• Buscar

• Síguenos en Twitter

• Categorías

  • actualizaciones (45)
  • adware (4)
  • Android (2)
  • Anuncios (30)
  • Apple (12)
  • BlackHat SEO (5)
  • Botnets (41)
  • Cálico Electrónico (1)
  • Clickjacking (7)
  • Curiosidades (38)
  • datos (9)
  • DDoS (3)
  • Defacement (7)
  • Educación (72)
  • entrevista (5)
  • Espionaje (11)
  • Estadísticas (9)
  • Eventos (14)
  • exploit (66)
  • Facebook (16)
  • Filtraciones (25)
  • General (59)
  • Hacking (58)
  • hacktivismo (19)
  • Herramientas (18)
  • Heurística (6)
  • Hoax (3)
  • Humor (1)
  • Informes (16)
  • Ingenieria social (98)
  • Juegos (5)
  • Mac (10)
  • Malware (243)
  • Phishing (59)
  • Piratería (7)
  • Privacidad (20)
  • Productos (36)
  • ransomware (3)
  • redes sociales (65)
  • rogue (25)
  • rootkit (1)
  • Scada (4)
  • Scam (21)
  • scareware (2)
  • seguridad (80)
  • sorteos (2)
  • Spam (123)
  • spyware (2)
  • telefonía (33)
  • Troyanos (12)
  • Tutoriales (19)
  • Unix (1)
  • Vulnerabilidades (197)

• Archivos

  • mayo 2012 (13)
  • abril 2012 (12)
  • marzo 2012 (22)
  • febrero 2012 (21)
  • enero 2012 (26)
  • diciembre 2011 (17)
  • noviembre 2011 (19)
  • octubre 2011 (20)
  • septiembre 2011 (23)
  • agosto 2011 (24)
  • julio 2011 (18)
  • junio 2011 (16)
  • mayo 2011 (18)
  • abril 2011 (11)
  • marzo 2011 (18)
  • febrero 2011 (17)
  • enero 2011 (19)
  • diciembre 2010 (20)
  • noviembre 2010 (22)
  • octubre 2010 (27)
  • septiembre 2010 (30)
  • agosto 2010 (24)
  • julio 2010 (36)
  • junio 2010 (43)
  • mayo 2010 (27)
  • abril 2010 (26)
  • marzo 2010 (14)
  • febrero 2010 (16)
  • enero 2010 (14)
  • diciembre 2009 (7)
  • noviembre 2009 (5)
  • octubre 2009 (3)
  • septiembre 2009 (3)
  • agosto 2009 (8)
  • julio 2009 (6)
  • junio 2009 (2)
  • mayo 2009 (4)
  • abril 2009 (6)
  • marzo 2009 (6)
  • febrero 2009 (3)
  • enero 2009 (3)
  • diciembre 2008 (5)
  • noviembre 2008 (5)
  • octubre 2008 (10)
  • septiembre 2008 (9)
  • agosto 2008 (7)
  • julio 2008 (8)
  • junio 2008 (10)
  • mayo 2008 (13)
  • abril 2008 (12)
  • marzo 2008 (7)
  • febrero 2008 (5)
  • enero 2008 (2)
  • diciembre 2007 (7)
  • noviembre 2007 (6)
  • octubre 2007 (7)
  • septiembre 2007 (9)
  • agosto 2007 (3)
RSS Artículos | RSS Comentarios

Autorun como vector de ataque en Linux. ¿Es posible?

La función Autorun que incorporan los sistemas Windows ha servido durante los últimos años para propagar una gran cantidad de amenazas entre los usuarios. Usando una técnica tan antigua como infectar unidades extraíbles para propagar códigos maliciosos tan pronto como se introducían en un sistema desprotegido, se ha conseguido posicionar este tipo de amenazas entre las más detectadas todos los meses.

Ahora bien, ¿es este vector de ataque algo exclusivo de Windows o puede ser portado a otros sistemas operativos?. Esa misma pregunta debió hacerse el investigador Jon Larimer quien hizo una presentación sobre el tema en la Shmoocon a finales de enero. En esa presentación se explicaba como se aprovechaba la función de Autorun para ejecutar malware en Windows pero también planteaba a Linux como un posible escenario.

Durante la charla, el investigador comenta que las últimas versiones de Linux para escritorio han dado un gran paso para mejorar la usabilidad de este sistema operativo para usuarios inexpertos pero, a su vez, esta mejora en la usabilidad incorpora características que pueden ser aprovechadas para acceder a nuestro sistema Linux desde una unidad extraíble como una memoria USB. Igual que ha sucedido durante varios años en Windows, este tipo de dispositivos pueden prepararse para evadir los mecanismos de protección que incorpora el sistema operativo y conseguir ejecutar código malicioso. Podemos ver el video completo de esta presentación a continuación:

No obstante, la demostración realizada es una prueba de concepto y, al mismo tiempo, un aviso a los desarrolladores de las diferentes distribuciones de Linux para que no se centren únicamente en la usabilidad de las versiones Linux de escritorio, en detrimento de la seguridad que siempre ha caracterizado este sistema operativo. Windows, por ejemplo, ha tomado ejemplo de sus errores y la última versión del sistema operativo de Microsoft ya no arranca por defecto las unidades extraíbles tipo pendrive (aunque sigue haciéndolo con cds y dvds). Es más,en las actualizaciones de seguridad mensuales lanzadas ayer, Microsoft extendió esta configuración por defecto  versiones anteriores de Windows.

Por último, y sin entrar en la eterna discusión de que sistema operativo es más seguro, hay algo que todos ellos comparten y es el usuario. Independientemente de los mecanismos de seguridad implementados, si el usuario no tiene una formación mínima en seguridad informática, es muy probable que termine comprometiendo el sistema o la información que contiene. Es por eso que, desde el laboratorio de ESET en Ontinet.com seguimos recomendando a los usuarios que se informen acerca de cuales son los mecanismos de seguridad básicos, para así dedicar nuestro valioso tiempo a trabajar con nuestros ordenadores en lugar de perderlo solucionando incidencias provocadas por amenazas.

Josep Albors

El malware al acecho de Google

Este fin de semana, hemos leído un interesante artículo en el blog de Gizmodo sobre el término Hiybbprqag. Y hemos querido investigar el malware al que se hacía referencia en esta entrada.

Para ponernos en situación, la historia comienza cuando un empleado de Google en Taiwán, registró el dominio http://www.hiybbprqag.com, inspirado en búsquedas de palabras sin sentido que Google descubrió que guiaban a los mismos resultados en el buscador de Bing. Este enlace redirige al apartado empleo de Google en los Estados Unidos. También hemos comprobado que ya existen perfiles en Facebook y en Twitter haciendo referencia a Hiybbprqag.

Leer más

Waledac regresa de la tumba

Desde que empezamos a analizar las redes botnet en este blog, han habido unas cuantas redes de este tipo que han brillado con luz propia. Storm, Zeus, Spyeye o la que nos ocupa en esta ocasión, Waledac, han sido botnets formadas por miles de usuarios que obtuvieron su fama por la gran cantidad de usuarios infectados que controlaban y las técnicas que usaban para conseguir nuevas víctimas. Pero con el paso del tiempo, las grandes redes Botnet fueron desapareciendo y Waledac fue una de ellas, cayendo hace ahora casi un año cuando Microsoft consiguió que se cerrasen los servidores que gestionaban esta botnet. Y así había permanecido hasta hace bien poco, cuando a principios de año empezamos a observar un repunte en su actividad.

Waledac como red nació hará aproximadamente dos años. Precisamente en este mismo blog ya hablamos sobre ella por aquel entonces en la campaña de propagación de malware y spam por motivo de la festividad de San Valentín. Precisamente esta festividad que tenemos tan cercana está volviendo a ser aprovechada para intentar infectar a un elevado número de usuarios y Waledac, de nuevo, puede volver a estar detrás.

Leer más

Troyano en Microsoft Update Catalog

La presencia de malware en sitios legítimos es algo que, actualmente, no debería sorprendernos. Normalmente se trata de páginas webs albergadas en servidores cuyos administradores han descuidado o no han securizado lo suficiente pero, como en el caso que hoy nos ocupa, también puede afectar a grandes empresas como a la propia Microsoft. Según nos comenta nuestro compañero Aryeh Goretsky, distinguido investigador de ESET, se ha descubierto una amenaza camuflada de actualización (aunque no pertenece a ningún producto de Microsoft) que realmente contiene un troyano y que se aprovecha del catálogo de actualizaciones de Microsoft para propagarse.

Antes de echarnos las manos a la cabeza primero hemos de recordar que el servicio de Microsoft Update Catalog no solo proporciona actualizaciones de sus productos si no que también sirve como plataforma de distribución de drivers para dispositivos como tarjetas gráficas, impresoras, etc. Es, precisamente, otro de estos productos lo que intenta descargarse una actualización que contiene un troyano en su interior y, casualmente, ya protagonizó un caso parecido el año pasado. Esta amenazas se encuentra dentro de unos drivers para el cargador de baterías Energizer® DUO USB Battery Charger que ya incluía un software con troyano de regalo tal y como analizamos en este mismo blog.

Leer más

Phishing de Paypal usando dominios comprometidos

Si hay algo a lo que los usuarios de banca y servicios de pago online están acostumbrados es a lidiar con los múltiples casos de phishing que se producen a diario. Continuamente se generan webs falsas que intentan suplantar entidades bancarias o conocidas pasarelas de pago con la intención de robar los datos de acceso y tarjeta de crédito de aquellos usuarios que caen en su trampa. Lo normal es que se use un dominio similar a la entidad que se desea suplantar o bien uno que haya sido adquirido de forma fraudulenta usando dinero robado pero el caso que analizamos hoy es un poco peculiar. Vamos a ver porqué.

Como cada día, en nuestro laboratorio recibimos miles de correos spam y este de Paypal que mostramos a continuación nos ha llamado la atención. Como vemos es un mensaje típico remitido desde una dirección de correo bastante genérica y que nos invita a pulsar sobre un enlace. (Pulsar sobre las imágenes para ampliarlas).

Una vez pulsamos sobre ese enlace, se nos envía a una web que simula ser la de Paypal. La verdad es que a primera vista puede parecer muy convincente pero si nos fijamos en los detalles podemos llegar a descubrir que no es la web que dice ser. Ante todo, lo primero que nos debería llamar la atención es la utilización de un dominio que nada tiene que ver con Paypal y que no usa el protocolo seguro https. Eso debería activar todas las alarmas pero sabiendo que muchos usuarios no observan esos detalles también podemos observar como hay fallos de traducción en la web.

De cualquier forma, si comparamos la web falsa con la web legítima de Paypal vemos como la suplantación a nivel gráfico está bastante bien conseguida pero la web legítima si que utiliza un protocolo https y así nos lo hace saber nuestro navegador.

Si accediéramos con nuestro usuario y contraseña en la web falsa, se nos presentaría un aviso indicando que nuestra cuenta ha sido bloqueada y que para desbloquearla primero hemos de rellenar un formulario con nuestros datos.

Obviamente a los ciberdelincuentes les interesa saber datos sensibles como los de nuestra tarjeta de crédito y no tienen ningún reparo en solicitárnoslos en este formulario. Por sorprendente que parezca, muchos usuarios siguen cayendo en esta trampa y proporcionan estos datos.

Hasta aquí lo que parece un caso normal de phishing pero lo que hace destacar este sobre el resto es el uso de un dominio legítimo que corresponde a una asociación médica latinoamericana, con la que ya nos hemos puesto en contacto para informarles de esta incidencia.

De nuevo observamos como una web comprometida ha sido usada con fines maliciosos. En este mismo blog ya hemos tratado casos de otras webs legítimas sirviendo malware y tenemos motivos para pensar que seguirán produciéndose casos similares en los próximos meses. Desde el laboratorio de ESET en Ontinet.com recomendamos desconfiar de este tipo de correos que nos proporcionan enlaces y, en caso de querer acceder a nuestra entidad bancaria o servicio de pago online, escribir la dirección web de forma manual en nuestro navegador.

Josep Albors.

Comandando botnets de dispositivos móviles a través de SMS

La evolución que está teniendo el malware orientado a dispositivos móviles está siendo vertiginosa en los últimos meses. La penetración en el mercado de los smartphones de una gran cantidad de nuevos dispositivos cada vez con mayores prestaciones ha hecho que los ciberdelincuentes estén dedicando mayores esfuerzos en atacar este tipo de dispositivos. En este mismo blog hemos comentado durante las últimas semanas varias amenazas orientadas a teléfonos móviles y no deberíamos sorprendernos si 2011 nos trae múltiples alertas de seguridad en estos dispositivos.

El mercado de dispositivos móviles es algo que evoluciona rápidamente y si, hace apenas un par de años, Symbian era la plataforma dominante, en la actualidad Android ha tomado el relevo, seguido por otros sistemas operativos como iOS. Pero todos estos sistemas usados en teléfonos móviles no son tan diferentes de los que usamos en nuestros sistemas de escritorío. Así pues, Android está basado en Linux, iOS se basa en Mac OS y Windows Mobile toma como base a Windows. Es por ello que resulta factible para los ciberdelincuentes adaptar amenazas ya existentes en sistemas operativos de sobremesa para aprovechar las peculiaridades de los dispositivos móviles.

El caso que hoy nos ocupa es una prueba de concepto mostrada en la convención de seguridad Shmoocon, celebrada durante la semana pasada en Washington. En dicha charla, el investigador Georgia Weidman nos explica como controlar una botnet de dispositivos móviles con sistema Android usando mensajes SMS de forma transparente al usuario. Hasta ahora habíamos visto algún ejemplo de malware que agregaba funcionalidades de Botnet como Geinimi, pero siempre que se estuviese usando una conexión de datos. El uso de SMS tiene una serie de beneficios como son la dificultad de detectarlos por las soluciones de seguridad (al no existir un tráfico continuo de datos), la tolerancia a los fallos (si el envío de un SMS falla se volverá a intentar enviar) y el ahorro de la batería del móvil infectado (al no consumir tanto por no estar conectado a la red de datos) lo que permite tenerlo bajo control durante más tiempo.

La arquitectura de una botnet de este tipo es similar a las que estamos acostumbrados a ver en equipos de sobremesa pero con la incorporación de los llamados centinelas. En el nivel superior tenemos al botmaster, que controla la red de dispositivos móviles infectados. El botmaster puede cambiar con frecuencia de terminal y usa tarjetas prepago para evitar ser detectado fácilmente mientras envía las ordenes a los dispositivos centinela. Este segundo nivel dentro de la botnet se compone de dispositivos que llevan tiempo infectados y transmiten las instrucciones recibidas desde el dispositivo que controla la red al resto de dispositivos infectados que se encuentran en el escalón más bajo de la botnet. Por último, los dispositivos zombies se limitan a recibir las ordenes que les transmiten los centinelas (nunca contactan directamente con el botmaster) y ejecutan ataques, DDoS, envían spam o realizan cualquier otra operación que se les ordene.

Como vemos, una estructura botnet típica pero aplicada a terminales móviles y con algunas limitaciones. Una de ellas es inherente de los mensajes SMS y es que las instrucciones proporcionadas no pueden sobrepasar los 160 caracteres. Asimismo, el envío de SMS desde los terminales centinela se realiza de forma transparente pero se facturan como lo haría un SMS normal, por lo que, revisando la factura telefónica puede descubrirse un uso fraudulento de nuestro móvil.

Obviamente, para poder infectar nuestro terminal móvil primero se ha de poder acceder a él y ejecutar código malicioso, pero viendo las vulnerabilidades que existen actualmente y las que se descubren continuamente en la mayoría de dispositivos móviles, no creemos que eso sea mucho impedimento para los ciberdelincuentes.

Las amenazas para móviles siguen progresando a pasos agigantados y ya están al mismo nivel que las presentes en sistemas de escritorio. Es solo cuestión de tiempo que nuestros teléfonos móviles vean como las amenazas para ellos se multiplican por lo que, desde el laboratorio de ESET en Ontinet.com, aconsejamos proteger aquellos dispositivos que dispongan de soluciones de seguridad con una de ellas y evitar instalar aplicaciones de dudosa procedencia.

Josep Albors

Bloqueo de Internet, ¿efectivo?

La revolución social que vive Egipto durante estos días también ha tenido sus repercusiones en el mundo online. Conocedores de que la mayoría de manifestantes y opositores al régimen organizaban sus protestas usando las redes sociales, el gobierno egipcio tomo el pasado 27 de enero una drástica medida, “desconectar” al país entero de Internet. Mediante esta desconexión, las autoridades pretenden, por una parte evitar que los opositores al régimen puedan organizarse y por otra, que se puedan mostrar al mundo imágenes y mensajes comprometedores o que muestren la represión que sufren los manifestantes.

Pero, más allá de las consecuencias sociales y políticas de esta medida de aislamiento online, también hemos observado como la desconexión también propició la práctica desaparición del spam proveniente de Egipto. Esto es obvio debido a que la mayoría de correo no deseado se envía desde máquinas de usuarios infectadas y conectadas a una botnet desde la cual reciben las órdenes.

Resulta interesante analizar esta situación ya que, salvando las diferencias entre un acto de censura como es este y la actuación de las fuerzas de seguridad a la hora de desconectar un centro de control de una botnet, el efecto es el mismo. Actualmente existen multitud de botnets de diferentes tamaños y dedicadas a todo tipo de actividades delictivas. Se ha comprobado que cuando el centro de control cae, la mayoría de los ordenadores zombies que seguían sus órdenes han dejado de hacerlo al cabo de un tiempo. Es por eso que, desde hace un tiempo venimos observando la creación de un mayor número de botnets pero de un menor tamaño así como también la descentralización del servidor de control para, que si uno cae, otro pueda ocupar rápidamente su lugar.

Volviendo al tema con el que iniciábamos este artículo, ya hace tiempo que Internet y los medios de difusión que pone al servicio de los ciudadanos suponen una herramienta muy potente para difundir imágenes, ideas u opiniones que incomodan a ciertos régimenes políticos. Si bien el aislamiento de los ciudadanos egipcios de Internet ha impedido a la mayoría de la población poder acceder a la red de redes, esto no ha evitado que otros pudieran conectarse mediante el uso de proxys y estableciendo conexiones telefónicas con servidores de otros países que dieron su apoyo a los ciudadanos egipcios. Incluso Google ha proporcionado unos números de teléfono para que los ciudadanos egipcios puedan enviar mensajes que podrán ser publicados en Twitter de forma gratuita.

Este tipo de bloqueos, aunque sean parciales, no es algo que pille por sorpresa a muchos ciudadanos de algunos países como China, acostumbrados a tener que lidiar con el conocido como “gran cortafuegos de China” que filtra todo aquello que el régimen comunista de Pekin considera inadecuado. No es de extrañar que, temiendo que sus ciudadanos puedan organizar algún tipo de revueltas inspirados por las noticias provenientes de Egipto y, anteriormente, Tunez, las autoridades chinas hayan decidido bloquear la palabra “Egipto” a la hora de buscar blogs en los portales más usados del país.

Lo que es innegable es que la mayoría de gobiernos teme o mira con cautela las acciones de sus ciudadanos en la red, sabiendo que es una herramienta muy poderosa y que es capaz de difundir mensajes que unan a mucha gente en una causa común en muy poco tiempo.

Josep Albors

« Artículos Posteriores