Spam farmacéutico se propaga usando sitios con WordPress sin actualizar
Uno de los correos spam más propagados y que no pierde fuelle aunque pasen los meses, son los que promocionan farmacias online, sitios en los que supuestamente se venden medicamentos mucho más baratos que en otros lugares y sin pedir prescripción médica.
Obviando el riesgo de consumir medicamentos de estos sitios, que en el mejor de los casos tendrán un efecto placebo, resulta interesante observar todo lo que rodea a este negocio fraudulento, empezando por los métodos para dar a conocer estos sitios web.
Llevamos varios días recibiendo spam en nuestro laboratorio que, aparentemente, apunta a sitios con el conocido sistema gestor de contenidos WordPress instalado. Estos sitios han sido modificados para redirigir al usuario aprovechando que usan versiones antiguas de WordPress que presentan vulnerabilidades. Veamos un ejemplo de este tipo de correo:
Si somos lo suficientemente incautos como para pulsar sobre el enlace proporcionado, se nos redirigirá a un sitio web con el habitual aspecto de una farmacia online. Seguro que a algunos de nuestros lectores el formato de esta web les resultará familiar, y si nos fijamos en la dirección del enlace, observaremos que en él figura la palabra “automated”.
Esto es debido a que, al igual que en algunos casos de malware como las botnets, los ciberdelincuentes ofrecen kits de creación y gestión de este tipo de webs para que cualquiera, sin muchos conocimientos, pueda montar su farmacia online y empezar a ganar dinero sin esfuerzo. Al respecto, el investigador francés conocido como XyliBox ha escrito en su blog un interesante artículo sobre cómo funciona este negocio.
Como siempre intentamos recordar, los usuarios deben tener mucho cuidado al pulsar sobre según qué enlaces incluidos en mensajes de correo. No obstante, los navegadores web suelen estar atentos cuando se propagan este tipo de campañas de spam y suelen bloquear los enlaces maliciosos tarde o temprano.
En caso de que nuestro navegador no bloquee el sitio malicioso, nuestro antivirus también nos puede echar una mano impidiendo que accedamos al enlace.
Como vemos, mientras los usuarios sigan cayendo en estos engaños y este tipo de negocios sea rentable, seguiremos viendo spam de farmacias online en nuestras bandejas de entrada. Desde el laboratorio de ESET en Ontinet.com recomendamos ignorar este tipo de correos y eliminarlos según los recibimos, aunque nunca está de más contar con una solución antivirus actualizada por si se nos escapa el dedo.
Josep Albors
Microsoft desactiva la botnet Kelihos
Microsoft se toma en serio la lucha contra el malware, incorporando nuevas medidas de seguridad en sus sistemas operativos, pero también luchando contra una de las amenazas más activas hoy en día: las botnets.
En anteriores ocasiones, Microsoft ya colaboró activamente en la desactivación de botnets famosas, como la operación que deshabilitó la botnet Rustock en marzo y Waledac el año pasado. En esta ocasión ha sido Kelihos, la red de ordenadores zombis compuesta por alrededor de 41.000 sistemas infectados, la que ha sido desactivada.
Esta botnet era responsable, entre otros, del envío diario de cerca de 3.800 millones de correos spam y de ayudar a propagar el scareware Macdefender, que tantos quebraderos de cabeza dio a los sistemas de Apple en mayo.
La desactivación de esta botnet se ha conseguido desconectando los ordenadores infectados de los servidores de control y comando, lo que hace que los sistemas afectados dejen de realizar actividades maliciosas. Asimismo, Microsoft ha emprendido acciones legales contra el ISP que albergaba los dominios empleados por la botnet y publicado una nueva versión de la herramienta de eliminación de software malintencionado para desinfectar los sistemas afectados.
Desde el laboratorio de ESET en Ontinet.com creemos que acciones como esta ayudan a hacer de Internet un lugar más seguro y previenen que el malware se extienda sin control, aunque nunca está de más ayudar a que esto se produzca protegiendo nuestro sistema con una solución antivirus y usando el sentido común.
Josep Albors
Anonymous ataca de nuevo y hackea el foro del CNP
No hay dos sin tres. Eso deben haber pensado en Anonymous porque, tras hacer públicos los datos de los escoltas de la presidencia y de algunos de los miembros del Grupo de Operaciones Especiales, hoy le ha tocado el turno al foro del Centro Nacional de Policía.
En un escueto comunicado, se han publicado datos como el hash del administrador del foro. Tal y como indica Chema Alonso en su blog, este foro tiene cerca de 11.000 usuarios registrados y, seguramente, la mayoría de ellos tengan relación con la Policía Nacional.
En esta ocasión el comunicado no viene solo con estos datos ya que también incorpora un módulo javascript con el que “atacar” la web del candidato socialista a las próximas elecciones del 20 de noviembre, Alfredo Pérez Rubalcaba.
Las filtraciones de datos sufridos por las fuerzas de seguridad del Estado en las últimas semanas han sido considerablemente importantes y, si se cumplen las amenazas de los supuestos miembros de Anonymous detrás de estas operaciones, es probable que sigamos viendo más filtraciones hasta las próximas elecciones generales.
Desde el laboratorio de ESET en Ontinet.com seguiremos informando si se producen novedades relacionadas con este asunto.
Josep Albors
Apple actualiza XProtect mientras aparece un nuevo troyano para Mac
Como reacción a la aparición del troyano Revir/Imuler, Apple ha decidido lanzar una actualización de XProtect, el sistema de detección de malware que viene incorporado en los Mac. Este sistema tan solo tenía hasta este momento 18 bases de firmas de virus, cantidad que se nos antoja más que insuficiente para hacer frente a las cada vez más elaboradas y numerosas amenazas para Mac.
Esta estrategia para combatir el malware hace muchos años que dejó de ser efectiva y las casas antivirus nos hemos adaptado al nivel de amenazas actuales desarrollando potentes heurísticas de detección y utilizando la nube para reaccionar a las nuevas amenazas con mayor rapidez. Pero parece que Apple sigue anclada en el pasado en lo que respecta a la seguridad de sus sistemas.
Por ejemplo, nada más publicarse esta nueva base de firmas para detectar al troyano Revir/Imuler, la empresa Intego anunció el descubrimiento de una nueva amenaza para sistemas Mac OS X conocida como OSX/Flashback, esta vez camuflada bajo un falso instalador de Adobe Flash Player.
Si el usuario lo descarga y ejecuta, el código malicioso simulará la instalación de Flash Player, simulación que está realizada con un acabado profesional y que emula muy bien al instalador real. Mientras se siguen los pasos indicados por el instalador, se abrirá una puerta trasera en el sistema usando una librería dinámica llamada Preferences.dylib.
Una vez finalizada la instalación, el malware empezará a realizar comunicaciones con un servidor remoto usando un cifrado RC4 y transmitiendo información como la dirección MAC de la tarjeta de red y la versión del sistema operativo. Potencialmente, este código malicioso también podría usarse para permitir a un atacante inyectar código en el Mac afectado.
Por suerte, la propagación de esta amenaza aún es escasa y requiere de la intervención del usuario. Desde el laboratorio de ESET en Ontinet.com aconsejamos descargar este tipo de actualizaciones únicamente desde sitios oficiales, desactivar en Safari la opción de abrir automáticamente los archivos “seguros” y contar con una solución antivirus actualizada.
Josep Albors
ESET España 2.0
Hace ya unos años que iniciamos nuestra andadura en lo que por entonces se llamaba el mundo 2.0 inaugurando este blog con un primer post acerca de la ampliación de nuestros canales de información. Era un 28 de agosto de 2007, y seguro que el calor estival estimuló nuestras neuronas.
Pues bien, cuatro años después volvemos a escribir un post similar, pero para contaros que ahora hemos crecido, somos más, acabamos de lanzar las nuevas versiones 5 de nuestros conocidos antivirus para usuarios domésticos (ESET Smart Security y ESET NOD32 Antivirus), hemos cambiado de web y seguimos ampliando todavía más nuestras vías para comunicarnos y relacionarnos con todos vosotros.
En Twitter llevamos ya un tiempo, y seguramente muchos de vosotros ya sois seguidores de nuestro timeline. Pero si todavía no nos sigues, te invitamos a que lo hagas en @ESET_ES.
Además, acabamos de estrenarnos en Facebook con una fan page donde, además de contaros todas las novedades en cuanto a seguridad, haremos promociones, concursos, compartiremos impresiones con vosotros, etc. Así que también te invitamos a que te unas a nuestra comunidad y compartas con nosotros tus inquietudes.
Y por último, pero no menos importante: estamos haciendo muchos estudios, porque queremos conocer bien vuestras necesidades. Para ello, de forma regular vamos a ir publicando encuestas que nos ayuden a obtener estadísticos y a identificar tendencias y necesidades. Si quieres probar gratis el nuevo ESET NOD32 Antivirus 5, te regalamos una versión de 90 días gratuitos a cambio de cinco minutos de tu tiempo: solo necesitamos que vayas a http://bota.me/estudiomoviles y rellenes la encuesta.
¡Nos vemos en las redes!
MySQL.com fue comprometido y estuvo sirviendo malware
Ayer por la tarde saltaba la noticia de que la web del conocido y extendido software de bases de datos había sufrido un ataque y estaba sirviendo malware a todos aquellos usuarios que la visitaban.
Sabiendo que la web mysql.com recibe alrededor de 400.000 visitas diarias, resulta un objetivo muy suculento para un atacante que quiera propagar malware entre un gran número de usuarios. Así pues, ayer nos podíamos encontrar con el siguiente código Javascript oculto en esta web:
Dicho y hecho: durante unas horas, todos aquellos que visitaron mysql.com fueron redirigidos de forma transparente por un script hacia un sitio web preparado para lanzar una serie de ataques sobre los usuarios en busca de vulnerabilidades, utilizando para ello una herramienta automatizada conocida como BlackHole exploit pack.
Esta herramienta intenta aprovechar posibles vulnerabilidades en el navegador del usuario y sus complementos, así como también en diversos programas de Adobe, Java, etc. En resumidas cuentas, lo que se intentaba era encontrar un agujero por el que colar código malicioso, aprovechando alguna vulnerabilidad presente en las aplicaciones que usara todo aquel que accediese a mysql.com.
Un ataque a una empresa de esta magnitud da mucho que pensar y, según el investigador Brian Krebs, es posible que todo se comenzara a fraguar el pasado 21 de septiembre. Ese día, este investigador encontró un mensaje en un foro de hackers rusos en el que se vendía un acceso a mysql.com con permisos de administrador (root) por solo 3000 dólares.
La hipótesis de que esa venta finalmente se produjera y el acceso haya sido aprovechado para inyectar código malicioso en mysql.com es bastante realista, y nos da una idea del mercado actual de tráfico de vulnerabilidades.
Por su parte, Armorize, la empresa de seguridad que descubrió este ataque, ha publicado un interesante vídeo en el que se observa cómo se producía la infección de un usuario que accediera al sitio con un navegador vulnerable mientras se estaba propagando malware.
Este tipo de ataques a grandes empresas viene siendo demasiado habitual desde hace unos meses, ya sea en la forma de filtraciones de datos privados, defacements (alterar el contenido de una web) o sirviendo malware a los usuarios que las visiten. Desde el laboratorio de ESET en Ontinet.com seguimos recomendando mantener nuestro sistema y aplicaciones actualizados (especialmente nuestro navegador web) para evitar vernos afectados por ataques similares en el futuro.
Josep Albors
Hijackthis.de sufre una inyección de código
Una de las herramientas más usadas por aquellos que nos dedicamos a analizar malware y a eliminarlo de los equipos, es Hijackthis. Esta pequeña aplicación resulta muy útil para detectar entradas del registro de Windows que se han visto alteradas por un código malicioso, así como también para detectar posibles archivos dañinos.
Se trata de una herramienta bastante manual que requiere de conocimientos para saber detectar qué aplicaciones o entradas del registro son dañinas, puesto que si por error eliminamos algo que no debemos, podemos causar graves daños en el sistema.
Para facilitar el reconocimiento de entradas del registro o archivos maliciosos, existe una web en la que los usuarios pueden introducir los informes generados por esta herramienta y, viendo la calificación otorgada por otros usuarios, hacerse una idea bastante acertada de si tienen o no algún malware en el sistema.
Esta web cuenta con miles de accesos al día, por eso no es de extrañar que hoy nos hayamos encontrado con la siguiente imagen:
Antes de que el usuario pueda pegar el resultado del informe generado por la aplicación, aparece una de las típicas encuestas online a las que tan acostumbrados estamos a ver últimamente en Facebook.
Esto se debe a que esta web se ha visto afectada por una inyección de código, muy probablemente realizada de forma automática por un bot, y que ha añadido una línea al final de su código fuente. Concretamente, esta:
Dicha línea de código es la que hace que aparezcan este tipo de encuestas, pero también podría usarse para descargar malware al ordenador del usuario. El ataque se agrava si tenemos en cuenta que la mayoría de usuarios acceden a esta web en busca de ayuda para solucionar posibles infecciones en su sistema, y la herramienta Hijackthis pertenece a una conocida casa antivirus.
Desde el laboratorio de ESET en Ontinet.com recomendamos tomar precauciones cuando veamos comportamientos inusuales en páginas web. Siempre que sea posible, la mejor opción consiste en cerrar la web sospechosa y, si somos asiduos a ella, informar a los responsables. Asimismo, extensiones como NoScript para Firefox pueden evitar que este tipo de scripts maliciosos nos afecten.
Josep Albors
Nuevo troyano para Mac oculto en un archivo PDF
El malware para Mac, a pesar de que en cantidades muchísimo menores que en sistemas Windows, sigue creciendo. Recientemente hemos visto cómo se ha ido propagando un nuevo troyano para esta plataforma, supuestamente pensado para atacar a los usuarios chinos de Mac.
Este nuevo troyano se oculta dentro de un archivo PDF, adjunto a un correo electrónico, y contiene un artículo escrito en chino que habla acerca de la disputa territorial sobre las islas Diaoyu que mantienen desde hace años China y Japón.
Al ejecutar el archivo PDF, este abrirá el documento en chino mientras, en segundo plano, instala un código malicioso. Así, mientras el usuario está ocupado leyendo el documento, la instalación del troyano se completará y el sistema podrá ser accedido de forma remota por un atacante.
Esta táctica no es nada novedosa en sistemas Windows y viene siendo aprovechada desde hace años, sobre todo debido a las continuas vulnerabilidades que aparecen constantemente en los productos de Adobe. No obstante, una amenaza de este tipo es una novedad en sistemas Mac, y es probable que muchos usuarios se vean afectados por no estar acostumbrados a tomar precauciones manejando archivos PDF potencialmente peligrosos.
Las soluciones de seguridad como ESET Cibersecurity para Mac, detectan estas amenazas como los troyanos OSX/Revir.A o OSX/Imuler.A trojan. No obstante, desde el laboratorio de ESET en Ontinet.com recomendamos evitar abrir todos aquellos archivos adjuntos a correos electrónicos que no estemos esperando recibir y, sobre todo, no creernos nunca inmunes por usar un sistema operativo en concreto.
Josep Albors
Anonymous prepara un “Día de la venganza”
Tras los incidentes sucedidos en la operación #OccupyWallstreet (en marcha desde el pasado 17 de septiembre), en la que varios manifestantes y algún que otro periodista independiente fueron agredidos y detenidos por la policía de Nueva York, el grupo de hacktivistas Anonymous prepara otra operación para mañana, sábado 24 de septiembre.
A través de un extenso comunicado y con el nombre de “Day of Vengeance”, se anuncian una serie de ciberataques a realizarse ese día contra una serie de objetivos tales como Wall Street, instituciones bancarias supuestamente corruptas y el departamento de policía de la ciudad de Nueva York.
Conociendo actuaciones anteriores de Anonymous, suponemos que la operación consistirá en lanzar ataques de denegación de servicio a todas aquellas webs de los objetivos de esta ofensiva. Esta sería la actuación lógica, viendo el poco tiempo que se ha tenido para preparar el ataque y la necesidad de simplificar los pasos a seguir para sumarse a él, y obtener así más apoyo de aquellos que comulgan con el ideario de Anonymous.
Desde el laboratorio de ESET en Ontinet.com permaneceremos alerta por si se produjera algún tipo de ataque específico que se saliese de la tónica de bloquear sitios web. Recordemos que Anonymous ha conseguido sacar a la luz pública información confidencial de sus víctimas, causando no poco revuelo entre la opinión pública.
Josep Albors
Aprovechan el anuncio de la beta de Diablo 3 para enviar scam
Tras el anuncio por parte de Blizzard (creadora de esta saga), muchos son los jugones que están esperando recibir en su bandeja de entrada un correo que les permita el acceso a la exclusiva beta privada de uno de los juegos más esperados de los últimos años.
Igual que sucede con otros juegos de éxito, como World of Warcraft (de la misma compañía), este tipo de anuncios crea mucha expectación y los ciberdelincuentes son conscientes de ello. Es por ese motivo que, desde hace unas semanas, venimos observando bastantes correos con supuestas invitaciones a esta beta privada, en los que se solicitan los datos de acceso a las cuentas de los jugadores.
Por supuesto, los datos solicitados permitirían a un atacante robar la cuenta del jugador que los haya proporcionado, y con eso tendría acceso a todos los personajes que el jugador hubiese creado, así como también a sus posesiones virtuales. Estos bienes pueden usarse para traficar y obtener dinero real a partir de ellos. Por esta razón, los troyanos que roban credenciales de este tipo de juegos son una de las amenazas más detectadas desde hace un par de años.
Uno de estos correos que más propagación está obteniendo tiene como remitente a noreply@blizzard.com. Si bien esta dirección corresponde a una real gestionada por Blizzard, se ha usado la técnica de spoofing para suplantarla y hacer creer a los usuarios que el mensaje es verídico.
No obstante, si se opta por responder al enlace, la dirección de destino cambia a diablo3@d3-blizzard.com, dominio que nada tiene que ver con Blizzard y del que, si hacemos una búsqueda usando whois, obtendremos la siguiente información:
Este dominio fue registrado en China a finales de agosto, justo cuando empezaron a oírse los primeros rumores de que se podría empezar a enviar invitaciones para esta beta privada. No es, ni mucho menos, el único dominio que persigue este fin, y solo hace falta revisar los foros de jugadores para comprobar que hay varios que han recibido scams parecidos, pero con diferente procedencia.
El hecho de que en Diablo 3 se pueda usar dinero real para obtener objetos en una especie de sala de subastas seguramente hará que los ciberdelincuentes se fijen especialmente en él una vez sea lanzado. Hasta ahora, todas las posesiones virtuales que robaban tenían que venderse en sitios ajenos a los servidores del juego. Con este cambio en la estrategia de compra/venta de objetos, aquellos que robasen cuentas de jugadores teóricamente podrían vender los objetos robados en el mismo sistema de subastas implantado por Blizzard si realizan la operación antes de que el usuario afectado denuncie el robo de su cuenta.
Aún es pronto para valorar las medidas que tomará Blizzard para evitar este comercio de bienes virtuales robados, pero desde el laboratorio de ESET en Ontinet.com confiamos en que se tomarán las precauciones necesarias para que los usuarios que se vean afectados por este tipo de robos puedan recuperar sus cuentas sin mayores incidentes.
Josep Albors
Artículos Anteriores »