• Buscar

• Síguenos en Twitter

• Categorías

  • actualizaciones (45)
  • adware (4)
  • Android (2)
  • Anuncios (30)
  • Apple (12)
  • BlackHat SEO (5)
  • Botnets (41)
  • Cálico Electrónico (1)
  • Clickjacking (7)
  • Curiosidades (38)
  • datos (9)
  • DDoS (3)
  • Defacement (7)
  • Educación (72)
  • entrevista (5)
  • Espionaje (11)
  • Estadísticas (9)
  • Eventos (14)
  • exploit (66)
  • Facebook (16)
  • Filtraciones (25)
  • General (59)
  • Hacking (58)
  • hacktivismo (19)
  • Herramientas (18)
  • Heurística (6)
  • Hoax (3)
  • Humor (1)
  • Informes (16)
  • Ingenieria social (98)
  • Juegos (5)
  • Mac (10)
  • Malware (243)
  • Phishing (59)
  • Piratería (7)
  • Privacidad (20)
  • Productos (36)
  • ransomware (3)
  • redes sociales (65)
  • rogue (25)
  • rootkit (1)
  • Scada (4)
  • Scam (21)
  • scareware (2)
  • seguridad (80)
  • sorteos (2)
  • Spam (123)
  • spyware (2)
  • telefonía (33)
  • Troyanos (12)
  • Tutoriales (19)
  • Unix (1)
  • Vulnerabilidades (197)

• Archivos

  • mayo 2012 (13)
  • abril 2012 (12)
  • marzo 2012 (22)
  • febrero 2012 (21)
  • enero 2012 (26)
  • diciembre 2011 (17)
  • noviembre 2011 (19)
  • octubre 2011 (20)
  • septiembre 2011 (23)
  • agosto 2011 (24)
  • julio 2011 (18)
  • junio 2011 (16)
  • mayo 2011 (18)
  • abril 2011 (11)
  • marzo 2011 (18)
  • febrero 2011 (17)
  • enero 2011 (19)
  • diciembre 2010 (20)
  • noviembre 2010 (22)
  • octubre 2010 (27)
  • septiembre 2010 (30)
  • agosto 2010 (24)
  • julio 2010 (36)
  • junio 2010 (43)
  • mayo 2010 (27)
  • abril 2010 (26)
  • marzo 2010 (14)
  • febrero 2010 (16)
  • enero 2010 (14)
  • diciembre 2009 (7)
  • noviembre 2009 (5)
  • octubre 2009 (3)
  • septiembre 2009 (3)
  • agosto 2009 (8)
  • julio 2009 (6)
  • junio 2009 (2)
  • mayo 2009 (4)
  • abril 2009 (6)
  • marzo 2009 (6)
  • febrero 2009 (3)
  • enero 2009 (3)
  • diciembre 2008 (5)
  • noviembre 2008 (5)
  • octubre 2008 (10)
  • septiembre 2008 (9)
  • agosto 2008 (7)
  • julio 2008 (8)
  • junio 2008 (10)
  • mayo 2008 (13)
  • abril 2008 (12)
  • marzo 2008 (7)
  • febrero 2008 (5)
  • enero 2008 (2)
  • diciembre 2007 (7)
  • noviembre 2007 (6)
  • octubre 2007 (7)
  • septiembre 2007 (9)
  • agosto 2007 (3)
RSS Artículos | RSS Comentarios

¿Mi cuenta de PayPal hackeada?

Como ya hemos visto en el post anterior, la suplantación de empresas conocidas sigue estando de moda para propagar malware o engañar a los usuarios. En este caso le ha tocado (una vez más) a la empresa de pagos seguros PayPal. No es la primera vez ni será la última  en la que se use el nombre de esta empresa para intentar engañar a los usuarios, puesto que sigue siendo la más importante a nivel mundial en cuanto a transacciones seguras de dinero por Internet se refiere.

El correo que hemos recibido en nuestro laboratorio tiene una redacción aceptable aunque con varios errores de escritura que demuestran que el emisor de este mensaje no tiene nada que ver con Paypal. Veamos el mensaje:

Como podemos observar, la redacción del mensaje resulta un tanto extraña puesto que se omiten signos de exclamación, no se usan correctamente algunos tiempos verbales y algunas expresiones nos pueden resultar extrañas. Pero como asumimos que muchos usuarios que reciban este correo y sean usuarios de PayPal ignoraran estos errores y pulsarán directamente sobre el enlace, vamos a ver que sucede.

Al pulsar sobre el enlace vemos como se nos envía a una dirección web donde se alberga un formulario esperando a que lo rellenemos. El formulario está lleno de errores gramaticales lo que demuestra que toda esta suplantación se ha realizado por gente inexperta o que usa un kit automatizado de baja calidad. Primero se nos solicita información personal junto a nuestro correo electrónico y nuestra contraseña de PayPal. Con estos datos ya se pueden obtener suculentos beneficios suplantando al titular de la cuenta y realizando compras y transferencias en su nombre, como si de un caso de phishing se tratase. Pero los ciberdelincuentes no se conforman con toda esta información y van más allá.

Como vemos, los ciberdelincuentes detrás de esta campaña de spam no se han cortado un pelo en pedir abiertamente todos los datos de nuestra tarjeta de crédito, incluso los que no son necesarios para la compra online (como el PIN). Obviamente esto les permitiría usar esta tarjeta tanto en compras online como duplicando la misma y sacando dinero en efectivo en un cajero.

Una vez rellenados todos los campos pulsaremos sobre el botón “Acceptar” e, independientemente de si los datos que hemos introducido son correctos o no hemos introducido dato alguno seremos dirigidos al centro de seguridad de PayPal.

Este último enlace es auténtico, como así lo corrobora el dominio y el certificado verificado por nuestro navegador, y los ciberdelincuentes lo han incluido para dar cierto aire de veracidad a su estafa. No obstante, si hemos llegado hasta él tras rellenar con datos válidos el formulario anterior, mas nos vale que contactemos con PayPal para cancelar nuestra cuenta si no queremos ver como se realizan cargos no autorizados a la misma.

Como vemos, el objetivo de esta estafa es bien claro. Obtener datos de cuentas de PayPal y de tarjetas de crédito para utilizarlos en actividades delictivas y realizar compras y transferencias a nombre del pobre usuario que ha introducido sus datos en el falso formulario. Aunque de una manera tosca y poco profesional, este tipo de engaño aun consigue captar suficientes víctimas como para considerarlo rentable. Desde el laboratorio de ESET en Ontinet.com recomendamos revisar este tipo de correos en busca de fallos y, ante la duda, contactar siempre directamente con la empresa, evitando pulsar enlaces incluidos en el email.

Josep Albors

Falso correo de Facebook con adjunto infectado

Los correos que suplantan empresas u organismos oficiales han sido una constante a lo largo de todo este año que está a punto de terminar. Desde este blog hemos analizado casos de suplantación como los Amazon, Paypal, Twitter y otras empresas pero también los de organismos oficiales españoles como la Agencia tributaria e incluso de las fuerzas de seguridad del estado como la Policía Nacional o la Guardia civil.

Una de las empresas que ha sido utilizada como cebo en multitud de ocasiones durante este año ha sido Facebook. El auge de esta red social con más de 500 millones de usuarios, la ha puesto en el punto de mira de los ciberdelincuentes que la han usado tanto como campo de operaciones para sus actividades delictivas como cebo para engañar a los usuarios.

En este caso vamos a proceder a analizar un correo electrónico que hemos recibido en nuestro laboratorio y que tiene unos cuantos aspectos curiosos que son dignos de destacar. Veamos como es este correo:

Hay varias cosas que nos llaman la atención del mismo pero quizá la más destacable es que, a pesar de pretender provenir de Facebook, el dominio usado es el de una de las redes rivales de esta (hi5.com). Asimismo, la escritura del mensaje presenta una serie de caracteres que no corresponden a nuestro alfabeto y, por los símbolos usados, estos parecen indicar que el mensaje se redactó en algún país eslavo (muy probablemente Rusia). Otro de los puntos destacables es que el archivo viene comprimido con contraseña para intentar evitar que los motores antivirus ubicados en la mayoría de servidores de correo puedan bloquear el adjunto. No obstante, la contraseña usada es muy simple y muchos productos antivirus especializados en proteger servidores de correo no tendrán mayor dificultad para descomprimir y analizar el archivo adjunto.

No obstante, pongámonos en la piel de un usuario doméstico sin una protección antivirus adecuada y que recibe el mensaje con el archivo adjunto malicioso intacto. En ese caso, el usuario podría proceder a descargar y descomprimir el adjunto, ejecutándolo a continuación. Si así lo hiciese, su sistema quedaría infectado por un código malicioso que las soluciones de seguridad de ESET identifican como una variante del troyano Win32/Injector.CCY.

Como vemos, el correo electrónico sigue siendo un vector de propagación de malware bastante importante para los ciberdelincuentes, aunque sea usando a las redes sociales como cebo. No obstante si seguimos los consejos que proporcionamos desde el laboratorio de ESET en Ontinet.com y aplicamos nuestro sentido común (junto con una protección antivirus eficaz), nos será mucho más fácil identificar aquellos correos que puedan contener malware y evitaremos que nuestro sistema quede infectado.

Josep Albors

Aclarando conceptos sobre la industria antivirus

Desde casi el inicio de la industria antivirus hay una serie de mitos recurrentes que siempre aparecen de vez en cuando. No es extraño, por ejemplo, que en alguna charla o evento al que asistimos como ponentes, alguno de los asistentes nos pregunte si no es la propia industria antivirus la que crea las decenas de miles de códigos maliciosos que aparecen cada día. Es más que probable que muchos usuarios quieran saber más sobre este tema debido a la reciente publicación de una trama de corrupción en China, que tiene como protagonistas a dos compañías antivirus de ese país y a un alto funcionario del gobierno chino.

Al parecer, este funcionario utilizó su influencia en el organismo chino que monitoriza la actividad de Internet para lanzar una alerta de propagación de malware y recomendar la descarga del producto antivirus Rising mientras acusaba a la compañía Micropoint (rival directo de la anterior) de haber creado ese malware, consiguiendo que arrestaran a un alto cargo de esa compañía. Tras varios años de investigación se ha descubierto que, no solo no fue Micropoint quien desarrolló el malware si no que fue la propia Rising quien lo hizo y además ofreció sobornos al funcionario para que les proporcionara un trato de favor y se deshiciese de la posible competencia (como así hizo). El resultado ha sido una sentencia a muerte para el funcionario acusado de corrupción, una imagen muy negativa para Rising (y para la industria antivirus en general) por desarrollar malware y ofrecer sobornos y muchos millones de euros perdidos para su competidor Micropoint, que ha sufrido durante años la competencia desleal mientras veían como eran acusados injustamente.

Pero claro, todo esto ha sucedido en China, donde el mercado antivirus (como muchos otros) tiene sus peculiaridades y no se puede extrapolar al resto de mercados. ¿Representa este caso el ejemplo perfecto que estaban buscando los amantes de las conspiraciones para justificar sus teorías (junto con las de que son los policías quienes cometen crímenes o los médicos los que propagan enfermedades para seguir teniendo trabajo, por ejemplo)? Como muy bien comenta nuestro compañero David Harley en el blog de ESET, estas teorías seguirán existiendo aunque no se produzcan casos como el que hemos analizado. La realidad, no obstante, es bien distinta. La industria antivirus tienen un código ético muy estricto y, si por cualquier motivo, alguna compañía crease un malware, su descubrimiento supondría un durísimo golpe del que, muy difícilmente, podría recuperarse. Asimismo, con la cantidad de malware que se genera a diario (cerca de las 200.000 muestras analizadas cada día en los laboratorios de ESET) resultaría extraño que una compañía antivirus decidiese crear sus propios códigos maliciosos, por no hablar de los recursos humanos y económicos que tendrían que destinarse a crear tal cantidad de malware.

No nos engañemos, la industria del malware es un negocio, sí. Pero ese negocio está controlado por las mismas mafias que trafican con drogas o armas y sus infraestructuras son lo suficientemente importantes como para suponer una seria amenaza para todos los usuarios. Botnets, troyanos bancarios, spam, son solo tres ejemplos del malware que encontramos a diario y, si seguimos viendo como aumentan el número de muestras cada día es porque proporciona muchos beneficios a los creadores de malware. Nosotros, como usuarios, hemos de aprender a defendernos usando una solución de seguridad que nos ayude a detectar y eliminar los códigos maliciosos con los que tenemos que lidiar cada día, aplicando actualizaciones a nuestro sistema operativo y aplicaciones para evitar que los agujeros de seguridad sean aprovechados y usar nuestro sentido común para evitar caer en las trampas de la ingeniería social.

Josep Albors

Rogueware que emula una herramienta del sistema

Muchos usuarios se han visto afectados alguna vez por aplicaciones de tipo Rogueware. Desde nuestro blog hemos informado en muchas ocasiones de los métodos que utiliza este tipo de malware para propagarse, que en la mayoría de ocasiones, se presenta como una falsa aplicación antivirus.

Desde Hispasec, nos informan de un nuevo rogueware que se está propagando por la red, el cual imita a una aplicación que supuestamente ofrece varias herramientas del sistema. A continuación os mostramos el vídeo que han realizado mostrando el funcionamiento de este malware y de las formas que puede activarse si el equipo llega a infectarse:

Tal y como mostramos en la definición de Rogueware, son aplicaciones que intentan parecerse a otras y, al contrario de lo visto hasta ahora, destacamos que este nuevo malware intenta emular herramientas típicas del sistema, como pueden ser el desfragmentador de Windows, el scandisk, herramientas de limpieza de temporales y archivos, etc. Algunos de los nombres utilizados por esta aplicación son SystemDefragmenter, ScanDisk, CheckDisk, QuickDefragmenter.

Desde el departamento técnico de ESET en Ontinet.com, les aconsejamos precaución a la hora acceder a la descarga de cualquier aplicación desde páginas externas a las del fabricante y además, tener instalada una solución antivirus actualizada para evitar este tipo de malware.

David Sánchez

Robo de credenciales y sus consecuencias

En varias ocasiones hemos recordado la necesidad de usar diferentes credenciales de acceso para los diferentes servicios web que usamos. Pensémoslo por un instante. Diariamente accedemos a revisar nuestro correo web, vemos que han hecho nuestros contactos en Facebook o Twitter y accedemos a algún foro o pagina web en la que estamos registrado. Muchos usuarios piensan que es complicado recordar todas las credenciales de acceso para todos estos servicios por lo que optan por crear solo un usuario y contraseña para todos ellos. Sin embargo esto es arriesgado puesto que, con que tan solo uno de los sitios web en los que estamos registrados se vea comprometido, el resto de nuestras cuentas de acceso se verán vulneradas igualmente.

Puede parecer que esta situación es difícil que se produzca, pero solo este fin de semana hemos visto dos casos graves de filtraciones de datos y que comprometen las credenciales de acceso de miles de usuarios. Tanto el proveedor de servicios de correo electrónico de McDonald’s, encargado del envío de correos promocionales de esta empresa, como el grupo Gawker (poseedora, entre otras de las webs Kotaku y Gizmodo) han sufrido sendos fallos de seguridad que han revelado datos de sus usuarios.

El caso más grave es el de Gawker puesto que se accedió al código fuente de su web y se consiguió sustraer las credenciales de acceso de más de un millón de sus usuarios. A pesar de que en un primer momento, desde la empresa se aseguró que no se había conseguido extraer información de los usuarios y esta se encontraba cifrada, la realidad es que esta información ya está disponible en multitud de sitios en texto plano.

Los primeros efectos de esta filtración de datos no se han hecho esperar y ya se han podido observar los primeros casos de cuentas de Twitter que han visto como se empieza a enviar spam sin permiso del usuario. Al principio se pensó que había aparecido un nuevo gusano en esta red social pero varios investigadores apuntan a que, muy probablemente, los usuarios que han visto como su twitter enviaba mensajes no autorizados, compartan las credenciales de acceso tanto en las webs del grupo Gawker como en Twitter. Es muy probable que esta y otras campañas de spam y enlaces maliciosos se extiendan por otras redes sociales como puedan ser, por ejemplo, Facebook.

Este ejemplo que acabamos de comentar es solo una muestra de lo que puede suceder si compartimos nuestras credenciales en varios servicios webs y uno de ellos se ve comprometido. Hay otros como la suplantación de identidad que pueden hacer aun mas daño al usuario que los sufra. Por eso, desde el laboratorio de ESET en Ontinet.com, recomendamos crear usuarios y contraseñas diferentes para cada servicio y, si nos resulta difícil memorizarlas, siempre podemos usar uno de los múltiples gestores de contraseñas gratuitos que existen para facilitarnos esa tarea.

Josep Albors

Nuevos correos suplantando a la Policía Nacional propagan malware

Parece que los ciberdelincuentes han tomado ya como costumbre el envío de correos electrónicos suplantando a las fuerzas de seguridad del estado para propagar códigos maliciosos. Si en anteriores ocasiones se usaba un dominio de la Guardía Civil como remitente del correo, en esta ocasión nos encontramos con una suplantación (algo menos profesional, todo sea dicho) de la Policía Nacional. Veamos un ejemplo de este tipo de correos:

Si nos detenemos a analizarlo observaremos varios detalles que deberían hacernos dudar de la autenticidad del mismo. Tal y como apuntan desde el Grupo de Delitos Telemáticos de la Guardia Civil, el lenguaje usado peca de algunos fallos de ortografía y expresiones no cotidianas en España. Empezando por el remitente del correo, observamos que el dominio es goberno.es, en lugar de gobierno.es. El uso de palabras como “Investigatorio” o “Assunto”  también nos hacen pensar que este correo puede tener su origen en algún país latinoamericano, muy probablemente Brasil.

Pero, más allá de los fallos ortográficos, resulta vital revisar hacia donde apuntan los enlaces que se nos proporcionan. Solamente pasando el cursor del ratón sobre los enlaces veremos que la supuesta notificación de la Policía Nacional apunta a un archivo de nombre video.scr almacenado en webs con dominios de Camboya y de las islas de Santo Tomé y Principe. En este punto deberíamos descartar definitivamente la autenticidad del correo puesto que es totalmente imposible que la policía española se dedique a enviar correos tan mal redactados y con la supuesta notificación que quieren entregarnos almacenada en un dominio de un país no precisamente cercano a España.

Para tranquilizar a aquellos usuarios que hayan podido recibir una copia de este correo, nos gustaría destacar que el archivo malicioso video.scr que se descarga al pulsar sobre los enlaces proporcionados ya se encuentra detectado por varias soluciones de seguridad, entre ellas las de ESET, que la identifican como una variante del troyano bancario Win32/TrojanDownloader.Banload.PTI.

Desde el laboratorio de ESET en Ontinet seguimos viendo como esta técnica de suplantación de organismos y fuerzas de seguridad del estado español sigue usándose. Esto significa que les reporta suficientes beneficios a aquellos ciberdelincuentes que envían los correos como para repetir la estrategia. Para evitar que este tipo de correos siga engañando e infectando a usuarios desprevenidos recomendamos revisar atentamente los mismos,tal y como hemos hecho en este post. Solo así podremos aprender a identificar y descartar este tipo de mensajes

Josep Albors

Wikileaks y los ataques DDoS

Durante estos días estamos asistiendo a lo que es ya una de las noticias del año. La reciente publicación de documentos secretos, la mayoría de ellos correspondientes a cables diplomáticos intercambiados entre Estados unidos y sus embajadas repartidas por todo el mundo, ha desencadenado una serie de eventos como la detención del fundador de Wikileaks, Julian Assange (buscado por presuntos delitos sexuales), protestas y reacciones contrariadas en Internet. Asimismo, hay otras reacciones que atañen a la seguridad informática, como los ataques de denegación de servicio que están sufriendo aquellas empresas, organismos o particulares que tiene algo que ver en esta historia.

Repasemos un poco los eventos. Tras la publicación de cientos de miles de cables diplómaticos, Wikileaks vio como su página web sufría ataques de denegación de servicio constantes. Aun migrándola a otros servidores, los ataques se seguían produciendo pero se solucionó de forma bastante efectiva solicitando la colaboración de los usuarios, que empezaron a crear cientos de mirrors o replicaciones de la web principal alojados en sus propios equipos. Tras esta primera oleada de ataques a Wikileaks, el grupo Anonymous, conocido, entre otros, por los ataques realizados recientemente contra la SGAE, organizó otra campaña de ataques DDoS, solicitando la colaboración de los internautas para bloquear las webs o los servicios de Internet de aquellas personas o entidades que, de alguna manera, habían o estaban impidiendo el buen funcionamiento de Wikileaks.

Así las cosas, en el momento de escribir esta noticia ya hemos visto como los sitios webs de Visa, Mastercard y Paypal sufrieron en el día de ayer sendos ataques que dejaron inoperativas sus webs y causaron problemas a muchas empresas que utilizan sus pasarelas de pago. Pero no fueron los únicos. Otros objetivos de la Operation: Payback, como se ha decidido llamar a estos ataques, han sido las webs del senador Joe Lieberman, Sarah Palin, Post Finance, la fiscalía encargada del caso Assange o la del abogado encargado de representar a las dos mujeres que acusan al fundador de Wikileaks de una presunta violación. Queda aun por ver si Anonymous emprenderán alguna acción contra Twitter puesto que la cuenta desde la que coordinaban e informaban de los ataques ha sido bloqueada.

Como toda noticia importante que atrae la atención de los usuarios, también se han visto casos de creadores de malware oportunistas que han empezado a propagar malware en forma de documentos adjuntos enviados por correo electrónico y que dicen contener información de Wikileaks. Es de suponer que, si la historia sigue generando titulares veamos mas campañas de propagación de código malicioso similares.

Desde el laboratorio de ESET en Ontinet.com seguimos con interés todas las noticias relativas a este caso puesto que es uno de los más importantes relacionados con ataques a diferentes objetivos en la web, con bandos enfrentados y mucha atención mediática de por medio. ¿Es este un avance de lo que puede ser una ciber-guerra o ataques ciber-terroristas como lo han calificado algunos medios? Sinceramente, deberíamos coger esas afirmaciones con pinzas puesto que los ataques DDoS son solamente una de las múltiples herramientas que se pueden usar en uno de esos escenarios, y no son las más peligrosa, precisamente. No obstante, debemos avisar que, por mucha simpatía que despierte la fundación Wikileaks, esta no apoya este tipo de ataques aunque sean en su nombre, ataques que, por otra parte, pueden ser considerados como delito en varios países, pudiendo sus perpetradores enfrentarse a penas de cárcel.

Josep Albors

Vulnerabilidad 0-day en WordPress

WordPress, uno de los servicios de blogs más conocidos y el que usamos desde el laboratorio de Ontinet.com para publicar nuestras noticias, se ha visto afectado por una vulnerabilidad 0-day que permitiría a un usuario malintencionado realizar consultas sobre la base de datos de un usuario registrado. Este tipo de ataques se podrían usar para obtener, por ejemplo, el usuario y contraseña de un administrador del blog y, a partir de ahí realizar todo tipo de acciones maliciosas.

WordPress ha reaccionado a la publicación de esta vulnerabilidad lanzando actualizaciones tanto para las versiones actuales (3.0.2) como a las versiones beta (3.1) del popular CMS. Es altamente recomendable realizar las actualizaciones pertinentes para evitar comprometer la seguridad de nuestro blog puesto que, de no hacerlo, cualquier atacante podría introducir enlaces maliciosos o servir malware desde el mismo.

Desde el laboratorio de ESET en Ontinet.com consideramos preocupante la tendencia que se está popularizando últimamente de infectar webs legitimas y blogs de usuarios. Sabemos que muchos usuarios aun piensan que nada les ocurrirá a sus sistemas si evitan navegar por sitios considerados tradicionalmente como peligrosos (warez y cracks, descarga no autorizada de contenido multimedia, sitios para adultos, etc.), mientras bajan la guardia cuando navegan por webs de confianza. Es por ello que debemos a aprender a estar alerta siempre. Solo de esta forma evitaremos caer en las trampas preparadas por los ciberdelincuentes en cualquier sitio web.

Josep Albors

Infectan todos los cajeros automáticos de la ciudad

Cuando en la Blackhat de este año, el investigador Barnaby Jack demostró como podía cargar código no autorizado en un cajero automático y vaciarlo de todo el efectivo que tuviese disponible, muchos empezamos a preguntarnos cuando empezaríamos a ver técnicas similares en un escenario cotidiano. Para quien no viera la demostración de este investigador, la mostramos a continuación:

Si bien los ataques a cajeros automáticos no son ninguna novedad, lo que veníamos observando hasta el momento era el uso de técnicas de skimming sobre los mismos cajeros automáticos. Esto consistía en conseguir los datos de los usuarios de los cajeros por medios mecánicos que incluían lectores falsos de tarjetas, teclados que suplantaban al original o dispositivos móviles encargados de tomar fotos y videos de las pulsaciones de los usuarios al introducir su pin y enviarlos a los delincuentes.

No obstante, en el caso que nos atañe, los delincuentes infectaban directamente el cajero automático, y no solo uno, sino todos los de la ciudad rusa de Yakutsk, de 250.000 habitantes aproximadamente. Esta banda estaba bien organizada y cada componente de la misma conocía bien su función. Según informaron las autoridades rusas mientras uno de los componentes de la banda conseguía el acceso a los caeros automáticos, otro se encargaba de infectarlos mientras que el tercero se encargaba de recoger el dinero. También se identificó una cuarta persona que sería la que programó el código malicioso por encargo.

En este caso se seguía usando la técnica de robar datos de cuentas bancarias de los usuarios que introducían sus tarjetas en cualquiera de los cajeros infectados. No obstante, la magnitud de la operación y la profesionalidad con la que se llevó a cabo nos hace sospechar que no será la última vez que oigamos hablar de casos similares, si bien es muy probable que estos sean a menor escala.

Con respecto a la seguridad de los cajeros automáticos, cabe recordar que, aunque la mayoría de ellos no permiten el acceso no autorizado desde la propia red interna del banco, solo hace falta tener un compinche con los permisos necesarios trabajando en el banco para conseguir acceder a estas terminales. Esto, unido a que muchos cajeros automáticos aun siguen usando sistemas operativos obsoletos y con muchas vulnerabilidades por corregir, hace que sean una presa muy apetecible para los delincuentes.

Desde el departamento técnico de Ontinet.com nos gustaría recordar la importancia de avisar a nuestra entidad bancaría si vemos algún dispositivo o funcionamiento anómalo cuando vayamos a sacar dinero en un cajero. Avisar lo antes posible puede evitarnos sobresaltos inesperados en nuestra cuenta corriente y ayudaremos a las entidades bancarias a mejorar la seguridad de estos terminales.

Josep Albors

Propagación del troyano Banload mediante falsa actualización de Adobe Flash Player

Hoy hemos recibido un nuevo correo no deseado haciendo referencia al banco brasileño Losango. En él, como pueden ver en la imagen mostrada a continuación, recibimos un supuesto comprobante de una indemnización correspondiente a un número de contrato:

Al hacer clic en el enlace que hace referencia a un documento con extensión .doc, se nos abre la siguiente página:

Aparentemente es la página de instalación de la aplicación Adobe Flash Player en portugués, aunque si nos fijamos que la dirección a la que hace referencia no tiene nada que ver con Adobe, por lo que podemos empezar a sospechar que algo no va bien.

Al hacer clic en el botón de “Instalar agora”, nos descarga el siguiente ejecutable:

El cual está detectado como una variante del troyano Banload. La propagación de este troyano se está realizando a través de una gran variedad de correos electrónicos no deseados, como por ejemplo el mostrado la semana pasada en nuestro blog, correspondiente a un falso mensaje de voz.

Desde el departamento técnico de ESET en Ontinet.com, aconsejamos omitir mensajes de correos electrónicos que estén en otros idiomas o que no tengan nada que ver con servicios que hayamos podido contratar. También aconsejamos acceder directamente a la página del fabricante para proceder a la instalación o actualización del cualquier software, así evitaremos caer en este tipo de engaños realizando una navegación segura.

David Sánchez

« Artículos Posteriores