• Buscar

• Síguenos en Twitter

• Categorías

  • actualizaciones (44)
  • adware (4)
  • Anuncios (30)
  • Apple (7)
  • BlackHat SEO (5)
  • Botnets (35)
  • Clickjacking (6)
  • Curiosidades (36)
  • datos (8)
  • DDoS (3)
  • Defacement (7)
  • Educación (69)
  • entrevista (4)
  • Espionaje (10)
  • Estadísticas (8)
  • Eventos (14)
  • exploit (59)
  • Facebook (14)
  • Filtraciones (23)
  • General (42)
  • Hacking (55)
  • hacktivismo (18)
  • Herramientas (18)
  • Heurística (6)
  • Hoax (3)
  • Informes (15)
  • Ingenieria social (94)
  • Juegos (3)
  • Mac (6)
  • Malware (242)
  • Phishing (56)
  • Piratería (7)
  • Privacidad (15)
  • Productos (36)
  • redes sociales (63)
  • rogue (25)
  • rootkit (1)
  • Scada (4)
  • Scam (19)
  • scareware (2)
  • seguridad (78)
  • sorteos (2)
  • Spam (121)
  • spyware (2)
  • telefonía (28)
  • Troyanos (7)
  • Tutoriales (18)
  • Unix (1)
  • Vulnerabilidades (186)

• Archivos

  • febrero 2012 (20)
  • enero 2012 (26)
  • diciembre 2011 (17)
  • noviembre 2011 (19)
  • octubre 2011 (20)
  • septiembre 2011 (23)
  • agosto 2011 (24)
  • julio 2011 (18)
  • junio 2011 (16)
  • mayo 2011 (18)
  • abril 2011 (11)
  • marzo 2011 (18)
  • febrero 2011 (17)
  • enero 2011 (19)
  • diciembre 2010 (20)
  • noviembre 2010 (22)
  • octubre 2010 (27)
  • septiembre 2010 (30)
  • agosto 2010 (24)
  • julio 2010 (36)
  • junio 2010 (43)
  • mayo 2010 (27)
  • abril 2010 (26)
  • marzo 2010 (14)
  • febrero 2010 (16)
  • enero 2010 (14)
  • diciembre 2009 (7)
  • noviembre 2009 (5)
  • octubre 2009 (3)
  • septiembre 2009 (3)
  • agosto 2009 (8)
  • julio 2009 (6)
  • junio 2009 (2)
  • mayo 2009 (4)
  • abril 2009 (6)
  • marzo 2009 (6)
  • febrero 2009 (3)
  • enero 2009 (3)
  • diciembre 2008 (5)
  • noviembre 2008 (5)
  • octubre 2008 (10)
  • septiembre 2008 (9)
  • agosto 2008 (7)
  • julio 2008 (8)
  • junio 2008 (10)
  • mayo 2008 (13)
  • abril 2008 (12)
  • marzo 2008 (7)
  • febrero 2008 (5)
  • enero 2008 (2)
  • diciembre 2007 (7)
  • noviembre 2007 (6)
  • octubre 2007 (7)
  • septiembre 2007 (9)
  • agosto 2007 (3)
RSS Artículos | RSS Comentarios

Win32/Duqu: tras los pasos de Stuxnet

Durante los últimos días, los investigadores de malware han dedicado mucho tiempo al nuevo código malicioso identificado por ESET como Win32/Duqu. Los investigadores de nuestro laboratorio Aleksandr Matrosov, Eugene Rodionov y David Harley han analizado su código a fondo y han extraído información más que interesante.

Una de las características que hacen de este malware un ejemplar singular es que se parece bastante a Stuxnet, uno de los gusanos más sofisticados (si no el que más) de los detectados en los últimos años. Ahora nos encontramos en el proceso de diseccionar  los binarios de Duqu.

Tras unos primeros análisis preliminares es evidente que Duqu está basado en el código fuente de Stuxnet. Desde el punto de vista de la arquitectura del malware, Duqu es prácticamente idéntico a Stuxnet: en esencia, hay un driver en modo kernel que inyecta una librería DLL en procesos específicos del sistema. Esta DLL incluye la carga maliciosa en su interior y exporta una serie de rutinas que realizan unas acciones específicas. Además de las similitudes en la arquitectura, los módulos de Duqu son muy similares a Stuxnet desde un punto de vista binario: se usaron las mismas clases y estructuras para compilar tanto Stuxnet como Duqu. Obviamente, estos módulos no son 100% idénticos, pero hemos encontrado patrones idénticos de código.

Desde que los investigadores empezaron a analizar Duqu se han formulado muchas preguntas, muchas de las cuales permanecen sin respuestas. En concreto, no tenemos ninguna información (pública) sobre el archivo que descargaba Duqu ni de cómo y cuándo se instaló en las máquinas infectadas. Esta información es vital a la hora de realizar un análisis forense. Con respecto a la fecha en la que este malware fue  instalado, esta puede encontrarse en el archivo de configuración. Debido a que Duqu tiene especificado permanecer en el sistema solo durante un periodo de tiempo (después del cual se elimina del sistema), creemos razonable asumir que la fecha de la infección se almacenaba en algún lugar del archivo de configuración. No fue difícil averiguar el código responsable de implementar este almacenamiento y, por tanto, determinar qué ubicación se usaba  en los datos de configuración para almacenar la fecha de la instalación.

La fecha en la que Duqu se ejecuta por primera vez en el sistema infectado se almacena en format UTC, en el offset 0×123 desde el principio del archivo de configuración. Basándose en estos datos, es posible determinar la fecha en la que Duqu penetró en el sistema.

En el informe “Duqu: el precursor del siguiente Stuxnet”, el autor menciona que una de las modificaciones de Duqu que ellos analizaron tiene una esperanza de vida de 36 días y, cuando alcanza esa fecha, el malware se elimina a si mismo del sistema.

Para obtener este valor necesitamos descifrar el archivo de configuración con el siguiente criptoalgoritmo personalizado:

Resulta interesante destacar que el array gamma usado para descifrar los datos consiste en 8 elementos, de los cuales solo los 7 primeros son usados. A pesar de que esto puede ser intencionado, consideramos que es más probable que se trate de un pequeño error en su implementación.

Basándonos en el análisis de varias muestras, observamos que la esperanza de vida es diferente según la muestra analizada. Este valor se define en los datos de configuración (palabra en el offset 0x124E). En las imágenes mostradas a continuación se pueden ver fragmentos de archivos de configuración mostrando información acerca de la esperanza de vida.

• Datos de configuración resaltando la fecha en la que infectó el sistema: 11/08/2011 a las 07:50:01 y con una esperanza de vida de 36 días.

Continuamos con las filtraciones de Anonymous

Si hace sólo 10 días informábamos desde esta plataforma de nuevas filtraciones de Anonymous, que tenían como protagonistas a la Policía, UPyD e Izquierda Unida, hoy nos hacemos eco de la información publicada por Chema Alonso donde informa de nuevos datos publicados en la Red. En este caso, los protagonistas son PSOE y PP, ya que han accedido a sus webs, entre otras, y han publicado un listado con logins y password de acceso de usuarios y periodistas de Naciones Unidas.

Algunas de las webs hackeadas son:

Los datos personales de acceso han sido publicados en diferentes sitios, todos habituales, y según parece habría una larga lista de nombres, e-mails, passwords, etc.

Josep Albors – Yolanda Ruiz

Oleada de ataques, intrusiones y robo de datos a gobiernos y empresas

Las noticias de intrusiones y del robo de datos a empresas importantes o a gobiernos están convirtiéndose en algo habitual. En los últimos meses hemos conocido muchos nuevos casos, incluyendo el que implica al gobierno español, perpetrados tanto por colectivos de hacktivistas como Anonymous como por otros gobiernos o empresas

En los últimos días hemos sabido de una infección causada por un troyano que ha afectado a varios ordenadores del parlamento japonés: al menos tres equipos y un servidor fueron atacados, según informa The New York Times. Como es de suponer, la información que se puede haber obtenido incluye emails y documentos sensibles que pueden ser muy interesantes para otros gobiernos.

Pero no es la única filtración que afecta a intereses japoneses. Hace poco comentábamos en este blog la noticia de una filtración en Mitsubishi Heavy Industries y es ahora cuando empezamos a conocer parte de la información robada en esa intrusión. Según informan fuentes anónimas en el sitio web del periódico Asahi Shimbun, la información sensible sustraída incluiría datos como diseños de cazas de combate y de plantas nucleares.

Pero estos robos de información no solo afectan a intereses japoneses. Empresas con sede en otros países han visto cómo se han perdido grandes oportunidades de negocio debido al espionaje industrial. Según informó recientemente el periódico The Telegraph, una empresa del Reino Unido constató que los diseños de una nueva pala de un generador eólico habían sido robados y filtrados y otra compañía construía una versión de menor coste. Esto ocasionó que la empresa que realizo el diseño original perdiera la oportunidad de hacer un gran negocio, ocasionándole graves pérdidas.

Como suele ocurrir cuando se producen este tipo de robos de información, el primer sospechoso es China, aunque no se pueda probar. No son pocas las ocasiones en las que se acusa al gigante asiático de realizar este tipo de operaciones de espionaje y es de sobra conocido el gran potencial de China en este y otros campos como la ciberguerra.

Desde el laboratorio de ESET en Ontinet.com observamos este tipo de noticias con atención, puesto que demuestran que los ataques destinados a robar información sensible de gobiernos y de empresas están a la orden del día, haciendo necesaria la implementación de medidas que eviten esas filtraciones que tanto daño pueden hacer.

Josep Albors

Los padres y Anonymous, preocupados por la pornografía infantil y la pedofilia

Hace dos días publicábamos un estudio sobre las principales preocupaciones que tienen los padres sobre la ciberseguridad de sus hijos en la Red: cuando les preguntamos, un 89,5% identificaron a la pornografía como la principal, secundada por la pedofilia (86,8%) y el grooming -persuasión de un adulto hacia un niño, con la finalidad de obtener una conexión emocional y generar un ambiente de confianza para que el niño realice actividades sexuales-, con el 75,7%.

Asimismo, también hace un par de días conocimos un nuevo ataque informático por parte del grupo hacktivista Anonymous contra cuarenta sitios de Internet que alojaban una gran cantidad de material pornográfico infantil. En definitivas cuentas, suponemos que dentro de la organización muchos miembros son también padres, por lo que comparten la misma sensibilidad común hacia la ciberseguridad de los pequeños.

Como ya nos tienen acostumbrados, el grupo publicó un vídeo donde contaban los motivos que movilizaban esta operación y utilizaron Twitter como herramienta de dinamización de los voluntarios utilizando el hashtag #OpDarknet.

Comenzaron a organizarse el 15 de octubre, solicitando a los miembros de la organización la búsqueda y el reporte de sitios que alojaran este tipo de material. Durante la investigación, descubrieron que las páginas se alojaban en una empresa de alojamiento web llamada Freedom Hosting. Tras solicitar a la empresa la retirada del material y su rotunda negación, decidieron lanzar un ataque de denegación de servicio (DDoS) contra el servidor que duró dos días y que lo inhabilitó.

Anonymous llegó a comprometer la base de datos de uno de los sitios alojados en esta compañía y publicó la información de más de 1.500 usuarios registrados, dejando al descubierto los datos de quienes estaban consumiendo los más de 100 GB de material pornográfico infantil que encontraron.

Además, también publicaron datos relativos al propio servidor que alojaba dichas páginas:

Como vemos, las intrusiones no deseadas puede sufrirlas cualquiera, incluidos aquellos que se dedican a realizar actividades ilegales.

Desde el laboratorio de ESET en Ontinet.com pensamos que, lejos de entrar en juicios sobre la legalidad o no de este tipo de procedimiento, lo que sí queda en evidencia es que, este tipo de iniciativas, bien enfocadas, pueden contribuir a un uso más saludable de la Red y a una mayor protección de nuestros pequeños.

Yolanda Ruiz y Josep Albors

 

 

 

Los ciberdelincuentes también reciclan: la amenaza de 2002 Linux/Tsunami ataca ahora a Mac

La creatividad de los ciberdelincuentes no tiene límites, ni tampoco su capacidad de reciclaje. Hoy nos hacemos eco, desde el laboratorio de investigación de ESET, de una nueva variante de un backdoor creado en 2002. Lo más curioso es que esta amenaza, originalmente desarrollada para atacar a sistemas Linux, ha sido remozada para infectar a sistemas Mac OS X.

Una vez instalado en el sistema, este backdoor permite tomar el control remoto del Mac mediante IRC para crear una red de bots que lancen ataques DDoS (ataques de denegación de servicio). El ejemplar analizado contiene una extensa lista de servidores IRC y de canales a los que intenta conectarse y desde los que lee e interpreta diferentes órdenes. Podéis ver la lista de los comandos utilizados en la siguiente imagen, que contiene una porción del código fuente de la variante de Linux.

Además de permitir ataques DDoS, el troyano permite la descarga de ficheros de forma remota, tales como otro tipo de malware o actualizaciones del propio código de la muestra. Además, como sucede en la mayoría de botnets, se pueden ejecutar comandos que permiten tomar el control de la máquina afectada. En términos de funcionalidad, la variante para Mac de este backdoor es similar a su antigua versión para Linux, con cambios tan solo en el servidor IRC, el canal y la contraseña, siendo la mayor diferencia que en esta ocasión se trata de un binario de Mach-O (Mac OS) en lugar de un binario ELF (Linux).

Desde el laboratorio de ESET en Ontinet.com recordamos que nuestras soluciones de seguridad (incluyendo ESET Cybersecurity para Mac) detectan este nuevo ejemplar como OSX/Tsunami.A. No obstante, hay que estar alerta ante nuevas amenazas “recicladas” ya que, al tener como base el sistema operativo UNIX, hay amenazas para Linux que pueden ser portadas a Mac OS (y viceversa) sin muchas dificultades.

Josep Albors

El canal de Youtube oficial de Microsoft sufre un ataque

Hace justo una semana hablábamos en este mismo blog sobre el ataque sufrido por el canal oficial de Youtube de Barrio Sésamo, el cual, durante cerca de veinte minutos, estuvo mostrando vídeos pornográficos. Ahora la historia se repite, pero con el canal de Microsoft en Youtube.

Durante buena parte del día de ayer, todos aquellos que accedieron al canal oficial de Microsoft se encontraron con que todos los vídeos habían sido borrados y sustituidos por otros que mostraban una serie de mensajes durante unos pocos segundos.

En el momento de escribir estas líneas, el canal ya ha recuperado su contenido habitual y funciona sin problemas. Resulta interesante la coincidencia en la fecha de los ataques, ya que ambos se produjeron en fin de semana, probablemente para conseguir que los vídeos suplantadores estuvieran más tiempo activos.

Con respecto a la técnica usada, es muy probable que tanto en el caso del canal de Barrio Sésamo como en el de Microsoft el ataque y la suplantación de los vídeos se haya podido producir por una mala gestión de las contraseñas.

Es posible que veamos más ataques de este tipo en el futuro, sobre todo si los canales de Youtube atacados pertenecen a empresas conocidas y tienen una gran cantidad de seguidores. Desde el laboratorio de ESET en Ontinet.com recordamos la importancia de tener una política de gestión de contraseñas eficaz para todos los servicios en los que las usemos.

Josep Albors

Nuevas filtraciones de la Policía, UPyD e Izquierda Unida

Es algo que ya se está convirtiendo en habitual: tras la publicación de los datos de los escoltas de la presidencia, de alguno de los componentes de los G.E.O. y de publicar datos de acceso como administrador al foro del Centro Nacional de Policía, llegan ahora nuevas filtraciones que afectan a la Policía y a diversos partidos políticos.

Como de costumbre, Chema Alonso ha sido uno de los primeros en avisar mediante su blog de la publicación de estos datos. Se siguen usando servicios como pastebin y pastehtml para publicar los datos filtrados, enlazando a ficheros alojados en servicios de almacenamiento gratuitos de donde se puede obtener más información.

En esta ocasión han sido varios los afectados por las filtraciones que, recordemos, y siempre según la versión de aquellos que publican la información, se obtuvieron en una intrusión a uno de los servidores del Ministerio del Interior el pasado mes.

En primer lugar vemos cómo han publicado las claves de acceso a los servidores, claves que, de ser ciertas, denotan una preocupante falta de seguridad, y explicarían cómo se pudo realizar la intrusión. Seguidamente aparece un listado con el personal encargado de la escolta de S.M. el Rey. En este punto se enlaza con un fichero ubicado en varios servicios de almacenamiento de ficheros con la lista completa.

Datos similares ya fueron hechos públicos en anteriores comunicados, pero en esta ocasión han ido un poco más allá y han publicado datos pertenecientes a partidos políticos como UPyD, apareciendo la dirección de correo electrónico y el teléfono de su portavoz, Rosa Díez.

Pero no es el único partido político afectado por esta nueva filtración. Esta vez se hace alusión a Izquierda Unida en referencia al supuesto conocimiento de información confidencial relacionada con el 11-M. Asimismo, se alude a un supuesto caso de acoso laboral y sexual protagonizado por uno de los altos cargos del partido, y se desvela más información en un documento del que se proporciona el enlace para descargarlo.

Por último, una petición que se repite de comunicados anteriores es la de presionar a una fiscal en concreto para que realice diligencias con documentación reservada del 11-M. En caso de no realizarse tales diligencias, se amenaza con publicar esa información reservada antes de las próximas elecciones del 20-N.

Como vemos, parece que la intrusión a uno de los servidores del Ministerio del Interior va a dar mucho juego, ya que la información que allí se obtuvo parece aún lejos de acabarse. Tal y como hemos venido haciendo hasta ahora, desde el laboratorio de ESET en Ontinet.com seguiremos informando conforme se publique más información relacionada con este caso.

Josep Albors

Miles de sitios web vulnerables infectan a los usuarios

A día de hoy es importante para cualquier empresa, por pequeña que sea, o incluso para muchos particulares, contar con presencia en la red. La posibilidad de generar nuestra propia web usando un gestor de contenidos de fácil manejo ha permitido que muchos usuarios elaboren su propia página web para promover su negocio o sus inquietudes.

Por desgracia, muchos de estos sitios terminan descuidados y con unos agujeros de seguridad preocupantes. Los ciberdelincuentes se aprovechan de esto e introducen malware en este tipo de webs para que, a su vez, infecten a todos los usuarios que las visiten. Se calcula que el ataque que analizamos en esta ocasión ha conseguido afectar a más de seiscientas mil páginas según la empresa Armorize, que fue la que dio la voz de alarma.

Tal y como podemos ver en la imagen a continuación, bastantes de los resultados que arrojan las búsquedas en Google en el momento de escribir estas líneas pertenecen a webs españolas:

En esta ocasión, los cientos de miles de webs vulnerables redirigen a los usuarios a otros sitios preparados para aprovechar vulnerabilidades en versiones antiguas de Adobe Flash Player, Java o en el propio navegador web. Esto nos recuerda una vez más la importancia de contar con las versiones más recientes de los programas que usamos en nuestro sistema.

Básicamente, el ataque consiste en inyectar código en las webs vulnerables de manera que redirigen de forma silenciosa al usuario. Este código apunta a dos páginas web en concreto: http://nbn[xxx].com/urchin.js y http://jjg[xxx].com/urchin.js, y se inyecta en el código fuente de la web vulnerable de la siguiente forma:

Estas webs redirigen a su vez a otros enlaces donde se lanzan una serie de ataques contra versiones vulnerables de aplicaciones ampliamente usadas. Tal y como queda patente, la intención es la de afectar al mayor número de usuarios posible.

Como vemos, descuidar la seguridad de nuestro sitio web puede tener graves consecuencias tanto para nosotros como para aquellos que la visitan. Es por ello que, desde el laboratorio de ESET en Ontinet.com, recomendamos revisar periódicamente en busca de actualizaciones de nuestro gestor de contenido y contar con un antivirus en nuestro servidor web para detectar y eliminar posibles intrusiones.

Josep Albors

Atacan el canal de Youtube de Barrio Sésamo y lo llenan de vídeos pornográficos

Los miles de internautas que visitan a diario el canal de Youtube de Barrio Sésamo (Sesame Street en el original) se vieron sorprendidos ayer por contenido especialmente desaconsejado para su audiencia. Durante 20 minutos se estuvieron mostrando vídeos de alto contenido pornográfico a todos aquellos que accedían a dicho canal.

Además de los daños morales y de las quejas de multitud de padres sobre lo que estaban viendo sus hijos, hay que analizar cómo pudo producirse ese ataque. Todo apunta a que los responsables de gestionar el canal descuidaron la seguridad de sus contraseñas, lo que permitió a los atacantes acceder y subir contenido inadecuado.

Desde Youtube, tardaron cerca de 20 minutos en darse cuenta del incidente y bloquear el contenido del canal, el cual, en el momento de escribir estas líneas, seguía bloqueado por mostrar imágenes que no enseñaremos para no dañar sensibilidades.

Si bien este tipo de contenido pornográfico está terminantemente prohibido en Youtube, no es la primera vez que aparecen vídeos de este tipo. En varias ocasiones, usuarios del sitio 4chan (uno de los lugares donde empezó a formarse Anonymous) consiguieron inundar Youtube de este tipo de material simplemente subiendo de forma masiva vídeos para saturar el servicio de Google, tardando este una cantidad considerable de tiempo en retirarlos todos.

En esta ocasión parece que el ataque lo han realizado dos personas y la motivación no parece ser otra que la de realizar una gamberrada cibernética. No obstante, uno de los supuestos atacantes se ha desmarcado de todo este asunto alegando que no tuvo nada que ver y que alguien ha usado su nombre sin su consentimiento.

Incidentes como este demuestran que incluso sitios pensados para los más pequeños de la casa pueden ser objetivos de ataques. Desde el laboratorio de ESET en Ontinet.com, recomendamos a todos los padres preocupados por los contenidos que ven sus hijos en Internet que dediquen más tiempo a navegar con ellos. Solamente educándolos para saber reconocer y bloquear los peligros de Internet podrán disfrutar de una experiencia provechosa y educativa.

Josep Albors

[Podcast] Aplicaciones maliciosas en Facebook

El uso de las redes sociales como medio para relacionarnos y comunicarnos con ha llegado a un punto en el que muchas personas las consideran indispensables en su vida diaria. Por desgracia, estas redes sociales, con Facebook a la cabeza también son un objetivo muy apetecible para los ciberdelincuentes puesto que pueden obtener una cantidad importante de víctimas con poco esfuerzo.

En este podcast analizaremos el estado de las aplicaciones de Facebook y cómo protegernos de aquellas que son maliciosas:

 

Esperamos que el contenido del podcast sea del agrado de nuestros usuarios y esperamos subir más en breve.

Josep Albors

Artículos Anteriores »