• Buscar

• Síguenos en Twitter

• Categorías

  • actualizaciones (45)
  • adware (4)
  • Android (2)
  • Anuncios (30)
  • Apple (12)
  • BlackHat SEO (5)
  • Botnets (41)
  • Cálico Electrónico (1)
  • Clickjacking (7)
  • Curiosidades (38)
  • datos (9)
  • DDoS (3)
  • Defacement (7)
  • Educación (72)
  • entrevista (5)
  • Espionaje (11)
  • Estadísticas (9)
  • Eventos (14)
  • exploit (66)
  • Facebook (16)
  • Filtraciones (25)
  • General (59)
  • Hacking (58)
  • hacktivismo (19)
  • Herramientas (18)
  • Heurística (6)
  • Hoax (3)
  • Humor (1)
  • Informes (16)
  • Ingenieria social (98)
  • Juegos (5)
  • Mac (10)
  • Malware (243)
  • Phishing (59)
  • Piratería (7)
  • Privacidad (20)
  • Productos (36)
  • ransomware (3)
  • redes sociales (65)
  • rogue (25)
  • rootkit (1)
  • Scada (4)
  • Scam (21)
  • scareware (2)
  • seguridad (80)
  • sorteos (2)
  • Spam (123)
  • spyware (2)
  • telefonía (33)
  • Troyanos (12)
  • Tutoriales (19)
  • Unix (1)
  • Vulnerabilidades (197)

• Archivos

  • mayo 2012 (13)
  • abril 2012 (12)
  • marzo 2012 (22)
  • febrero 2012 (21)
  • enero 2012 (26)
  • diciembre 2011 (17)
  • noviembre 2011 (19)
  • octubre 2011 (20)
  • septiembre 2011 (23)
  • agosto 2011 (24)
  • julio 2011 (18)
  • junio 2011 (16)
  • mayo 2011 (18)
  • abril 2011 (11)
  • marzo 2011 (18)
  • febrero 2011 (17)
  • enero 2011 (19)
  • diciembre 2010 (20)
  • noviembre 2010 (22)
  • octubre 2010 (27)
  • septiembre 2010 (30)
  • agosto 2010 (24)
  • julio 2010 (36)
  • junio 2010 (43)
  • mayo 2010 (27)
  • abril 2010 (26)
  • marzo 2010 (14)
  • febrero 2010 (16)
  • enero 2010 (14)
  • diciembre 2009 (7)
  • noviembre 2009 (5)
  • octubre 2009 (3)
  • septiembre 2009 (3)
  • agosto 2009 (8)
  • julio 2009 (6)
  • junio 2009 (2)
  • mayo 2009 (4)
  • abril 2009 (6)
  • marzo 2009 (6)
  • febrero 2009 (3)
  • enero 2009 (3)
  • diciembre 2008 (5)
  • noviembre 2008 (5)
  • octubre 2008 (10)
  • septiembre 2008 (9)
  • agosto 2008 (7)
  • julio 2008 (8)
  • junio 2008 (10)
  • mayo 2008 (13)
  • abril 2008 (12)
  • marzo 2008 (7)
  • febrero 2008 (5)
  • enero 2008 (2)
  • diciembre 2007 (7)
  • noviembre 2007 (6)
  • octubre 2007 (7)
  • septiembre 2007 (9)
  • agosto 2007 (3)
RSS Artículos | RSS Comentarios

Revisando la reciente amenaza de los falsos vídeos en Facebook

No ha sido poca la repercusión de la amenaza que se está propagando por Facebook estos días y que comentábamos ayer en este blog. Muchos han sido los usuarios que nos han preguntado acerca de ella y creímos interesante averiguar quién estaba detrás y cuáles eran sus intenciones.

Pero antes de eso, conviene dar una respuesta a todos aquellos usuarios que nos han preguntado sobre qué hacer si habían sido afectados. Lo primero que hay que tener en cuenta es que este ataque afectaba y se ejecutaba principalmente desde el navegador. El complemento malicioso que se instala en Internet Explorer, Firefox y Chrome puede eliminarse siguiendo estos sencillos pasos:

Internet Explorer: nos dirigimos al menú Herramientas > Administrar complementos. En el apartado Barras de Herramientas y extensiones seleccionamos Youtube extensión y la eliminamos.

Mozilla Firefox: accedemos al menú de Firefox > Complementos y, una vez allí, pulsamos sobre la opción de Extensiones. Nos aparecerá un listado de los complementos que tenemos instalados, por lo que seleccionamos Youtube Extension y lo eliminamos pulsando sobre el botón Eliminar.

Google Chrome: pulsamos sobre el icono de la llave inglesa situado a la derecha de la barra de direcciones y seleccionamos Opciones. En el siguiente menú seleccionamos el apartado Extensiones y eliminamos Youtube Extension.

Como medida de precaución, sería aconsejable que todos aquellos que se hayan visto afectados cambiasen su contraseña de acceso a Facebook.

Con respecto a cómo está la situación en el momento de escribir estas líneas, hemos de decir que ha habido cambios importantes. El más notorio es que Google ha bloqueado aquellas webs de Blogspot que se estaban usando como sitios donde se alojaba la extensión del navegador maliciosa. Por otra parte, desde ESET también hemos empezado a bloquear tanto la extensión como otra de las webs principales que servía esta amenaza.

No obstante, analizando uno de los códigos JavaScript que componen esta amenaza nos dimos cuenta de que había más dominios preparados con fines más que discutibles. Uno de los sitios que se repetía era [Sitio malicioso]hxxp://enchulatufb.info[Sitio malicioso], por lo que decidimos analizarlo.

Observamos que en la página principal no aparecía nada, pero sí que colgaban de ella otras secciones que se encontraban ocultas. Así pues, vimos lo que parecía otra campaña de instalación de supuestos complementos para Facebook que, aunque inactiva, hace presagiar cuál podría ser el próximo movimiento de estos ciberdelincuentes.

Seguimos indagando en dicha web y encontramos referencias a nuevos archivos JavaScript. De todos ellos, nos detuvimos a analizar uno que hacía referencia a un vídeo y que también puede formar parte de una nueva campaña de engaños y estafas que use Facebook como sitio para obtener víctimas.

Si accedemos al enlace encontramos un vídeo que, con el sugerente título de “Descuidos de famosas”, trata de llamar nuestra atención. Visto el éxito que han tenido campañas de propagación de amenazas anteriores usando vídeos similares, no nos extrañaría que esta obtuviera un éxito similar.

La verdad es que, tras analizar ese caso, recordamos que lo que importa no es usar amenazas sofisticadas ni especialmente elaboradas, sino despertar la curiosidad del usuario. Ninguno de los archivos JavaScript que hemos analizado en el laboratorio de ESET en Ontinet.com presentaba un nivel de complejidad elevado, y es más, muchos de ellos parecían tener parte del código copiado y pegado de otros archivos.

En resumen: si no queremos caer víctimas de este tipo de amenazas, es importante que andemos con precaución y usemos el sentido común en las redes sociales. Amenazas como la que hemos estado viendo estos días no suelen ser especialmente complejas ni se aprovechan de agujeros de seguridad usando técnicas elaboradas. Todo lo contrario; el mayor agujero de seguridad se encuentra fuera de nuestros ordenadores y se sitúa entre la pantalla y la silla, por lo que es muy importante que usemos nuestro sentido común.

Josep Albors

¿Sales en un vídeo? No, es otro engaño en Facebook

Ya no cabe duda de que Facebook se está convirtiendo en uno de los campos favoritos de actuación de los cibercriminales. Cada semana vemos varios casos de enlaces maliciosos y todo tipo de estafas que se intentan propagar por los muros de los usuarios.

En esta ocasión vamos a comentar un caso que está afectando a usuarios de habla hispana desde el pasado fin de semana. Se trata de un enlace en el que supuestamente se muestra un vídeo en el que aparece el usuario y que es enviado por uno de los contactos de ese usuario.

Como vemos en la imagen, la frase usada para captar la atención es bastante genérica, aunque ha habido muchos casos en los que se ha personalizado añadiendo el nombre del usuario. Por desgracia, la curiosidad del ser humano y el hecho de que este supuesto vídeo provenga de un contacto hace que muchos bajen la guardia y pulsen sobre el enlace.

Al hacer clic se nos redirigirá a una web que simula el diseño de Facebook, pero que en realidad se encuentra alojada en un dominio de Blogspot, que pertenecen a Blogger de Google. Esta popular plataforma de blogs está siendo usada para almacenar diversas páginas donde se almacenan los enlaces maliciosos.

Como vemos en la imagen, lo primero que se nos pide es instalar un complemento para nuestro navegador, pero esto solo sucede en los navegadores que permitan la instalación de estas extensiones. Este complemento es una supuesta extensión para visualizar vídeos de Youtube pero en realidad es un código malicioso que se usa para propagar esta amenaza a otros usuarios. Además proviene de un sitio no verificado, sitio que luego revisaremos.

El paso final es mostrarnos una web donde se nos invita a introducir nuestro número de móvil para recibir un supuesto código. Este tipo de webs se lucran a base de suscribir al usuario a un servicio de tarificación especial de recibo de mensajes sms, lo que supone una importante molestia económica para los afectados.

Con respecto al sitio desde el que se descarga el complemento para nuestro navegador, si accedemos a su web lo primero que vemos es una ventana en la que se nos solicita nuestro usuario y contraseña de Messenger con la finalidad de almacenar estos datos y usarlos para enviar spam desde estas cuentas robadas.

Esta amenaza ha tenido bastante repercusión durante el fin de semana y no son pocos los usuarios que han sido afectados. Como hemos visto en anteriores ocasiones, la propagación de enlaces maliciosos a través de Facebook no solo utiliza mensajes en inglés; cada vez más se ven engaños preparados específicamente para usuarios de habla hispana, sea en España o en Latinoamérica.

Desde el laboratorio de ESET en Ontinet.com recomendamos evitar pulsar sobre este tipo de enlaces y restringir la publicación de contenido en nuestro muro a nuestros contactos de mayor confianza. De esta forma, minimizaremos las posibilidades de caer afectados por engaños de este tipo.

Josep Albors

[PODCAST] Amenazas en dispositivos móviles

Es difícil imaginar multitud de acciones de nuestra vida cotidiana actual sin los ya comunes dispositivos móviles. Nuestro teléfono móvil o tablet nos permite estar comunicados a todas horas, realizar nuestro trabajo independientemente de donde nos encontremos o proporcionaros horas de ocio. Por desgracia, su uso de forma masiva también supone un interesante objetivo para los ciberdelincuentes y cada vez vemos más casos de amenazas orientadas a estos dispositivos.

En el podcast de hoy trataremos la situación de las amenazas en este tipo dispositivos y como prevenirlas.

Versión troyanizada de Nmap servida desde popular sitio de descargas

Los sitios de descargas de aplicaciones suelen ser un repositorio interesante para la mayoría de usuarios cuando buscan alguna aplicación con la que realizar una función en concreto. No son pocos los que acuden a este tipo de webs y, por desgracia, algunos de ellos tratan de sacarle un partido económico de maneras no muy legítimas.

Recientemente se ha publicado en varios medios (entre ellos, en el blog de nuestros compañeros de ESET Latinoamérica) las quejas de Fyodor, creador de la popular herramienta de análisis de puertos Nmap. Según este investigador, la versión que se puede descargar desde el sitio C|Net viene con una serie de molestos añadidos tales como una barra de herramientas, el cambio del motor de búsqueda a Bing y el cambio de la web de inicio por la de Microsoft MSN.

Este tipo de modificaciones no es nuevo, y en este mismo blog ya hemos analizado casos similares como el de la troyanización del popular visor de contenido multimedia VLC. Resulta poco ético modificar software libre para obtener un beneficio económico, pero aun peor es hacerlo molestando a los usuarios de esta manera.

Para evitar este tipo de molestias, desde el laboratorio de ESET en Ontinet.com recomendamos descargar las aplicaciones que busquemos desde las webs del fabricante o desarrollador. De esta forma nos aseguraremos de que estos programas no contienen nada indeseado o molesto.

Josep Albors

Exploits y spam que se aprovechan de vulnerabilidad en productos Adobe

De nuevo nos encontramos ante un anuncio de vulnerabilidades críticas en productos de la compañía Adobe. En esta ocasión los afectados son Adobe Acrobat y Reader, aplicaciones lo suficientemente extendidas entre los usuarios como para que cualquier vulnerabilidad en ellas suponga un importante riesgo de seguridad.

Según la empresa, esta vulnerabilidad se ha detectado en Adobe Reader X (10.1.1) y anteriores para Windows y Mac, Adobe Reader 9.4.6 y versiones 9.x anteriores para UNIX y Adobe Acrobat X (10.1.1) y anteriores para Windows y Mac. El aprovechamiento de esta vulnerabilidad podría hacer que el sistema se colgase y permitiría a un atacante tomar el control del sistema afectado.

Adobe ha anunciado que lanzará un parche para Adobe Reader y Acrobat 9.4.6 para Windows la semana que viene, mientras que el resto de versiones tendrán que esperar hasta la próxima actualización trimestral prevista para el próximo 10 de enero. La razón, según los desarrolladores, para lanzar solamente ese parche con carácter de urgencia se debe a que es precisamente esa vulnerabilidad la que está siendo aprovechada para propagar malware.

Por otro lado, en los últimos días hemos estado recibiendo correos en nuestro laboratorio que decían provenir de Adobe y adjuntaban una supuesta actualización. Ignoramos si los ciberdelincuentes que prepararon esta campaña de envío masivo de spam con adjunto malicioso estaban al tanto de la vulnerabilidad descubierta, pero lo cierto es que han conseguido lanzarla en un momento clave.

El correo malicioso se presenta tal y como vemos en la imagen anterior y anuncia una serie de mejoras en varios productos Adobe, aunque no se mencionan parches de seguridad. Asimismo, se adjunta un fichero comprimido adjunto que contiene una variante del bot Zeus. Normalmente, solo los usuarios desprevenidos y que no contasen con un antivirus actualizado se verían afectados, pero, viendo el anuncio de Adobe, es posible que los ciberdelincuentes detrás de esta campaña de spam consigan más éxito del esperado.

Desde el laboratorio de ESET en Ontinet.com recomendamos que todos los usuarios que usen los productos de Adobe afectados por la vulnerabilidad descubierta los actualicen tan pronto como esté disponible el parche. Asimismo, recomendamos desconfiar de correos electrónicos que digan provenir de Adobe, puesto que pueden contener ficheros adjuntos o enlaces desde los que se descargue malware.

Josep Albors

Software instalado en millones de móviles espía a los usuarios

El mundo de la telefonía móvil (especialmente los usuarios de estos dispositivos) anda bastante revuelto estos días debido al descubrimiento por parte del investigador Trevor Eckhart de un software, que podríamos catalogar como rootkit, instalado por defecto en millones de teléfonos móviles.

Eckhart ha publicado en su blog detalles sobre cómo una aplicación conocida como Carrier IQ vendría preinstalada en cerca de 150 millones de dispositivos móviles, y aunque la noticia se refiere principalmente a usuarios de Estados Unidos, no sería extraño que dispositivos en otras partes del mundo también estuviesen afectados. Este software estaría instalado por los fabricantes de móviles y las operadoras y permitiría la recopilación de todo tipo de datos, según se puede observar en el siguiente vídeo.

El investigador informó de que este software guarda la ubicación del móvil, teclas pulsadas, páginas webs visitadas, cuándo se producen las llamadas y otra información. En el vídeo también se puede observar cómo la aplicación Carrier IQ registra un mensaje SMS en texto plano, así como también búsquedas en Google.

El enfado de los usuarios no se ha hecho esperar, y no son pocos los que han exigido explicaciones a fabricantes y operadoras. Hasta ahora se ha confirmado la presencia de esta aplicación en dispositivos con Android, Symbian e iOS, aunque, recordemos, depende del modelo de teléfono, operador usado y versión del sistema operativo.

No es la primera vez que vemos cómo algunas empresas o Gobiernos utilizan técnicas de dudosa legalidad para obtener información de sus usuarios. Recordemos el caso del rootkit de Sony o el más reciente troyano gubernamental usado por el Gobierno alemán.

Desde el laboratorio de ESET en Ontinet.com seguiremos informando según se produzcan novedades, especialmente si se confirma que este software espía también afecta a usuarios españoles.

Josep Albors

Nuevo gusano se propaga por Facebook e instala variante de Zeus

Cuando hablamos de riesgos en redes sociales podemos referirnos a problemas con la privacidad de los datos que publicamos o, como en este caso, a amenazas que usan este tipo de redes para propagarse.

La última amenaza que se ha detectado se propaga mediante un enlace enviado por mensajes entre usuarios de esta red social. Este enlace simula dirigirnos a una imagen de dos señoritas que en realidad es un archivo .scr (protector de pantalla).

Si se ejecuta este archivo, se descargará un fichero malicioso desde una dirección web ubicada en Israel que infectará nuestro sistema con diversos códigos maliciosos, incluyendo una variante de Zeus, una de las botnet más importantes actualmente especializada en el robo de información.

Los diversos archivos que componen esta amenaza se propagan usando servidores comprometidos que han visto su seguridad vulnerada. La mayoría de estos servidores ya han sido identificados, y si se intenta descargar algún código malicioso, las soluciones de seguridad de ESET bloquearán el acceso, tal y como vemos en la imagen a continuación:

Como vemos, no se usa una técnica excesivamente complicada para infectar a los usuarios. Más bien se intenta usar una imagen sugerente (las dos señoritas rubias de la foto) para conseguir que el usuario pulse sobre el enlace malicioso, algo similar a lo que se usaba hace años para propagar malware por sistemas de mensajería instantánea.

Desde el laboratorio de ESET en Ontinet.com recordamos que es importante tomar precauciones ante este tipo de enlaces, aunque provengan de contactos conocidos. Usar una solución antivirus capaz de detectar este tipo de amenazas nos puede evitar más de un disgusto, pero mucho más importante es informarnos sobre si ese contacto que nos envía un enlace lo hace conscientemente o ha sido víctima de una infección.

Josep Albors

« Artículos Posteriores