivo “0-day” para las vulnerabilidades. Bajo mi punto de vista, ese adjetivo, por muy extendido que esté, es erróneo. “0-day” especifica de manera muy clara una situación temporal. Si lo consideramos como un adjetivo calificativo especificativo, complementa muy bien el tipo de exploit del que estamos hablando, pero aplicado a una vulnerabilidad, pierde sentido.

¿Qué característica temporal especial añade a la vulnerabilidad el ser “0-day”? Se suele argüir que es una vulnerabilidad no hecha pública, caso en el que el la temporalidad indicada en “0-day” pierde completamente el sentido. Si la vulnerabilidad se hace pública cuando ya existe el exploit, la información aportada por “0-day” no tiene especial sentido, igual podría aplicarse, por ejemplo, “churrigueresca” como adjetivo a ese tipo de vulnerabilidad.

Si trazamos un esquema cronológico de una vulnerabilidad, su exploit y su publicación, en algún momento del tiempo debemos establecer un “momento 0”, un inicio, que es el que nos determinaría la situación a calificar como “0-day”.

Podría ser, por supuesto, el momento en el que se descubre la vulnerabilidad, con lo que la vulnerabilidad pasaría a ser “0-day”. ¿Qué información añade el adjetivo a la vulnerabilidad? En principio, ninguna. Un titular “descubierta vulnerabilidad 0-day” significaría “descubierta vulnerabilidad hoy mismo”, por lo que el adjetivo “0-day” dejaría de ser correcto un día después.

Si el “0-day” se aplica a el exploit, se está informado de que es un exploit creado con mucha rapidez, en el mismo momento en el que la vulnerabilidad se hace pública. Hay que reconocer que es muy poco probable que se descubra un exploit para una vulnerabilidad y no se descubra el mismo día, cuando menos, la vulnerabilidad que explota.

Así, pues, y bajo mi modesto entender, creo incorrecto el uso de “0-day” para calificar a una vulnerabilidad. Cierto es que está ampliamente usada, y que grandes y muy buenos investigadores de seguridad la emplean, lo que no quiere decir que esté bien empleada. No menos importantes son los estudiosos que usan las palabras “encriptar”, “refuerzo de políticas de seguridad” o “perimetral”, cuando lo que quieren decir es “cifrar”, “aplicación de políticas de seguridad” o “perimétrico”. Es simplemente una gran laguna en el conocimiento de la lengua que se habla.

“Saber que se sabe lo que se sabe y que no se sabe lo que no se sabe; he aquí el verdadero saber.” Confucio.

Fernando de la Cuadra

ESET Remote Administrator 4 disponible en castellano

ESET acaba de lanzar la versión 4 de la herramienta ESET Remote Administrator en castellano. Esta nueva versión incorpora importantes novedades como las que pasamos a describir a continuación:

Gestión inteligente de grupos: La nueva herramienta de gestión está basada en parámetros actualiza los grupos con los equipos que responden a determinados criterios. La herramienta trabaja con reglas de filtrado, informes, notificación y políticas. Una sincronización “Active Directory” mejorada facilita el despliegue de las soluciones empresariales de ESET en redes dispersas de gran tamaño con jerarquías complejas.

Gestor de políticas mejorado: El nuevo asistente de instalación es más intuitivo y facilita la definición de políticas de grupo. Las características de importación/exportación elimina el trabajo de copia y duplicación de éstas en las diferentes sedes.

Instalación remota más simple: Cierra las brechas de seguridad y libera a los profesionales de TI de trabajos redundantes y que llevan mucho tiempo con una mejora en la búsqueda de equipos cliente no registrados. También crea tareas para gestionar las instalaciones en equipos cliente en paralelo, sin más intervenciones.

Gestión centralizada de cuarentena: Permite restaurar o borrar los objetos en cuarentena desde la consola, a partir de criterios específicos, o excluirlos de análisis posteriores. La visibilidad de arriba a abajo garantiza la consistencia de las políticas en todos los equipos finales.

Gestión por plataformas: Permite la gestión remota a través de una única consola de todos los equipos finales que estén ejecutando la versión actual o las versiones previas de ESET Smart Security y ESET NOD32 Antivirus para Windows, así como los próximos lanzamientos de ESET NOD32 Antivirus para Mac y Linux y la próxima generación de productos para móviles.

Una herramienta tan potente como esta facilita mucho las tareas de gestión de cualquier tipo de red, ya tenga muchos o pocos ordenadores conectados. También es importante destacar la posibilidad de gestionar dispositivos móviles como ordenadores portátiles o teléfonos, cada vez más usados en entornos corporativos y que, muchas veces, son un quebradero de cabeza para los encargados de gestionar la seguridad en un entorno heterogéneo.

Esperamos que estas y otras mejoras incluidas en la nueva versión de ESET Remote Administrator 4 ayuden a que las tareas de los administradores tanto de redes grandes como de más pequeñas.

Laboratorio de ESET en Ontinet.com

« Artículos Posteriores — Artículos Anteriores »