• Buscar

• Síguenos en Twitter

• Categorías

  • actualizaciones (45)
  • adware (4)
  • Android (2)
  • Anuncios (30)
  • Apple (12)
  • BlackHat SEO (5)
  • Botnets (41)
  • Cálico Electrónico (1)
  • Clickjacking (7)
  • Curiosidades (38)
  • datos (9)
  • DDoS (3)
  • Defacement (7)
  • Educación (72)
  • entrevista (5)
  • Espionaje (11)
  • Estadísticas (9)
  • Eventos (14)
  • exploit (66)
  • Facebook (16)
  • Filtraciones (25)
  • General (59)
  • Hacking (58)
  • hacktivismo (19)
  • Herramientas (18)
  • Heurística (6)
  • Hoax (3)
  • Humor (1)
  • Informes (16)
  • Ingenieria social (98)
  • Juegos (5)
  • Mac (10)
  • Malware (243)
  • Phishing (59)
  • Piratería (7)
  • Privacidad (20)
  • Productos (36)
  • ransomware (3)
  • redes sociales (65)
  • rogue (25)
  • rootkit (1)
  • Scada (4)
  • Scam (21)
  • scareware (2)
  • seguridad (80)
  • sorteos (2)
  • Spam (123)
  • spyware (2)
  • telefonía (33)
  • Troyanos (12)
  • Tutoriales (19)
  • Unix (1)
  • Vulnerabilidades (197)

• Archivos

  • mayo 2012 (13)
  • abril 2012 (12)
  • marzo 2012 (22)
  • febrero 2012 (21)
  • enero 2012 (26)
  • diciembre 2011 (17)
  • noviembre 2011 (19)
  • octubre 2011 (20)
  • septiembre 2011 (23)
  • agosto 2011 (24)
  • julio 2011 (18)
  • junio 2011 (16)
  • mayo 2011 (18)
  • abril 2011 (11)
  • marzo 2011 (18)
  • febrero 2011 (17)
  • enero 2011 (19)
  • diciembre 2010 (20)
  • noviembre 2010 (22)
  • octubre 2010 (27)
  • septiembre 2010 (30)
  • agosto 2010 (24)
  • julio 2010 (36)
  • junio 2010 (43)
  • mayo 2010 (27)
  • abril 2010 (26)
  • marzo 2010 (14)
  • febrero 2010 (16)
  • enero 2010 (14)
  • diciembre 2009 (7)
  • noviembre 2009 (5)
  • octubre 2009 (3)
  • septiembre 2009 (3)
  • agosto 2009 (8)
  • julio 2009 (6)
  • junio 2009 (2)
  • mayo 2009 (4)
  • abril 2009 (6)
  • marzo 2009 (6)
  • febrero 2009 (3)
  • enero 2009 (3)
  • diciembre 2008 (5)
  • noviembre 2008 (5)
  • octubre 2008 (10)
  • septiembre 2008 (9)
  • agosto 2008 (7)
  • julio 2008 (8)
  • junio 2008 (10)
  • mayo 2008 (13)
  • abril 2008 (12)
  • marzo 2008 (7)
  • febrero 2008 (5)
  • enero 2008 (2)
  • diciembre 2007 (7)
  • noviembre 2007 (6)
  • octubre 2007 (7)
  • septiembre 2007 (9)
  • agosto 2007 (3)
RSS Artículos | RSS Comentarios

Oleada de correos con facturas falsas propagan troyanos

La propagación de códigos maliciosos mediante la utilización de campañas de envío masivo de spam es algo a lo que estamos habituados desde hace años. Cada vez que observamos la recepción en nuestros laboratorios de miles de correos electrónicos con asuntos similares y ficheros adjuntos, podemos estar seguros de que los ciberdelincuentes están intentando propagar sus últimas creaciones.

Desde hace unos días venimos observando la evolución del envío masivo de emails con asuntos y archivos adjuntos similares. Estos correos llegan en inglés y sus asuntos van desde abonos en nuestra tarjeta de crédito por servicios cobrados de más hasta el envío de supuestas facturas, pasando por el presunto bloqueo de nuestra tarjeta de crédito.

La intención de dichos asuntos es llamar la atención de los usuarios para que estos abran el fichero adjunto sin pararse a pensar si realmente este archivo es lo que dice ser. Tal y como nos tienen acostumbrados los ciberdelincuentes, tras guardar el archivo en nuestro disco duro y abrirlo nos encontramos con un fichero ejecutable que nada tiene que ver con lo anunciado y que ejecutará un troyano en nuestro sistema.

En este caso, los ciberdelincuentes tan solo se han tomado la molestia de modificar el icono del archivo infectado, pero no la extensión, por lo que, si tenemos la visualización de las extensiones activadas, tendremos una oportunidad de reconocer la amenaza y eliminarla antes de que sea demasiado tarde.

Como vemos, en este tipo de campañas de propagación de malware prima la cantidad de mensajes enviados sobre la complejidad del ataque. Esto es debido a que, si bien los usuarios desconfían cada vez más de este tipo de mensajes, el porcentaje de afectados es todavía lo suficientemente importante como para que se sigan realizando este tipo de envíos masivos. Si a ello le sumamos el que la práctica totalidad de estos mensajes se envían desde sistemas infectados y que forman parte de una botnet, entenderemos por qué a los ciberdelincuentes no les cuesta apenas esfuerzo lanzar este tipo de campañas.

Por suerte, evitar caer en esta clase de trampas es sencillo. Desde el laboratorio de ESET en Ontinet.com recomendamos desconfiar de mensajes que nos hablan de servicios o pagos que en la gran mayoría de casos no hemos realizado, y, si tenemos dudas, contactar directamente con nuestra entidad bancaria o servicio mencionado en el correo. Asimismo, contar con un antivirus actualizado también nos puede ayudar a bloquear estas amenazas en el  caso de que nuestro sentido común no sea suficiente.

Josep Albors

Nuevo engaño en Facebook: Protege tu cuenta

Que Facebook es una de las plataformas de distribución de estafas, engaños y códigos maliciosos preferida por los ciberdelincuentes no es ninguna novedad. Más de 500 millones de víctimas potenciales lo convierten en un objetivo muy apetecible para todo aquel que quiera difundir sus creaciones maliciosas o engañar al mayor número de usuarios posible.

Durante el pasado puente hemos visto cómo se propagaba en esta red social una serie de enlaces que invitaban a eventos o a instalar aplicaciones para, supuestamente, proteger nuestra cuenta para que no sea eliminada el próximo 5 de noviembre.

¿Y por qué esta fecha? Pues, principalmente, porque es el día anunciado en un supuesto comunicado de los hacktivistas Anonymous, comunicado que este grupo se encargó de desmentir al poco de ser lanzado. No obstante, la cobertura mediática que se le dio a este anuncio ha hecho que muchos usuarios de Facebook teman por sus cuentas, y de ese temor se están aprovechando los que preparan este tipo de enlaces.

Como vemos, esta invitación a un evento primero nos pone en situación mostrándonos el supuesto anuncio realizado por Anonymous y luego nos indica una serie de pasos para “proteger” nuestra cuenta. Tras realizar estos pasos, lo único que conseguiremos será esparcir más este bulo entre nuestros contactos, proporcionar nuestra dirección de correo a los que prepararon el engaño y pulsar sobre una multitud de botones de “Me gusta” que no harán más que ensuciar nuestro muro con publicaciones no deseadas.

En el momento de realizar este artículo eran varios miles de personas las que habían caído en la trampa. Esto demuestra la efectividad de este tipo de engaños que, sin requerir una infraestructura costosa, se aprovechan del desconocimiento y el temor del usuario para propagarse rápidamente.

Otra variante que hemos observado, la cual se aprovecha de la misma noticia, directamente nos invita a pulsar sobre todos los botones de “Me gusta” que nos proporciona, sin ponernos en antecedentes. Es una versión menos elaborada que la anterior, pero que también tiene éxito engañando a los usuarios.

Si nos paramos a pensar, este tipo de engaños no son más que la evolución de aquellos que nos indicaban que el servicio de Messenger iba a cerrar o a dejar de ser gratuito, y que llevamos años recibiendo. Lo único que se ha modificado es el servicio al que afecta y por dónde se distribuye, además de aprovechar también el anuncio de un supuesto ataque que ha conseguido una gran difusión.

No obstante, y viendo que muchos usuarios tienen interés en guardar los datos que almacenan en Facebook, nunca está de más recordar que la misma red social incorpora la opción de guardar todos los datos de nuestra cuenta, tal y como vemos a continuación:

Desde el laboratorio de ESET en Ontinet.com recomendamos pararnos a pensar antes de aceptar este tipo de invitaciones. En el caso de que se esperase un incidente que eliminara la información de los usuarios de Facebook, sería la propia red social quien informaría a través de los canales oficiales, y no mediante cientos de eventos creados por usuarios.

Josep Albors

[Podcast] Muleros, botnets y cibercrimen

La mayoría de creadores de malware actuales tienen un objetivo claro: ganar cuanto más dinero, mejor. Para ello se crean entramadas organizaciones que se encargan de programar los códigos maliciosos, mantener activos los servicios de propagación de sus creaciones o incluso administrar todo el dinero robado a los usuarios como si de una empresa normal se tratara.

No obstante, en muchas ocasiones se necesita una pieza fundamental que escapa al control de los delincuentes. Se trata de los muleros, personas que aceptan recibir dinero procedente del cibercrimen (normalmente casos de phishing) en sus cuentas corrientes y enviárselo a los delincuentes a cambio de una comisión.

En la mayoría de ocasiones los muleros desconocen que están realizando una actividad delictiva, ya que ellos solo respondieron a una oferta de empleo que les llegó por email. Esta oferta normalmente se presenta como una posibilidad de trabajar desde casa unas pocas horas a la semana a cambio de una cantidad interesante de dinero.

Otra manera que tienen los delincuentes para disponer de usuarios que realicen sus actividades es infectándolos y haciendo que entren a formar parte de una botnet. De esta manera consiguen controlar miles de máquinas para  realizar sus actividades delictivas sin apenas exponerse.

Para conocer cómo funciona todo este entramado delictivo y saber el papel que desempeñan los muleros, hemos preparado el siguiente podcast.

Desde el laboratorio de ESET en Ontinet.com esperamos que sea de su agrado y les emplazamos a futuros podcast, donde cubriremos otros aspectos de la seguridad informática.

Josep Albors

Variante de Zbot se propaga desde webs legítimas españolas

La propagación de troyanos con finalidad de infectar equipos y que estos pasen a formar parte de una botnet es una de las amenazas más comunes en la actualidad. Se usan varias estrategias para conseguir infectar el usuario aunque, como vamos a ver, hay algunas que se mantienen, muy probablemente debido a que su porcentaje de éxito es lo suficientemente elevado.

Durante el día de ayer empezamos a recibir una serie de correos en español que usaban la conocida técnica de adjuntar enlaces para la descarga de una supuesta factura o documento importante. Los detalles a tener en cuenta son que los correos tenían como remitente cuentas de correo reales y los enlaces correspondían a dominios españoles que habían visto su seguridad comprometida y estaban albergando malware sin saberlo.

Este tipo de técnica fue usada hace unos meses y en este mismo blog la sometimos a un análisis a fondo. La técnica usada en esta ocasión apenas ha sufrido variaciones, mientras que la utilización de dominios españoles comprometidos sigue siendo la más importante. Si pulsamos sobre el enlace proporcionado en el correo, comprobaremos cómo se produce la descarga del archivo comprimido que contiene la amenaza a nuestro disco.

Hay que destacar que entre los enlaces comprometidos hay dominios de todo tipo, incluyendo un portal web de centros educativos que pertenece al Gobierno de una comunidad autónoma española. Cabe destacar que la mayoría de enlaces que se vieron comprometidos ya han sido bloqueados, pero estamos observando nuevas variantes activas desde esta pasada madrugada que utilizan nuevos enlaces.

Tras la descarga del archivo comprimido a nuestro disco y realizar su descompresión, nos encontramos con la burda pero efectiva técnica de la doble extensión, de manera que el usuario cree haber descargado un archivo PDF cuando, en realidad, es un ejecutable. No obstante, en las muestras recibidas el icono usado es el de Java en lugar del de un visor PDF como Adobe Reader o Foxit Reader, por lo que puede ser una ayuda para que el usuario desconfíe del archivo.

Obviamente, si contamos con una solución antivirus actualizada, esta amenaza debería ser bloqueada nada más pulsemos sobre el enlace. En el caso de las soluciones de seguridad de ESET, el archivo malicioso se identifica como Troyano Win32/Spy.Zbot.YW.

Tal y como hemos visto, los ciberdelincuentes se dedican a explotar una y otra vez aquellas técnicas que han tenido éxito en el pasado. Con solo un par de retoques es fácil que los usuarios vuelvan a caer en la trampa, engañados por enlaces que parecen de confianza.

Es por este motivo que, desde el laboratorio de ESET en Ontinet.com, recomendamos mucha precaución cuando recibamos correos de este tipo. El hecho de que estén en español y apunten a enlaces españoles de webs legítimas puede hacer que muchos usuarios se confíen, descarguen y ejecuten el archivo malicioso. Por eso, ante la duda, mejor evitar abrir este tipo de correos.

Josep Albors

El blog de BlackBerry, atacado por un grupo de hacktivistas

Los disturbios que se están produciendo estos días en varias zonas periféricas de Londres y otras importantes ciudades del Reino Unido nos están dejando imágenes impactantes de grupos de gente asaltando y destrozando todo lo que sale a su paso.

Muchos de estos grupos han usado alguna o varias redes sociales para organizarse, y uno de los servicios más nombrados ha sido el de mensajería de BlackBerry. Es por esto que la empresa anunció que colaboraría con la policía para identificar a los organizadores de estos actos vandálicos.

Obviamente, esta difusión de mensajes privados entre usuarios no ha sentado nada bien entre varios grupos de hacktivistas, por lo que, durante el día de ayer, atacaron el blog oficial de BlackBerry y dejaron su mensaje.

En este mensaje observamos cómo se critica esta decisión de ceder los registros de ese intercambio de mensajes privados entre usuarios a la policía, argumentando que se culpará a gente inocente que tan solo tuvo la mala suerte de estar en el lugar inoportuno en el momento menos adecuado.

Como arma de presión, amenazan con hacer pública información de los empleados de la compañía, la cual incluye nombres, direcciones de sus viviendas, números de teléfonos, etc. Esta información podría ser utilizada por los grupos de vándalos que tantos destrozos están causando para atacar a los empleados de la compañía.

Paradójicamente, este grupo de hacktivistas condena las agresiones contra gente inocente o contra los dueños de los locales comerciales asaltados, pero no así los ataques a las fuerzas de seguridad o de miembros del Gobierno.

Tal y como venimos observando en otras protestas, el hacktivismo ya forma una parte importante a la hora de lanzar mensajes o atacar a las empresas y organizaciones que se piensa son responsables de los problemas por los que se protesta.

Desde el laboratorio de ESET en Ontinet.com venimos analizando este tipo de protestas en la red desde hace tiempo y la tendencia parece que seguirá al alza. Se trata de un nuevo uso de los medios tecnológicos a disposición de los usuarios y que, a ciencia cierta, han marcado y marcarán acontecimientos de gran importancia.

Josep Albors

Ataque de Anonymous contra el Ministerio de Defensa de Siria

El movimiento de hacktivistas Anonymous sigue realizando sus actividades en la red, filtrando datos sensibles de grandes empresas o, como en este caso, denunciando las agresiones del Gobierno sirio hacia su población.

Es por eso que Anonymous ha decidido denunciar estas agresiones abusivas realizando un defacement (suplantando el contenido de una web para mostrar un mensaje de denuncia) a la web del Ministerio de Defensa sirio, cuya página ha quedado tal que así:

En el momento de escribir este artículo, la web permanece inactiva y no muestra ningún mensaje. Este tipo de ataques no son nuevos, puesto que, hace ya catorce años, en 1997, se realizaron actividades similares contra páginas web del Gobierno de Indonesia, tal y como nos recuerdan los chicos de Security by Default, en su sección de hackeos memorables.

No obstante, en esta ocasión un grupo de lo que aparentan ser hackers sirios han respondido a este ataque lanzando otro contra Anonplus.com, la conocida como red social de Anonymous. Estos atacantes consiguieron realizar un deface a esta web y mostrar cruentas fotografías de lo que ellos llaman mártires del ejército sirio.

Como vemos, estas acciones tienen un fuerte componente político y, como tal, hay quien las defiende y quien las critica. Además, viendo que la escalada de violencia en Siria no cesa, es muy probable que veamos acciones similares en las próximas semanas.

Los defacements de páginas web son algo que vemos a menudo en el laboratorio de ESET en Ontinet.com. Sus motivos pueden ser de toda clase, pero detrás de un ataque de este tipo siempre hay errores de seguridad que permiten a un atacante realizar modificaciones a un sitio web desprotegido.

Josep Albors

Correo anuncia la falsa muerte de Fidel Castro para propagar malware

El uso de noticias impactantes para engañar a los usuarios y hacer que estos pulsen sobre enlaces maliciosos es algo bastante habitual a lo que, lamentablemente, estamos acostumbrados. Cada vez que ocurre una noticia de impacto nacional o internacional se propagan de forma masiva correos electrónicos y, más recientemente, enlaces maliciosos en las redes sociales.

Pero, ¿qué pasa si no hay noticias impactantes que llamen la atención y que puedan ser aprovechadas por los ciberdelincuentes para propagar sus últimas creaciones maliciosas? La solución es sencilla: se inventan.

Un ejemplo de esta inventiva de la que gozan los ciberdelincuentes se produjo durante el día de ayer, cuando empezamos a ver cómo se propagaban correos anunciando la muerte de Fidel Castro.

En la mayoría de casos similares se intenta suplantar a alguna agencia de noticias, y en esta ocasión fue el canal 24 Horas de la Televisión Nacional de Chile la elegida. Con esta suplantación se gana confianza por parte de los usuarios que creen que una fuente confiable es la fuente de la noticia y no dudan en pulsar sobre los enlaces que se adjuntan. Obviamente, tras estos enlaces se ocultan todo tipo de códigos maliciosos.

No obstante, no es la primera vez que vemos usar la falsa noticia de la muerte de Fidel Castro en una campaña de propagación de malware. Nuestros compañeros de ESET Latinoamérica ya informaron de un caso parecido (incluso usando la misma foto que ahora) hace más de dos años. Esto indica que hay falsas noticias que son recurrentes porque se sabe que su impacto en los usuarios, debido a su curiosidad por conocer más detalles, será elevado.

Ante este tipo de anuncios y noticias falsas, desde el laboratorio de ESET en Ontinet.com aconsejamos contrastar con fuentes de confianza la información. Noticias de este calibre no pasan desapercibidas y, en caso de ser verdaderas, todas las agencias se harían eco de forma casi instantánea.

Josep Albors

Malware se propaga usando, de nuevo, el nombre de Correos

No es la primera vez que tratamos un tema de suplantación de una entidad española que se usa para propagar malware. En esta ocasión, nos gustaría analizar la última variación que hemos recibido en nuestro laboratorio, la cual intenta infectar al usuario haciéndose pasar por la empresa Correos.

Todo empieza cuando recibimos en nuestra bandeja de entrada mensajes que parecen provenir de Correos. A primera vista puede parecer que el mensaje es verídico, puesto que usa el logotipo de la empresa, se usa una dirección (info@correos.es o similar) que no levanta sospechas e incluso se añade el sello de una conocida empresa Antivirus para conseguir que el usuario se sienta más seguro a la hora de abrir el mensaje.

No obstante, si nos paramos a pensar, veremos que hay cosas que no encajan. Lo primero que debemos preguntarnos es: si realmente Correos tiene un mensaje importante para entregarnos, ¿cómo ha conseguido nuestra dirección de email? Además, si nos paramos a revisar la cabecera del mensaje, veremos que la dirección original no tiene nada que ver con Correos.

Todo este montaje forma parte de un engaño para ganarse la confianza del usuario que recibe el mensaje y que este descargue y ejecute un archivo malicioso. Si prestamos atención a la pantalla de descarga veremos cómo el supuesto correo certificado extraviado tiene doble extensión y es, en realidad, un archivo ejecutable.

Como vemos, los ciberdelincuentes que han preparado esta amenaza han optado por el camino fácil, confiando en que muchos usuarios no prestarán atención a esta doble extensión del fichero y lo ejecutarán igualmente.

No obstante, si intentamos descargar este archivo infectado y contamos con nuestra solución de seguridad de ESET actualizada, se nos mostrará una ventana de alerta en la que se indica la detección del troyano Win32/VB.QAE.

Desde el laboratorio de ESET en Ontinet.com hemos observado que este tipo de campañas y similares (como las del envío de mensajes suplantando a la Policía Nacional o a la Guardia Civil) se repiten cada cierto tiempo, y que mejoran en cada nueva campaña para resultar más efectivas.

Es por eso que resulta vital contar con una buena solución antivirus actualizada que sea capaz de detectar estas amenazas, por si nuestro sentido común no está al tanto y pulsamos sobre el enlace malicioso que se envía en este tipo de mensajes.

Josep Albors

Hacking y novatos

Ha llegado hasta nosotros un anuncio de un curioso dispositivo para crackear redes Wi-Fi. Por lo que se anuncia, es un sistema al que basta con conectar por un puerto USB a un ordenador para que él solito busque las redes Wi-Fi que tenga a su alcance y las crackee automáticamente, sin necesidad de hacer nada más que esperar un rato.

No cabe duda de que su inventor es una persona ingeniosa programando, desarrollando y comercializando por 120 dólares estadounidenses (algo más de 80 euros al cambio) el aparato en cuestión. Muchos usuarios lo encontrarán atractivo y lo comprarán esperando usar la conexión Wi-Fi del vecino aunque tenga contraseña. A todo esto, solo sirve si el sistema de cifrado es WEP, no menciona en ningún caso otros sistemas de cifrado más robustos, los siempre recomendados WPA o WPA2.

Pero el uso de este tipo de dispositivos para crackear contraseñas tiene un posible doble filo del que no debe fiarse nadie. Me ha recordado a los programas que se utilizan para generar claves de programas, los famosos “keygen”. Pocos son los que funcionan adecuadamente, la mayoría no sirve y/o llevan asociado algún tipo de código malicioso.

O múltiples herramientas utilizadas por principiantes en el tema del hackeo, que incluyen dentro un maravilloso espía para el novato. Muchas descargas de herramientas como NMAP o NESSUS están infectadas por código malicioso, lo cual hace del proyecto de hacker un completo usuario espiado.

A la hora de adentrarse en el mundo de la seguridad, ello puede hacerse de dos maneras: estudiando y desarrollando las herramientas necesarias o bien heredando las herramientas de otras personas. La segunda opción es más sencilla, pero en el mundo de la seguridad informática hay demasiadas personas en el “lado oscuro” dispuestas a engañar a los novatos.

No dudamos de que el aparato del que hablábamos al principio sea una maravilla, pero habría que probarlo muy seriamente antes de asegurar que no incorpora ningún regalito de un cracker. Es decir, algún espía que nos robe algún tipo de información mientras lo usamos.

Al fin y al cabo, el que roba a un ladrón…

Fernando de la Cuadra

Facebook pagará por los fallos descubiertos en su código

Siguiendo el ejemplo de otras compañías, como la fundación Mozilla o Google, Facebook ha anunciado que comenzará a pagar a aquellos investigadores que encuentren fallos de seguridad en su código y les informen de ello. La cantidad ofrecida por esta red social es de 500 dólares, aunque también anuncian que se puede incrementar en casos específicos.

No obstante, esta política de pagar a los investigadores por descubrir y compartir con los fabricantes y proveedores de servicios las vulnerabilidades descubiertas es apoyada por unos y rechazada por otros. Por un lado tenemos a muchos fabricantes que se oponen a pagar a aquellos investigadores que descubren este tipo de fallos, mientras que en el otro extremo están aquellos investigadores que abogan por el “Full disclosure” o, lo que viene a ser lo mismo, la publicación de todos los detalles de la vulnerabilidad descubierta, incluyendo los pasos a seguir para aprovecharla. Y, por otra parte, tenemos también empresas que contratan (no recompensan) a empresas especializadas para que lleven a cabo este tipo de trabajo.

Leer más

« Artículos Posteriores — Artículos Anteriores »