¿LOTERÍA OLÍMPICA? MAS BIEN OTRO ENGAÑO

Categorias: Scam | | Sin comentarios » |

Cuando presentamos las previsiones en materia de seguridad informática para 2012, destacamos que se podrían usar eventos importantes que se celebran durante este año, como son las olimpiadas de Londres. Dicho y hecho: en nuestro laboratorio ya estamos empezando a observar correos que aprovechan el nombre de este evento para engañar al usuario.

Este caso en concreto reutiliza la técnica de la lotería. Esto es, enviar un correo indicándonos que hemos sido agraciados con un premio y usando la imagen de una empresa o evento de renombre. En este correo se nos indica que para poder reclamar nuestro premio, debemos completar una serie de campos con información personal y enviar estos datos a una dirección de correo electrónico.

Lo que ocurre a partir de aquí puede tomar muchos caminos, pero, por regla general, se suele iniciar una cadena de correos en los que se le pide al usuario que ingrese una cantidad (varios cientos de euros o menos) en una cuenta donde, supuestamente, recibirá el importe íntegro de su premio. Para desilusión del “afortunado”, este termina sin premio y sin el dinero depositado en su cuenta.

Este es solo un ejemplo del uso de un evento de importancia mundial como son unas olimpiadas para propagar todo tipo de malware o engaños. Desde el laboratorio de ESET en Ontinet.com estaremos atentos a todas las amenazas que intenten aprovecharse de estos eventos para que los usuarios estén alerta y protegidos.

Josep Albors
@JosepAlbors



Correos de LinkedIn usados para promocionar farmacias online

Categorias: redes sociales,Spam | | Sin comentarios » |

Cuando hablamos del uso de las redes sociales más conocidas para propagar todo tipo de malware y engaños, normalmente son casos que afectan a Facebook o Twitter. No obstante, existen otros ejemplos en los que se aprovecha otra red social no tan conocida o de un uso más específico. Es el caso del spam que vamos a comentar hoy y que usa el nombre de LinkedIn, la conocida red social de carácter profesional, para promocionar farmacias online de medicamentos fraudulentos.

Llevamos varios días recibiendo cientos de correos que tienen como supuesto remitente a un usuario de LinkedIn, y que nos indican que hemos recibido un mensaje. No es la primera vez que se usa esta red social para propagar malware o engañar a los usuarios, pero sí que es cierto que muchos usuarios bajan la guardia al recibir notificaciones de LinkedIn al tener un carácter más profesional que otras redes.

En el correo podemos observar cómo tan solo se nos notifica un supuesto mensaje enviado y se nos proporciona un enlace. Si fuéramos precavidos, lo primero que deberíamos hacer es verificar que ese correo se ha enviado desde LinkedIn y no confiar solo en su diseño o el remitente. Así pues, si analizamos la cabecera del mensaje comprobaremos que, si queremos contestarlo, aparece una cuenta de Hotmail o de cualquier otro proveedor de correo web que nada tiene que ver con la dirección de contacto de LinkedIn.

Este hecho ya nos debería hacer sospechar, puesto que bien podría tratarse de una cuenta de correo comprometida que está siendo usada para enviar spam de forma indiscriminada. El enlace que se proporciona en el correo, en el que si bien aparece el dominio de LinkedIn, contiene una redirección que nos puede llevar a donde los ciberdelincuentes desean, ya sea para descargar malware o, como en esta ocasión, para adquirir medicamentos fraudulentos en farmacias online.

Este uso de cuentas de correo comprometidas para el envío de spam es algo que viene realizándose desde hace tiempo y, normalmente, todas estas cuentas pertenecen a usuarios que tienen sus sistemas infectados y dentro de una botnet. Por suerte para muchos usuarios, las características de seguridad que incorporan la mayoría de navegadores actuales permiten detectar de forma relativamente rápida y bloquear los sitios fraudulentos.

Si nos fijamos en casos anteriores, observaremos una tendencia de los spammers a enviar correos intentando suplantar a las redes sociales más conocidas. Está demostrado que, de esta forma, consiguen más víctimas que con un simple correo con un enlace, puesto que los usuarios no solo confían en el remitente, sino también en la red social que es suplantada.

Es por ello que, desde el laboratorio de ESET en Ontinet.com, recomendamos revisar siempre este tipo de correos y, ante la duda, acceder a la red social y consultar si tenemos nuevos mensajes o avisos desde la propia red y no pulsando enlaces sospechosos.

Josep Albors
@JosepAlbors



Ali Baba & 4: Lo que se publica en Facebook, se queda en Facebook

Categorias: Facebook,Privacidad | | Sin comentarios » |

Facebook sigue siendo el foco de muchas miradas, y no solo por el éxito de la red social en sí y de sus novedades en cuanto a salida a Bolsa y demás, sino –y sobre todo- porque viene siendo habitual que sea el centro de polémicas controvertidas. Hace poco hablábamos del cambio al nuevo Timeline y sus nuevas configuraciones de privacidad, pero ahora el debate se traslada mucho más allá: ¿qué pasa con toda la información que intercambiamos a través de perfiles y páginas cuando estos son borrados o eliminados? Pues parece que lo que se publica en Facebook, se queda en Facebook…

Hace relativamente poco tiempo, tras descubrirse las identidades de los cinco cibercriminales que estaban detrás de la botnet Koobface, todos ellos comenzaron a borrar poco a poco todos los perfiles que tenían en las diferentes redes sociales, incluido el propio Facebook. Pero lo que no sabían los cinco componentes de la banda, llamada Ali Baba & 4 y formada por Stanislav Avdeyko (leDed), Alexander Koltysehv (Floppy), Anton Korotchenko (KrotReal), Roman P. Koturbach (PoMuc) y Svyatoslav E. Polichuck (PsViat y PsycoMan), es que la gran red social guarda mucha información de todos nosotros, incluso cuando borras tus perfiles.

Facebook ha anunciado recientemente que va a comenzar a hacer públicos detalles de la vida de los componentes de esta banda: información que habían publicado en sus perfiles personales, como fotos de sus viajes de lujo a Montecarlo, Bali y Turquía, detalles de sus coches… y otro tipo de datos. La razón que esgrimen es que las autoridades están siendo sumamente lentas en su labor de investigación, que comenzó en 2008, y que mientras tanto los que supuestamente han recaudado millones de dólares utilizando una red zombi compuesta por unos 800.000 ordenadores secuestrados siguen impunes.

Esta decisión, sin embargo, está causando más de una crítica: sean cibercriminales o no, lo cierto es que la información que compartieron a través de su perfil era privada. Y una cosa es que a requerimiento judicial la gran red social la comparta, y otra es que decida hacerla pública por su cuenta y riesgo. Pero aún hay algo peor: supuestamente, dichos perfiles habían sido eliminados… Lo que nos confirma lo que ya suponíamos: cualquier información que compartimos en Facebook, se queda en Facebook, aún después de haber borrado la cuenta.

En lo relativo a qué tipo de información de los usuarios guarda el gigante norteamericano (y cómo, dónde y durante cuánto tiempo) nunca ha quedado demasiado claro (debemos recordar que las leyes relativas a la privacidad en Estados Unidos son muy diferentes a las que se aplican a Europa, que a su vez también están sometidas a las regulaciones de cada país). O lo que es lo mismo: si cada vez que compartimos algo en Facebook realmente estamos alojándolo en servidores norteamericanos…, ¿qué legislación aplica?

Precisamente hoy conocemos que un estudiante austriaco, Max Schrems, lleva más de medio año interponiendo demandas (ya ha presentado 22) contra Facebook para que la red sea más transparente en cuanto a este tipo de información. Principalmente, acusa a la red social de tener recopilados datos personales que los usuarios pensaban que habían borrado, y exige saber exactamente qué está guardando Facebook en sus servidores.

Si vamos un paso más allá, nos preguntamos no solo qué información guarda en sus servidores, sino cuál es el propósito, para qué lo utiliza y en base a qué criterios deciden hacer públicos los datos.

Desde el laboratorio de Ontinet.com, distribuidor en exclusiva de ESET en España, recordamos a los usuarios que extremen las precauciones con el tipo de información que se comparte a través de las redes en general y de Facebook en particular, y que recuerden que más allá de que su contenido pueda llegar a manos indeseadas, también existe el riesgo de que el gigante norteamericano se quede para siempre con las fotos de nuestra Primera Comunión ;-).

Yolanda Ruiz

@yolandaruiz

 



San Valentín: te quiero y te regalo una poesía, un paradisíaco viaje… y algo más

Categorias: Botnets,Spam,Troyanos | | Sin comentarios » |

Un año más, volvemos a estar cerca de la celebración del día de los enamorados, San Valentín, y, de nuevo, hemos comenzado a observar cómo los ciberdelincuentes preparan sus campañas de propagación de malware aprovechándose de esta fecha señalada. Nuestros compañeros de ESET Latinoamérica ya han detectado algunos casos que pasamos a comentar.

El primero llega en forma de postal electrónica: alguien anónimo nos declara su amor en forma de poesía. Pero en el correo también se incluye un enlace donde, supuestamente, se descubre quién es el admirador secreto. Evidentemente, el usuario no solo se quedará con las ganas de conocer al romántico desconocido, sino que además se llevará de regalo un troyano que las soluciones de seguridad de ESET identifican como Win32/Injector.HVG. Este malware intercepta todo intento de conectarse a una entidad bancaria y redirige al usuario a páginas falsas donde se robarán las credenciales de acceso a su cuenta. La víctima no solo se quedará sin amante y sin poesía, sino que puede quedarse sin dinero.

El segundo llega en forma de notificación: hemos sido los afortunados ganadores de un concurso de una aerolínea chilena y nos ha tocado, nada más y nada menos, que un romántico viaje para dos personas a Punta Cana; además, se nos proporciona un enlace para canjear el premio. En ese mismo correo aparecen otros enlaces que, supuestamente, dan más información, pero, en realidad, redirigen al mismo enlace fraudulento. Por supuesto, el viaje no lo haremos nunca (al menos, gratis), pero sí nos descargaremos otro troyano, Win32/Injector.NTU, que también intentará que nuestro ordenador entre a formar parte de una botnet y quede a merced de los cibercriminales.

Como siempre recordamos desde el laboratorio de ESET en Ontinet.com, las fechas señaladas suelen ser habitualmente aprovechadas por todo tipo de cibercriminales que usarán el gancho promocional para conseguir nuevas víctimas. Por lo tanto, y sobre todo con respecto al material que nos llegue utilizando San Valentín como gancho a través de correo electrónico o de redes sociales, recomendamos a los usuarios que desconfíen de este tipo de contenido…, aunque pongamos en riesgo la que promete ser la relación de nuestra vida o el gran viaje que todos deseamos hacer.

Josep Albors
@JosepAlbors



Bouncer, el portero del Android Market

Categorias: Malware,telefonía | | Sin comentarios » |

En el día de hoy, celebramos el día de la Internet segura, una ocasión para recordar consejos de seguridad como los que nos ofrecen desde la Oficina de Seguridad del Internauta. Unas de las amenazas más crecientes en los últimos meses son aquellas que afectan a dispositivos móviles, especialmente a aquellos con sistema Android. Esto se debe en parte a que es el sistema operativo para dispositivos móviles con mayor número de usuarios (y, consecuentemente, con un mayor número de posibles víctimas). Pero también se debe a las pocas medidas de seguridad por parte de Google a la hora de revisar las aplicaciones que se publicaban.

Hasta ahora es relativamente fácil publicar cualquier tipo de aplicación en el Android Market. Con tan solo pagar una cantidad simbólica de 25 dólares, se consigue la licencia para publicar cualquier aplicación. Esto ha venido bien para que Android cuente con una cantidad ingente de aplicaciones (cerca de 11 millones según datos de Google) a disposición de sus usuarios, haciendo también que algunas aplicaciones aparezcan antes en este sistema por las pocas trabas que pone a la hora de publicarlas.

No obstante, esta filosofía también tiene su parte negativa, y es que se ha visto un gran número de aplicaciones maliciosas que infectaban dispositivos camufladas como aplicaciones legítimas, y todo porque nadie se paraba a revisar qué era lo que realmente contenían.

Pero Google ha decidido poner fin (o por lo menos intentarlo) a la propagación de aplicaciones maliciosas en su plataforma y lleva meses probando un servicio, con nombre en clave Bouncer (portero) que le permite realizar un análisis estático y dinámico constante de las aplicaciones del Android Market.

La finalidad de este servicio es ejecutar todas y cada una de las aplicaciones del Android Market en un entorno simulado (como una sandbox) para revisar cualquier comportamiento extraño que se salga de lo normal. Asimismo, también busca cambios en aplicaciones existentes, de manera que si detecta que una aplicación ha cambiado, la marcará para su posterior análisis, permitiendo (en teoría) que las aplicaciones existentes queden libres de malware.

Adicionalmente a esta revisión de las aplicaciones, se comprueba si determinados desarrolladores siguen una pauta de publicación de aplicaciones maliciosas y, en caso de ser así, se les podría llegar a incluir en una lista negra. Según algunos responsables de Android, este servicio ha conseguido reducir un 40% la cantidad de descargas potencialmente maliciosas desde el Android Market entre la primera y segunda mitad de 2011.

Desde el laboratorio de ESET en Ontinet.com aplaudimos esta iniciativa de Google y esperamos que tenga éxito, y que reduzca la cantidad de aplicaciones maliciosas que los usuarios encuentran diariamente en el Android Market. De conseguirlo, demostrarán que no hace falta contar con una plataforma cerrada como la de Apple para mantener un sistema seguro.

Josep Albors
@JosepAlbors



Julio Canto, de VirusTotal: “Me dediqué a la seguridad por accidente”

Categorias: entrevista | | Sin comentarios » |

Si hace unos días entrevistábamos en nuestro blog a Chema Alonso, hoy, Día de la Internet Segura, traemos a otro de los “cerebritos” de la seguridad informática a nuestro blog: Julio Canto. Julio, que no Toni (estamos seguros de que más de alguna vez le habrán confundido con el actor), es parte del equipo de Hispasec y Virus Total, y aunque confiesa que se dedicó a la seguridad más por accidente que por vocación, celebramos contar con este “peaso” de profesional entre la cantera que deja el pabellón español bien alto. 

¿Por qué seguridad? ¿De dónde salió tu afición por este mundo?

Por accidente. Lo que de siempre me ha gustado es la programación como tal: modelizar y resolver problemas. Cuando me contrataron en Hispasec, allá por el 2002, aparte de programar tuve que desarrollar otras actividades que me sumergieron bastante rápido en el entorno de la seguridad. Aparte de todo esto, en este mundillo se conoce gente muy interesante que motiva para que aprendas más sobre una u otra disciplina. Eso es lo bueno, siempre hay muchas cosas que aprender :-).

Eres Senior Software Engineer en Hispasec. Exactamente, ¿a qué te dedicas?

Desarrollo software, a todos los niveles del ciclo de vida, y desde sistemas grandes (como el núcleo de VirusTotal) a pequeñas herramientas que nos sirven de ayuda dentro del laboratorio o el equipo antifraude. 

Además de la informática y la seguridad, ¿cuáles son tus otras pasiones “inconfesables”?

Soy poco original: me gustan mucho los videojuegos, leer y beberme unas cervezas con los amigos.

Teniendo tus conocimientos, podrías haber elegido el camino “del mal”…

La verdad es que con lo que uno ve en el día a día, te das cuenta de que a día de hoy “el camino del mal” es fácil y rentable.  Sobre el camino que he tomado, al final supongo que uno es producto de la forma en la que ha sido educado y de la gente a la que admiras o sigues. 

¿Windows, Linux o Mac?

Los tres. 

¿Por qué?

Porque es como elegir entre un destornillador, un alicate y un serrucho. Cada herramienta es buena para determinadas tareas, y aunque puedas usar una llave inglesa para clavar un marco de una puerta, lo ideal es que uses un martillo. El problema es que hoy día se da demasiado el síndrome del martillo, y se intenta realizar toda clase de tareas diferentes usando una misma tecnología o técnica que puede no ser la más adecuada.

¿Cuál es el problema más grave de seguridad, bajo tu punto de vista, en este momento?

El nivel de impunidad con la que los criminales actúan, y la falta de acción por parte de actores que son importantes en esta situación, como a nivel político como operativo a nivel ISP. La desgana política y la falta de medios (técnicos, económicos y legales) por parte de las fuerzas de la ley son un caldo de cultivo perfecto para todo esto. La falta de motivación de algunos proveedores de servicios a la hora de actuar contra el fraude es también bastante grande. Y no hace falta irse a los ejemplos típicos de Rusia o China: he tenido experiencias realmente bochornosas con proveedores o incluso entidades públicas aquí mismo.

¿Cómo será el futuro en cuanto a seguridad se refiere?

No se me da bien adivinar cosas, pero creo que a corto-medio plazo, mucha de la informática de uso general que realizamos se moverá a remoto, dejando nuestros terminales (ya sean ordenadores, tabletas o móviles) como algo que simplemente representa lo que estamos realizando fuera. Eso va a cambiar muchas cosas, pero no tengo claro cuánto tardará, ni qué vendrá luego. Solo tienes que ver cómo han cambiado las cosas en temas de TI en los últimos 10 años.

Dime tres cosas que deberíamos hacer todos los usuarios de la Red que, bajo tu punto de vista, no se están haciendo.

Mucha gente no entiende las máquinas que están utilizando. No hace falta entender de termodinámica para conducir un coche, pero conceptos básicos como que hay que echarle gasolina o cambiar el aceite si necesitan ser asimilados si no queremos tener problemas. 

Luego está el tema de la sensación de seguridad: la gente no es consciente de lo que puede llegar a pasarles con los ordenadores si no aplican un poco del mismo sentido común que utilizan en su día a día en la calle, sobre todo en cuestiones de confianza y del ejercer un poco de paranoia constructiva. 

Finalmente, tampoco se presta demasiada atención a la “higiene básica” de los sistemas: actualizaciones de programas, plugins y demás. Muchas infecciones ocurren porque la gente sigue teniendo versiones viejas y vulnerables de componentes y herramientas.

¿Cuál es el reto más importante al que te has sometido –profesionalmente hablando– en tu trabajo?

Los inicios de VirusTotal fueron complicados, y durante mucho tiempo sufrimos bastantes críticas en el mundo de la seguridad porque había sospechas sobre la naturaleza e intenciones del servicio. Ha sido una carrera de fondo larga y dura, y curiosamente siempre ha sido más complicado desde el punto de vista no técnico que del puramente técnico. 

Tenemos la visión de que los informáticos, y más los especializados, son bichos “rarunos”. Pero la mayoría no lo sois… ¿Por qué crees que hay esa percepción?

Bueno… Como en todas partes, hay de todo, pero supongo que suele ser porque algunas personas tienen valores y prioridades diferentes a los que se consideran “normales”. A mí personalmente me gusta que sea así: la diversidad es imprescindible si no queremos que todo se quede estancado.

Háblanos de VirusTotal. Sabemos que fuiste una parte fundamental en su creación. ¿Cómo nació la idea?

Fue idea de mi jefe, Bernardo Quintero. Quería tener una herramienta interna que nos permitiera analizar algunos aspectos del comportamiento de los antivirus, además de poder analizar “en profundidad” malware del que se producía en esa época, y me contrataron para desarrollarlo. Tiempo después, Bernardo pensó que podría ser un servicio útil para la comunidad, y en coherencia con lo que hacía la empresa con el una-al-día, se hizo público. Desde luego, jamás se nos pasó por la cabeza que se convertiría en algo tan popular, y año a año ha ido creciendo de una forma bastante rápida. 

¿Cuántas muestras recibís al día? ¿Habéis visto un crecimiento significativo en alguna plataforma en especial?

El número fluctúa bastante, pero suele rondar entre los 150.000 y 300.000 muestras diarias. La mayoría abrumadora está orientada a plataformas Windows, aunque últimamente se ve algo más de variedad, como lo que se desarrolla para plataformas Android. Sigue siendo una cantidad mínima comparada con lo que vemos para Windows, pero no deja de ser interesante observar esas tendencias.

Por tus comentarios en Twitter vemos que algunas veces recibes correos de lo más variopinto. ¿Nos podrías destacar alguno?

Recibimos de todo. Quizá algunos de los más memorables han sido amenazas legales por falsos positivos que generan en algunos casos los motores que usamos en el servicio online.  

Danos “LA” recomendación de seguridad para los usuarios en una frase… 

Internet no es tan diferente del mundo físico: hay que intentar conocerlo y aplicar normas básicas de sentido común para no ser presa fácil.

Yolanda Ruiz

@yolandaruiz

 



Phishing al Banco Popular

Categorias: General,Phishing | | Sin comentarios » |

Durante este fin de semana hemos recibido en nuestro laboratorio varios correos que simulaban provenir del Banco Popular. Se trata de una nueva campaña de phishing que está  orientada a los clientes de dicha entidad y que recibimos en nuestra bandeja de entrada camuflada como unas nuevas medidas de seguridad que están adoptando desde el banco.

El mensaje en sí tiene una redacción con errores que demuestra la utilización de una plantilla genérica para este tipo de fraudes. Junto con el texto viene el enlace característico de esta clase de estafas, y que los ciberdelincuentes han colgado esta vez en varios sitios webs legítimos.

En la captura de pantalla podemos observar un enlace con dominio español, pero en los correos que hemos recibido hemos visto enlaces pertenecientes a otros países como Japón, lo que parece apuntar a que los creadores de este ataque querían asegurarse de que sus enlaces permaneciesen activos el máximo tiempo posible.

En el caso de que un usuario cayese en la trampa y rellenase los campos de la web fraudulenta, sus datos serían enviados a los ciberdelincuentes, que podrían usarlos para sustraer dinero de su cuenta bancaria o realizar compras a cargo de la víctima. Una vez estos datos han sido obtenidos, se redirige al usuario a la página original del Banco Popular.

Observemos las diferencias entre la web fraudulenta y la original. Además de la diferencia en el diseño y en los campos solicitados, observamos una más importante en la barra del navegador: en la web original tenemos el certificado de que se trata de una conexión segura https, mientras que en la fraudulenta no solo ese certificado no aparece, sino que el dominio resaltado es el de la web comprometida que se está usando para alojar esta web fraudulenta.

Desde el laboratorio de ESET en Ontinet.com volvemos a recordar a todos los usuarios que nuestro banco nunca nos solicitará datos de nuestra cuenta por correo. Asimismo, si somos observadores y nos fijamos en los detalles, podremos detectar una web fraudulenta y evitar caer en la trampa de los ciberdelincuentes.

Josep Albors

@JosepAlbors

 



Actualizaciones de seguridad para múltiples vulnerabilidades en Mac OS

Categorias: actualizaciones,Apple,Vulnerabilidades | | Sin comentarios » |

Cada cierto tiempo, los usuarios de Mac OS nos encontramos con un aviso del gestor de actualización de software que nos indica que hay disponible una nueva actualización de seguridad. Es un aviso que no tiene una periodicidad fija y que, a diferencia de las actualizaciones mensuales de Windows, pueden producirse en un lapso de varios meses.

La actualización que lanzó ayer Apple es importante, puesto que corrige hasta 52 vulnerabilidades en Lion y Snow Leopard, tanto en versiones cliente como en servidores.

Aunque los paquetes de actualizaciones de Mac OS no se caracterizan por ser especialmente ligeros (la actualización para Lion ocupa más de 700 MB) es fundamental que los usuarios apliquen estos parches para evitar males mayores.

Recordemos que 2011 fue un año prolífico en malware para Mac y que el aprovechamiento de las vulnerabilidades del sistema suelen ser un importante vector de ataque para conseguir infectar nuestro sistema, independientemente del que sea. Es por eso que, desde el laboratorio de ESET en Ontinet.com, recomendamos aplicar estas actualizaciones lo antes posible.

Josep Albors
@JosepAlbors



Anonymous publica datos de usuarios de foros neonazis

Categorias: datos,Filtraciones,hacktivismo | | Sin comentarios » |

Anonymous, en su continua campaña por sacar a la luz datos que ayuden a denunciar todo aquello que considere reprochable, ha publicado cientos de datos personales pertenecientes a usuarios de foros neonazis, en lo que se ha llamado Operación Blitzkrieg.

Esta operación, que empezó a principios de año, ha conseguido obtener datos de miles de usuarios que incluyen nombres y apellidos, email, teléfonos y dirección física. La publicación de estos datos puede suponer un problema grave para cualquiera que esté incluido en ellos, sobre todo porque la pertenencia a este tipo de grupos es constitutiva de delito en algunos países.

Anonymous incluso ha preparado un portal donde va colgando la información de los usuarios de todos los foros en los que ha conseguido introducirse, donde cualquiera puede consultar estos datos.

Entendemos que el colectivo de hacktivistas tiene fundamentos para estar en contra de este tipo de grupos, pero quizás la forma en la que ha llevado este tema no sea la más adecuada. La publicación de estos datos personales persigue denunciar públicamente a aquellos con una ideología intolerante con otras razas y culturas, pero nadie nos asegura la fiabilidad de estos listados, siendo muy fácil incluir datos erróneos de personas que nada tienen que ver con este tipo de organizaciones.

Desde el laboratorio de ESET en Ontinet.com estaremos atentos por si se revelan más datos de usuarios dentro de esta operación, especialmente si aparecen datos de algún foro español de este tipo.

Josep Albors
@JosepAlbors



Aprovechan sitios WordPress sin actualizar para propagar malware

Categorias: exploit,Spam,Vulnerabilidades | | Sin comentarios » |

No es la primera vez que hablamos en este blog de la importancia de mantener nuestro sitio web actualizado. En los últimos meses hemos visto cómo los ciberdelincuentes han usado páginas web legítimas con algún fallo de seguridad para propagar sus amenazas. Uno de los objetivos preferidos de los atacantes han sido los blogs generados con el sistema de gestión de contenidos WordPress.

En esta ocasión vemos cómo los ciberdelincuentes se vuelven a aprovechar de las vulnerabilidades presentes en una versión obsoleta de WordPress, concretamente la 3.2.1, para colgar código malicioso en una parte del blog. Los blogs afectados son inocuos si se navega por ellos y no se accede a la sección comprometida. Esta técnica se usa para evitar que los mecanismos de reputación de URL bloqueen estos blogs y la amenaza quede activa durante más tiempo.

Para conseguir que los usuarios accedan al enlace donde se encuentra el código malicioso, los ciberdelincuentes emplean la clásica técnica de enviar millones de correos spam simulando ser una factura pendiente de pago que incluye el enlace malicioso. De esta forma, cuando un usuario pulsa sobre dicho enlace, accederá a una web que simula estar cargándose.

No obstante, en realidad el usuario está siendo redireccionado a un enlace con dominio ruso y que contiene una cadena de código ofuscado para dificultar su detección.

Si desciframos este código, vemos cómo apunta a un enlace dentro del dominio ruso que veíamos anteriormente y que procede a cargar un exploit kit. Algunos investigadores han apuntado que se trata del Phoenix Exploit Kit y que procede a intentar ejecutar una serie de exploits dependiendo del navegador, sistema operativo o software instalado en el sistema de la víctima.

Dentro de los diferentes exploits que se intentan ejecutar, encontramos algunos diseñados para aprovechar vulnerabilidades en Java y, de esta forma, afectar a varios sistemas operativos. Otros están diseñados para aprovecharse de vulnerabilidades en el manejo de archivos PDF e incluso encontramos un exploit para aprovecharse de una vieja vulnerabilidad en Internet Explorer 6.

Los sitios que cuentan con una versión de WordPress vulnerable y que han sido modificados para infectar a los usuarios se cuentan por cientos. El hecho de que solo una parte del sitio web se encuentre comprometido dificulta que sus administradores se den cuenta a menos que hagan una revisión a fondo. Con respecto a los usuarios que pulsan sobre el enlace malicioso que se envía por correo, pueden evitar infectarse si cuentan con una solución antivirus que detecte esta amenaza e impida el acceso al sitio web malicioso.

Como hemos visto, las webs legítimas pueden suponer también un grave peligro si sus administradores no toman las debidas medidas de precaución. Desde el laboratorio de ESET en Ontinet.com, como en anteriores ocasiones, recomendamos evitar pulsar sobre enlaces contenidos en correos sospechosos y contar con una solución antivirus que nos proteja si pulsamos accidentalmente sobre ellos.

Josep Albors
@JosepAlbors



« Artículos PosterioresArtículos Anteriores »

Atención: nuestra página utiliza cookies Al utilizar nuestro sitio web, consiente nuestra política de uso.

Aceptar y ocultar este mensaje