Peligro de Phising navegado a través de dispositivos iPhone

Categorias: Phishing,Productos,seguridad,telefonía | | 1 Comentario » |

A través del blog del investigador Nitesh Dhanjani, damos a conocer una prueba de concepto realizada en dispositivos iPhone de Apple, en el que se muestra que podemos ser víctimas de Phishing navegando por medio de Safari, que es el navegador predeterminado de estos dispositivos.

Actualmente, los navegadores más populares no permiten que un sitio web modifique el texto que se muestra en la barra de direcciones, ni tampoco ocultar la barra de direcciones por una simple razón, si ello estuviera permitido, una aplicación web maliciosa podría ocultar los distintos elementos de la página, como por ejemplo mostrar URL’s arbitrarias, engañando al usuario creyendo que está navegando por un sitio seguro cuando no es así.

El comportamiento de Safari en el iPhone es el siguiente: una vez introducimos la dirección web a la que queremos acceder y la página se carga, la parte que muestra la URL de la página desaparece al terminar de cargarse, a continuación podemos ver un vídeo de esta prueba de concepto:

Como podemos observar en la imagen mostrada a continuación, en la parte izquierda vemos lo que sería la página original del banco y en la derecha, una página falsa en la que se añadiría la barra de dirección como imagen para intentar engañar al usuario:

Si disponen de un iPhone, pueden comprobar los resultados utilizando este mismo ejemplo, accediendo al siguiente enlace: http://www.dhanjani.com/iphone-safari-ui-spoofing/

Desde el departamento técnico de ESET en Ontinet.com, recomendamos a los usuarios que dispongan de un iPhone que, mientras Apple estudia como corregir este comportamiento, sean cuidadosos y comprueben la dirección de las páginas a las que accedemos, sobre todo si son páginas de acceso a bancos, de información confidencial, etc.

David Sánchez



Intentar saltarse el control parental puede convertirse en una mala idea

Categorias: Educación,seguridad | | 1 Comentario » |

Una de las soluciones más utilizadas por los padres a la hora de proteger la navegación de los menores son las aplicaciones de control parental. Este tipo de software protege en gran medida la navegación de los niños. Estas aplicaciones o filtros suelen ser utilizados en colegios para prohibir el acceso de los menores a determinadas páginas como Facebook, MySpace, Tuenti, etc.

Y como suele pasar, si a algo se nos prohíbe el acceso, hacemos lo posible por intentar descubrir algún método que nos permita poder entrar a esas páginas bloqueadas. Lo normal antes era introducir la consulta en Google. Ahora esto ha cambiado y lo preguntamos en Twitter, en Tuenti o lo buscamos en Facebook, pudiéndonos topar con páginas indeseables.

De ello ha informado el blog de Sunbelt, muchas de esas búsquedas pueden proporcionar falsos enlaces donde podemos descargarnos malware, o en las que nos podemos encontrar con todo tipo de publicidad adaptada a menores, como juegos, películas famosas, chats, horóscopo, etc.

Indagando un poco más en el asunto y haciendo otra serie de búsquedas en Facebook, hemos detectado varios grupos que realizan acciones parecidas:

Dentro de cada grupo, distintos usuarios publican enlaces que proporcionan este tipo de servicios. Por lo tanto podemos ser víctimas de un engaño al pulsar en un enlace que no es lo que dice ser.

Aparte de eso, aparecen determinadas páginas que realizan funciones de proxy para ocultar la navegación.

Muchas de estas páginas no son nada fiables, pueden redirigirnos a páginas que utilicen técnicas de phishing o de scam, e incluso la publicidad mostrada puede bloquearnos la navegación, por lo que puede ser normal hacer clic en una ventana emergente de publicidad sin desearlo. La publicidad mostrada suele estar dirigida a menores tal y como podemos observar a continuación:

Al pulsar en estas aplicaciones de juegos, se abre una nueva ventana en la que se descarga una aplicación llamada MyWebSearch.

También nos podemos encontrar que al hacer clic en estos enlaces, nos pida un número de teléfono móvil para poder acceder a la supuesta promoción, o también puede que nos haga una pregunta muy fácil y al contestarla correctamente nos pida también un número de teléfono móvil:

Si introducimos nuestro número de móvil, puede que al final de mes, la factura se haya incrementado considerablemente y los mensajes cortos de publicidad nos saturen el móvil.

Otra de las posibles páginas que nos podemos encontrar al hacer clic en un enlace de la lista de proxys proporcionadas por estas webs son las siguientes:

Este tipo de páginas son comúnmente utilizadas. Nunca llegamos a poder acceder a la página ya que dicha ventana no desaparece aunque sigamos los pasos indicados, pero la página consigue ingresos por ello.

Hemos estado viendo los peligros que pueden contener este tipo de enlaces, específicamente dirigidos a menores. Pero también existen ganchos para adultos, como páginas de contactos o test de conducción:

Desde el departamento técnico de ESET en Ontinet.com, queremos advertir de estos peligros tanto a los padres como al resto de los usuarios que utilicen este tipo de servidores proxy. El uso de un servidor proxy para saltarse aplicaciones de control parental o filtros de navegación que podamos tener en el lugar de trabajo puede no ser seguro. Cuando los utilizamos, todos los datos que se envían cuando navegamos por redes sociales, chats, etc., es filtrada primero por el proxy, existiendo la posibilidad de que este registre todos esos datos para un uso malicioso. Además de las consecuencias que pueda acarrear el que se detecte que estamos utilizando este tipo de servicios en lugares en los que no está permitido.

David Sánchez



Nuevo 0day en Windows que permite escalada de privilegios (y van dos seguidos)

Categorias: exploit,Vulnerabilidades | | Sin comentarios » |

Si ayer mismo comentábamos la publicación, el pasado fin de semana, del código de una vulnerabilidad que permitiría obtener una elevación de privilegios en sistemas Windows totalmente parcheados, hoy hemos visto como otra vulnerabilidad publicada en el día de ayer (con prueba de concepto disponible) conseguía también este efecto.

No vamos a entrar en detalle sobre los aspectos técnicos de esta nueva vulnerabilidad, puesto que los expertos en el tema ya se han ocupado de hacerlo muy bien. Tan solo comentaremos que esta vulnerabilidad puede ser aprovechada en sistemas Windows Vista, Windows 7 y Windows Server 2008 (en Windows XP aun se está estudiando su viabilidad) con todas las actualizaciones de seguridad disponibles aplicadas. La prueba de concepto, que las soluciones de seguridad de ESET detectan como Win32/Exploit.Agent.NAB, muestra como, aprovechándose de la vulnerabilidad presente en Win32k.sys, un atacante pueda acceder a la cuenta system, lo que le otorga privilegios casi absolutos sobre el sistema atacado.

Como en la vulnerabilidad que comentamos ayer, este fallo no puede ser aprovechado de forma remota por lo que el atacante debería obtener, de algún modo, acceso a la máquina que desease atacar. No obstante, viendo la variedad y sofistificación del malware hoy en día, no nos extrañaría ver como esta vulnerabilidad es aprovechada junto a otra para obtener mayores beneficios.

Microsoft ya ha declarado que está trabajando en la solución de estas dos vulnerabilidades,por lo que es cuestión de tiempo que aparezcan los respectivos parches de seguridad. Mientras tanto, desde el departamento técnico de ESET en Ontinet.com recomendamos seguir los pasos descritos desde el Inteco e Hispasec para mitigar posibles ataques que se aprovechen de esta vulnerabilidad.

Josep Albors



¡He recibido un correo de voz!, ¿de quién será?

Categorias: Ingenieria social,Malware,Spam | | Sin comentarios » |

Los nuevos servicios de Internet intentan hacernos la vida mucho más fácil. A día de hoy podemos realizar cualquier tipo de transacción bancaria sin ser necesario ir físicamente a la oficina, o que nuestra compañía de seguros nos informe al momento de un parte de accidente que hemos sufrido, así como otros tipos de servicios como hacer la declaración, tramitar documentación, gestión de multas, etc.

Como nuestros lectores conocen, todos estos servicios pueden ser utilizados por los ciberdelincuentes para intentar engañarnos y caer en posibles estafas o intentar infectar nuestro sistema.

En este caso les informamos de otro intento de infectar nuestro sistema con unos supuestos mensajes de voz, método que no es nuevo, ya que anteriormente informamos de un intento de ataque similar.

En este caso recibimos un correo, con dominio Vodafone.es. En el mensaje se muestra el logotipo de Vodafone para que el usuario no desconfíe del mismo, un texto indicando que tenemos un mensaje de voz y un enlace para descargarlo:

Al pulsar en el enlace indicado, nos descargará el archivo video.scr, el cual contiene una variante del Win32/Banload.PSA, troyano de tipo downloader:

En este caso el archivo descargado contiene la extensión scr, que hace que el archivo sea un ejecutable, como cuando tienen extensión .bat, .exe, .com, etc. Al ser una extensión poco conocida para el usuario final, puede causar que el usuario lo ejecute creyendo que es otro formato de audio. Por ello, desde el departamento técnico de ESET en Ontinet.com queremos advertir a los usuarios de este tipo de métodos para que no caigan en la trampa y omitan este tipo de correos. Y en el caso de que la curiosidad nos ciegue y no podamos resistirnos a pulsar sobre el enlace, disponer de una solución antivirus instalada y actualizada.

David Sánchez



Publicado el código de otra de las vulnerabilidades usadas en Stuxnet

Categorias: Vulnerabilidades | | 3 Comentarios » |

El que es sin duda el malware del año, Stuxnet, sigue siendo protagonista de muchas de las noticias relacionadas con la seguridad informática. Sin ir más lejos, el pasado fin de semana se publicó el código de una prueba de concepto que se aprovecharía de la única vulnerabilidad usada por Stuxnet que aún está por solucionar.

La publicación del código de esta prueba de concepto hace temer una escalada de nuevas amenazas que se aprovechen de esta vulnerabilidad para lanzar nuevos ataques. No obstante, desde Microsoft se ha lanzado un mensaje de tranquilidad puesto que, para poder realizar una escalada de privilegios aprovechando este agujero de seguridad, es necesario poder ejecutar código de forma local en el sistema atacado.

La prueba de concepto publicada por el investigador webDEVIL muestra como se usa el Administrador de Tareas de Windows para generar una nueva cuenta de Administrador. El mismo investigador afirma que este agujero de seguridad estaría presente para las versiones de 32 y 64 bits de Windows Vista, Windows 7 y Windows Server 2008.

Esta vulnerabilidad puede ver incrementada su eficacia si se combina con un ataque al navegador Internet Explorer, debido a que aun existe una vulnerabilidad sin solucionar en el navegador de Microsoft que permite la ejecución remota de código, pero que sí cuenta con una solución parcial. Por si sola, necesitaría de la capacidad del atacante de poder ejecutar código en el sistema de la víctima. No obstante, si existe esta posibilidad, la ejecución de esta vulnerabilidad es solo una entre muchas varias opciones que podría realizar un atacante en ese sistema.

Así las cosas, desde el laboratorio de ESET en Ontinet.com aprovechamos la ocasión para recordar la importancia de activar las medidas que el propio sistema operativo incorpora para prevenir estas escaladas de privilegios no autorizadas. Los sistemas más recientes de Microsoft incorporan medidas como el Modo Protegido la Prevención de Ejecución de Datos (DEP por sus siglas en inglés) que, combinadas con una política adecuada de actualizaciones y una buena protección antivirus nos pueden evitar más de un quebradero de cabeza.

Josep Albors.



(De nuevo) Inyección de código malicioso en webs legítimas

Categorias: Malware | | Sin comentarios » |

No hace mucho, en este mismo blog informábamos de un caso de inyección de código malicioso en un conocido portal español. Esta noticia, no obstante, no nos cogía por sorpresa puesto que ya veníamos viendo un incremento en las inyecciones de malware en webs legítimas desde meses anteriores. Tanto en el caso anterior como en este, se trata de servicios webs españoles con cierta antigüedad que aun siguen siendo usados por algunos usuarios, motivo por el cual son una víctima interesante para propagar amenazas.

Uno de los varios casos que hemos detectado gracias a la colaboración de nuestros usuarios ha sido el que mostramos a continuación:

En apariencia se trata de una web inofensiva creada por un usuario que tan solo quería compartir apuntes de enfermería. Y así era hasta que la web sufrió un ataque de inyección de código malicioso y, en estos momentos, cada vez que un usuario accede a la misma las soluciones de seguridad de ESET detectan la inyección de código como un JS/TrojanClicker.Agent.NAZ.

Si analizamos el código fuente de la web observamos como hay un script que nos dirige hacia un enlace externo al dominio que alberga la web. Es desde ese enlace desde donde se puede establecer que descarguemos el malware que  haya preparado el atacante. En este ejemplo no se observan intentos de ofuscar la línea de código malicioso como sí sucede en muchos otras ocasiones, por lo que no se puede catalogar este ataque como de alto nivel.

Nos encontramos ante un problema que resulta especialmente grave para aquellos usuarios que no suelen usar soluciones de seguridad por seguir pensando que no se infectarán si solo navegan por webs legítimas. Tanto en este caso como en casos anteriores ya comentados en este mismo blog, cualquier página puede contener malware si no se han tomado las medidas necesarias para protegerla contra la inyección de código malicioso.

Desde el laboratorio de ESET en Ontinet.com queremos recordar que una protección antivirus eficaz es indispensable para evitar infectar nuestro sistema cuando accedemos a webs aparentemente inofensivas. Por mucho que evitemos navegar por webs “peligrosas” nunca podemos estar seguros de que una web (sea la que sea) no ha sufrido una inyección de código.

Josep Albors



Adobe Reader X ya disponible en inglés

Categorias: Anuncios,seguridad | | Sin comentarios » |

Ha sido un año en el que los productos Adobe han estado en boca de todos. Varias noticias respecto a vulnerabilidades detectadas, ataques aprovechándose de las mismas y un sinfín de actualizaciones reparándolas, han sido noticia en nuestro blog. Incluso se ha generado un fuerte debate en la red sobre si el formato PDF debería desaparecer.

Como ya informamos este verano, nuestros lectores ya conocían la intención de Adobe en implementar una nueva versión del producto Adobe Reader más segura, incluyendo un modo protegido, con el uso de la tecnología Sandbox. Este proyecto ha llegado a su fin con la aparición de Adobe Reader X. Como ya informamos en su día, en el proyecto, han participado desarrolladores de Adobe, Microsoft y Google Chrome.

Según publican desde Adobe, “El modo protegido del nuevo Adobe Reader, presenta un nuevo avance en lo que respecta a poder mitigar el impacto de los ataques destinados a este producto. Además, la tecnología “Sandboxing” proporciona una defensa adicional contra los ataques. Incluso si un atacante explota una vulnerabilidad del producto, el modo protegido podrá evitar que el atacante ejecute cualquier tipo de software malicioso en el sistema”. Disponen de información específica de todas estas funciones aquí.

Desde el departamento técnico de ESET en Ontinet.com, esperamos que esta nueva versión cause los efectos deseados por sus desarrolladores, y que aumente la protección de los usuarios que utilizan esta aplicación para la lectura de archivos en formato PDF.

David Sánchez



Fallo (solucionado) de Google permitía obtener nuestra dirección de email

Categorias: exploit,Spam,Vulnerabilidades | | 1 Comentario » |

Se ha armado cierto revuelo este fin de semana tras la publicación de un fallo de seguridad de Google que permitía obtener nuestra dirección de correo de Gmail. Este fallo fue descubierto por un investigador que aprovechó para crear una prueba de concepto en forma de sitio web. Al visitarlo, y siempre que tuviésemos una sesión iniciada en cualquier servicio de Google (Gmail, Calendar, Picassa, etc.), el investigador enviaba un correo de forma automática a nuestra cuenta de Gmail, para demostrar que poseía nuestra dirección de correo electrónico.

Afortunadamente y, tras ponerse en contacto con ellos, Google ha solucionado este fallo por lo que no va a poder ser aprovechado. No obstante un error así podría volver a repetirse y no solo en productos de Google. Las redes sociales ya han sufrido incidentes de este tipo, aunque tampoco hace falta aprovecharse de vulnerabilidades. Los usuarios descuidados ya se encargan de hacer accesibles datos privados de forma voluntaria.

Este fallo a la hora de preservar la privacidad de nuestro correo electrónico puede tener diferentes consecuencias dependiendo de la legislación de cada país. Si bien, el uso más extendido que pudiera habérsele dado consiste en la captura de direcciones de correo de Google para enviarles spam o correos con malware (bien en la forma de archivos adjuntos o enlaces), en España, el de este fallo podría considerarse además una violación de la Ley Organica de Protección de Datos por ignorar el derecho de información y consentimiento al que tenemos derecho los usuarios de Internet antes de ceder un dato personal a terceros.

Desde el laboratorio de ESET en Ontinet.com nos complace ver como Google ha sabido reaccionar a tiempo solucionando este fallo antes de que pudiese causar graves problemas. Asimismo, nos gustaría recordar que nuestro correo electrónico es un dato personal que debemos cuidar y evitar publicarlo alegremente en cualquier sitio web a la vista de todo el mundo.

Josep Albors



Factura desde Brasil que instala malware camuflado de Flash Player

Categorias: Ingenieria social,Malware,Spam | | 1 Comentario » |

Si en el post anterior de nuestro blog mostrábamos un ejemplo de propagación clásica de malware con un archivo malicioso adjunto a un correo, en esta ocasión mostramos un malware que utiliza un vector de propagación más elaborado. El correo que hemos recibido en el laboratorio está orientado a ciudadanos de Brasil, por el dominio del correo y el uso del idioma portugués.

Veamos que nos cuentan en este correo (pulse sobre la imagen para ampliarla):

A simple vista parece que se trata de un comprobante de pago enviado desde una sucursal de la empresa Yamaha en Brasil. Bueno, es posible que alguno de los destinatarios de este correo posea alguno de los productos de esta empresa, pero lo más probable es que se haya suplantado este dominio, usando la técnica de spoofing, sin ningún motivo en particular.

Como hemos comprobado en la imagen, en el correo aparece un enlace, que, al analizar toda su ruta, vemos como nos dirige una dirección IP donde muestra una imagen solicitando la descarga Adobe Flash Player en portugués.

Si pulsamos sobre el botón de instalación, descargaremos en nuestro sistema un archivo de nombre install_flash_player.exe. Este archivo, que puede parecer el instalador real de la aplicación de Adobe, oculta en realidad una variante más del troyano bancario que las soluciones de seguridad de ESET detectan como Win32/TrojanDownloader.Banload.PRO.

La técnica descrita en este post viene usandose desde hace tiempo y se renueva cambiando el asunto periódicamente. No obstante, si la técnica persiste es porque aun consigue que se vean afectados el suficiente número de usuarios como para considerarla rentable. Desde el laboratorio de ESET en Ontinet.com recomendamos revisar detenidamente todos los enlaces que nos envíen para comprobar que nos dirigen a donde realmente debemos ir. Este tipo de engaños se usa también en casos de phishing y fraudes similares por lo que estar atentos nos puede evitar más de un disgusto.

Josep Albors



El spam de Facebook vuelve a la carga

Categorias: Ingenieria social,Spam | | Sin comentarios » |

Hace un par de días saltó la noticia de que Facebook desactivó algunas cuentas de usuario por error. Nada fuera de lo normal en una red de ese tamaño. No obstante, la repercusión que tuvo esa noticia ha hecho que los ciberdelincuentes la utilicen como cebo para propagar sus códigos maliciosos. Uno de los métodos usados es el clásico envío de correos electrónicos con ficheros adjuntos infectados. Esta técnica hace tiempo que dejó de ser innovadora, pero la sencillez con la que se pueden enviar millones de correos de este tipo desde máquinas infectadas conectadas a una botnet hace que (aunque el porcentaje de usuarios que caigan en la trampa sea relativamente bajo comparado con otros vectores de ataque) siga siendo rentable.

A continuación vemos un ejemplo de este tipo de correos recibido en nuestro laboratorio:

El correo pasaría sin pena ni gloria para la mayoría de usuarios y, probablemente, la mayoría lo eliminarían, pero, tal y como hemos comentado, el reciente incidente ocurrido con el bloqueo de cuentas de Facebook puede hacer que algún usuario afectado baje la guardia y ejecute el archivo adjunto. Este archivo contienen una variante más del código malicioso que las soluciones de seguridad de ESET detectan como el troyano Win32/Oficla.JJ.

Estamos ante otro ejemplo de malware clásico que se aprovecha de la ingeniería social para conseguir que el usuario ejecute el código malicioso. En esta ocasión se ha usado un fallo cometido por Facebook pero los creadores de malware están siempre atentos a las noticias de actualidad para propagar este tipo de amenazas.

Desde el laboratorio de ESET en Ontinet.com aconsejamos a nuestros lectores ignorar este tipo de correos, aunque provengan de remitentes confiables. Existen varios indicios que podemos revisar para decidir si nos encontramos ante un correo legítimo o no, como pueden ser el idioma en el que está redactado, la calidad de su gramática u ortografía o los ficheros adjuntos sospechosos. Siempre vale la pena perder un poco de tiempo revisando estos puntos antes que arriesgarse a quedar infectados.

Josep Albors



Artículos Anteriores »

Atención: nuestra página utiliza cookies Al utilizar nuestro sitio web, consiente nuestra política de uso.

Aceptar y ocultar este mensaje