Anonymous vuelve a la carga con la #Opcoltan

Categorias: Filtraciones,hacktivismo | | Sin comentarios » |

A pesar de que los grupos hacktivistas no han cesado, ni mucho menos, su actividad durante el verano, sí que es verdad que la aparición de otras amenazas como Flame o Gauss y otros asuntos de seguridad informática parecía haberlos relegado a un segundo plano. No obstante, estos grupos siguen estando muy presentes y no hay más que ver todo el revuelo que están armando con varias operaciones que actualmente están activas para confirmarlo.

En los últimos días hemos visto cómo se iban publicando una cantidad importante datos obtenidos a partir de ataques a diferentes empresas, organismos y Gobiernos. El pasado día 25, el grupo TeamGhostShell publicó más de un terabyte de datos obtenidos de fuentes tan significativas como la CIA, el MIT y diversos grupos financieros de Wall Street, además de los Gobiernos de Estados Unidos, China y Japón.

Esta filtración de datos, englobada dentro de la operación Project Hell Fire, afectó a más de 100 organizaciones y, entre los datos revelados, se encontraba una gran cantidad perteneciente al mercado de valores de los Estados Unidos y una serie de puertos que permitían el acceso a servidores pertenecientes al Departamento de Seguridad Nacional de ese país.

Pero esa filtración solo fue el inicio. Dentro de otra operación conocida como #OpColtan, el gigante holandés de la electrónica Philips se ha visto afectado por dos nuevas filtraciones de datos realizadas por miembros de Anonymous. Este nuevo ataque a una gran empresa ha desvelado decenas de miles de datos personales, incluyendo varios miles de correos electrónicos, de los cuales una importante cantidad contiene credenciales que podrían permitir a un atacante acceder a información personal del usuario.

Los archivos filtrados han sido subidos a varios sistemas de almacenamiento de ficheros y, además de publicar el ya clásico enlace en Pastebin, contienen un archivo comprimido con la información obtenida de las bases de datos a las que se accedió. Parte de esta información solo contiene datos poco relevantes, como nombres e identidades, pero algunos de los archivos contienen cuentas de usuario y administradores con contraseñas cifradas.

Además del peligro que supone acceder a cuentas que podrían contener información confidencial, no debemos subestimar el uso que se le puede dar al resto de emails obtenidos. Una vez se ha hecho público el ataque, no pocos usuarios que han visto sus cuentas comprometidas podrían caer en un engaño y realizar las instrucciones indicadas en un falso email que diga provenir de la misma Philips.

Pero Philips no ha sido la única empresa afectada en esta operación ni, seguramente, será la última. Otras empresas electrónicas como Siemens o Fujitsu también han visto cómo se han filtrado datos de sus servidores y se han publicado. En este caso, los datos filtrados contienen información básica de las bases de datos a las que se accedieron, así como también información no crítica relacionada con el sitio web.

Sin estar dentro de esta operación, pero con una especial relevancia, ayer salió a la luz y bajo el nombre de OpFreeAssange (en referencia al creador de WikiLeaks) mucha información confidencial perteneciente a la policía británica. Entre estos datos encontramos cuentas pertenecientes a los agentes y otros usuarios, incluyendo algunas con la contraseña en texto plano. También se han publicado los registros de acceso de varios agentes cuando buscaban ciertos ficheros y detalles de contacto.

Como vemos, los robos y filtraciones de datos confidenciales siguen a la orden del día y son realizados a todo tipo de empresas, organismos y Gobiernos, sin importar su tamaño. La mayoría de estas veces, el atacante consigue obtener esta información aprovechándose de vulnerabilidades que, en la mayoría de los casos, cuentan con solución, pero esta no ha sido aplicada. Es por ello que si nos encargamos de administrar los datos de una empresa, debemos evitar dejar puertas abiertas que puedan ser aprovechadas por un atacante y cifrar toda la información que sea posible para minimizar los daños en caso de perderla.

Josep Albors

@JosepAlbors



Nuevos casos de phishing que utilizan a Apple y a Gmail como gancho

Categorias: Phishing,redes sociales | | Sin comentarios » |

Si justamente ayer os hablábamos de un nuevo intento de engaño que utilizaba a Facebook como gancho para descargar en los ordenadores de los usuarios un troyano, hoy os traemos dos nuevos casos de phishing que intentan conseguir las contraseñas de acceso a dos populares servicios: Apple y Gmail. Parece que el nuevo curso trae consigo una mayor actividad por cuenta de los cibercriminales, ya que sea coincidencia o no, se están dando varios ataques simultáneos eligiendo, eso sí, siempre servicios diferentes y con los que es fácil engañar a los usuarios.

¿Quién no ha olvidado en alguna ocasión su contraseña de Apple?

Trabajar desde hace tantos años en seguridad ha hecho que mi nivel de atención y precaución acerca de la preservación de mi identidad digital se sitúe en niveles muy altos. Por eso, intento seguir todas las recomendaciones que nosotros mismos damos a todos los usuarios. Pero he de reconocer que la gestión de las contraseñas es una labor muy ardua para cualquier usuario. El porqué está bien claro: quienes pasamos media vida online no utilizamos uno, ni dos ni tres, sino muchísimos más servicios o productos que requieren de un login. Estar continuamente inventando contraseñas, cambiarlas de forma regular y pretender acordarte de todas es prácticamente imposible.

Pues bien, no sé por qué, siempre se me olvida la de Apple, o la de iTunes, que para el caso es lo mismo. Y si eres usuario de iPhone, iPad o cualquier otro producto de la marca, sabes que necesitas esta contraseña para interactuar con tus dispositivos y para descargar apps desde el Apple Store (que a todos nos chifla), actualizarlas, etc. Pues bien, cada vez que intento descargar algo, descubro que se me ha olvidado –de nuevo- la contraseña. ¿Qué hago? Pues lo que todos: solicitar un recordatorio para que nos envíen ese email que nos permite resetear la contraseña e introducir una nueva (que en mi caso, se me olvidará de nuevo).

Estoy segura de que mi caso no es especial ni aislado, sino que probablemente te sientas identificado al leer este texto. Pues bien, los cibercriminales –que muchas veces me pregunto si tienen estudios de sociología o alguna empresa que les avise de tendencias y comportamientos online-, sabedores quizá de esta problemática, ahora están utilizando la función de recordar contraseñas como parte de su estrategia intentando cazar los datos de víctimas usuarios de Apple.

¿Cómo lo hacen? Muy fácil: te envían un email con un diseño copiado exactamente a Apple con el recordatorio de contraseña. Si tienes mi mismo problema, seguramente te resultará familiar (porque ya lo has hecho antes) y no recordarás cuándo fue la última vez que has solicitado el reseteo de esa contraseña que siempre se te resiste a la memoria. Si pinchas en el link para introducir tus datos, este te llevará a un sitio exactamente igual al de Apple, introducirás inocentemente tu contraseña como ya has hecho otras veces y te quedarás tan conforme, probablemente sin saber que acabas de darle acceso a tu cuenta de Apple o de iTunes a un cibercriminal que probablemente lo pondrá a la venta en el mercado negro.

ESET España - Nuevos casos de phishing que usan Apple y Gmail como gancho

Si te preguntas para qué querría un cibercriminal tu ID de Apple, te invito a que reflexiones un momento acerca de la cantidad de servicios que utilizas de la plataforma. Si usas iTunes, tendrás que haber rellenado toda tu información personal (por lo que ya tiene tus datos) amén de tu tarjeta de crédito para comprar de vez en cuanto algún app (todos lo hacemos), pero también tendrá acceso a toda tu información si utilizas iCloud… y un largo etcétera.

Si recibes este tipo de correo en cualquier idioma y tienes dudas, lo mejor es que vayas al propio site de Apple y hagas un reseteo de la contraseña por tu cuenta, incluso utilizando para ello otra dirección de email si puedes. En cualquier caso, para evitar los problemas derivados de ser víctima de phishing, te reiteramos el mismo consejo que damos siempre: intenta evitar entrar a tus cuentas –sean estas de donde sean- a través de un correo electrónico.

Y si utilizas Gmail…

Pues también tienes que tener mucho cuidado, ya que nos están llegando advertencias de usuarios (vía Twitter) del popular servicio de correo electrónico de un intento de robo de contraseñas utilizando también una marca muy conocida, un correo electrónico y esta vez, en español. En este caso, el correo nos avisa de que nuestra cuenta de Gmail va a ser suspendida, y que si queremos evitarlo, debemos verificar todos nuestros datos.

Si usas este correo bien sea personal o profesionalmente, el “momento pánico” pensando en todas las cosas que puedes llegar a perder puede llevarte a rellenar toda la información corriendo, porque además lo puedes hacer en el mismo correo. Y los datos que nos solicitan son todos, absolutamente todos, los que un usuario necesita para entrar en nuestra cuenta, tal y como te mostramos en la imagen:

ESET España - Nuevos casos de phishing que utilizan a Apple y a Gmail como gancho

Se trata, como dice el refranero popular, “del mismo perro con distinto collar” pero con un fin único: la obtención de tus datos. Y si te preguntas lo mismo que anteriormente, para qué quieren mis datos, piensa que con el mismo login y password de Gmail es más que probable que estés utilizando otros servicios, como Google +, Google Adwords (donde podemos tener información financiera) o Google Analytics, Google para Webmasters, Google Merchant Center, etcétera.

Así que si has recibido cualquiera de estas comunicaciones, y ante la duda, no prestes atención y lleva a cabo las comprobaciones que necesites hacer siempre en el propio portal que ofrece el servicio, nunca entrando desde un correo electrónico ni mucho menos confirmando tu identidad y tus datos a través de esta vía.

Yolanda Ruiz Hervás

@yolandaruiz



Secuestran cuentas de Twitter de futbolistas durante la Supercopa

Categorias: redes sociales,Twitter | | 2 Comentarios » |

Mientras media España estaba viendo anoche la vuelta de la Supercopa entre el Real Madrid y el Fútbol Club Barcelona en el Santiago Bernabeu, en Twitter un misterioso usuario comenzaba a publicar sus comentarios en las cuentas de futbolistas conocidos. Casi desde el inicio del partido, las cuentas de Twitter de futbolistas como David De Gea, Rafael Márquez, Sergio Agüero, Daniel Alves, Bojan Krkic, Jonathan dos Santos, Javier Mascherano, Samir Nasri, Iker Muniain o Charlie Adam, entre otros, empezaron a publicar tweets que claramente no habían sido escritos por sus dueños.

Casi enseguida, los usuarios de Twitter empezaron a hacerse eco de esta situación y los hashtags #ReyPadorowsky y #Desmadrowsky2012 se hicieron un hueco entre los temas más comentados tanto en España como en otras partes del mundo. Al poco tiempo la cuenta del usuario Padorowsky fue suspendida, pero eso no evitó que siguiera haciendo de las suyas durante más tiempo.

No solo los futbolistas fueron víctimas de esta suplantación de identidad en sus cuentas de Twitter. También el cantante Pablo Alborán y el grupo La Oreja de Van Gogh fueron víctimas de este ataque, aunque recuperaron sus cuentas al poco tiempo como casi todos los restantes afectados.

Pero, ¿cómo es posible que tanta gente famosa haya sufrido un ataque de estas características al mismo tiempo? Aunque muchos de los comentarios de los usuarios hablaban de “hackeo” de esas cuentas (lo que significaría la existencia de un fallo de seguridad en Twitter), en el laboratorio de ESET en Ontinet.com nos decantamos por otra teoría menos sofisticada. Lo más probable es que los datos de acceso a estas cuentas hayan sido recopilados durante los últimos días o semanas, engañando a sus propietarios para que los introduzcan en páginas falsas de acceso a sus cuentas, algo no muy complicado y que, con un buen uso de la ingeniería social, puede engañar a cualquiera.

Con respecto al usuario que realizó esta suplantación de identidad, si indagamos un poco comprobaremos que no es la primera vez que lo hace. Ya a finales del año pasado realizó algo parecido con cuentas de políticos y famosos en México. Lo que desconocemos es si se trata de una única persona o de un grupo de individuos.

Si algo podemos aprender de este caso es que nadie está a salvo de sufrir un ataque similar. Basta con que nos despistemos un instante y no revisemos que esa página que simula ser la de Facebook, Twitter o cualquier servicio similar es auténtica para que nuestros datos de acceso caigan en malas manos y suframos las consecuencias.

Josep Albors

@JosepAlbors



Nuevo scam disfrazado de notificación de Facebook

Categorias: General | | Sin comentarios » |

Si estás en Facebook, seguro que más de una vez has recibido notificaciones de todo tipo, dependiendo de cómo las hayas configurado en el apartado de administración de la plataforma. Pero si lo que tienes en tu correo es un aviso de que alguien ha publicado una foto en la que apareces, ten cuidado con abrirlo, ya que podría ser un engaño.

El email aparenta ser de Facebook sin lugar a dudas e invita al usuario a descargar una foto que supuestamente viene adjunta. Al hacerlo, nos estaremos descargando un archivo zip que realmente instala un troyano en nuestro ordenador y que daría acceso y control externo a un cibercriminal.

El aspecto del email es el siguiente:

 ESET España : Nuevo scam disfrazado de notificación de Facebook

No es la primera vez que vemos este tipo de engaños circulando por la Red, y mucho nos tenemos que tampoco será la última, por lo que desde ESET España recomendamos a todos los usuarios que extremen las precauciones y que, en caso de recibir algún tipo de notificación de la conocida red social, accedan a través del propio portal en vez de utilizando el link que contenga el correo electrónico.

Yolanda Ruiz Hervás

@yolandaruiz



Hackers y aviones: nada bueno puede salir de esto

Categorias: Eventos,Hacking,Vulnerabilidades | | Sin comentarios » |

La cantidad de charlas interesantes a las que uno puede asistir en una conferencia como Defcon o Blackhat es tan elevada que se hace imposible verlas todas en directo, y a muchos de los asistentes no nos queda más remedio que ver el resumen en otros medios o esperar a que se publiquen los vídeos. Por suerte, no fue este el caso y pude asistir sin problemas y en primera fila a la presentación que dio el investigador Brad “RenderMan” Haines.

La verdad es que asistí a la charla con curiosidad y sin saber a ciencia cierta qué me iba a encontrar, pero los datos que Brad nos ofreció con mucho desparpajo (entre tragos de una bebida espirituosa que no llegué a discernir y que los organizadores de la Defcon le “obligaban” a tomar) cumplieron con creces todas mis expectativas.

Este investigador empezó a sentir curiosidad por las comunicaciones que emiten y reciben los aviones hace un par de años, cuando adquirió la aplicación Planefinder AR para su dispositivo móvil. Este tipo de aplicaciones permiten observar los vuelos que están pasando ahora mismo por encima de nuestras cabezas, además de proporcionar información detallada de estos,cómo la localización GPS o la dirección.

Pero claro, como todo buen investigador, sintió curiosidad sobre cómo podía una aplicación así obtener todos estos datos y mostrarlos prácticamente en tiempo real en la pantalla de nuestro dispositivo móvil. Es entonces cuando comenzó a investigar y descubrió que actualmente existe un plan para remplazar el antiguo sistema de control de tráfico aéreo y que incorpora importantes mejoras, no solo en la información enviada hacia y desde un avión, sino que también permitiría condensar más aviones en los conocidos como pasillos aéreos.

Esto implicaría un mayor número de aviones en vuelo y una mejor gestión de las aeronaves en los aeropuertos, además de ahorrar costes en los sistemas de control de tráfico aéreo, combustible, tiempo y aumentar la capacidad operativa de las aerolíneas.

Este sistema de nueva generación lleva implantándose poco a poco desde los años 90 y tiene previsto su implantación definitiva (con la consecuente desaparición del modelo antiguo) en el año 2020 (2030 en Europa).

La clave de esta nueva generación es el sistema ADS-B (Automatic Dependent Surveillance-Broadcast), que es de donde todas las aplicaciones de localización de vuelos como las que hemos comentado obtienen toda su información. Entre las posibilidades que ofrece encontramos la emisión de una importante cantidad de datos del avión (ID, altitud, posición, latitud/longitud, velocidad, etc.) o el poder hacer que los aviones vuelen más cerca entre sí (5 millas) sin riesgo de colisión, a la par que resulta muy útil en aquellas “zonas muertas” en las que la señal del radar no llega.

Este sistema se presenta en dos formas, ADS-B In y ADS-B Out, cada una con sus características, y que permiten obtener, entre otros, información en tiempo real del estado del tiempo o conocer la posición de otros aviones sin la intervención del control aéreo terrestre.

Hasta aquí todo parece perfecto y de color de rosa, pero en este punto, Brad se dedicó a investigar cómo de seguras son este tipo de comunicaciones, llevándose una desagradable sorpresa. Para empezar, todas las comunicaciones realizadas por este sistema se encuentran sin cifrar, permitiendo a cualquiera que escuche en la banda de los 1090Mhz interceptar las comunicaciones de los aviones en tiempo real.

Para ello, solo hace falta gastarse unos cuantos cientos de dólares en componentes para montar un equipo, aunque con los conocimientos necesarios se pueden modificar receptores de televisión por USB (que apenas cuestan 20 dólares) para recibir las señales ADS-B, realizando una funcionalidad para la que no fueron diseñados inicialmente (la esencia del hacking, al fin y al cabo).

Brad nos explicó algunos de los “ataques” que se podrían crear interfiriendo en este sistema ADS-B, y la comunicación que se realiza entre aviones y entre aviones y torres de control. Sin ánimos de alarmar demasiado a nuestros lectores, a continuación mostramos un listado resumido de algunos de estos posibles ataques:

  • Inyección de datos falsos en los sistemas ADS-B In de los aviones, de manera que se induzca a una reacción por parte del piloto o del piloto automático. Se podría crear aviones falsos en ruta de colisión que produjese una brusca maniobra por parte del piloto para esquivar este avión “invisible”.
  • Interferencia del GPS. Debido a la dependencia del sistema ADS-B del posicionamiento GPS, cualquier interferencia que alterase su correcto funcionamiento podría provocar serios problemas. Es fácil y muy barato (a partir de 20-30 dólares en algunas tiendas online) introducir un bloqueador de señales GPS en el equipaje.
  • GPS Spoofing: introducir señales GPS manipuladas para generar datos de longitud y latitud falsos. A partir de ese momento, la posición del avión deja de ser fiable, lo que puede terminar en un regreso temporal a la navegación tradicional o, en el peor de los casos, a dirigir remotamente un avión para que se dirija a donde el atacante quiera. Se sospecha que Irán pudo haber usado una técnica similar para capturar un drone del ejército americano el año pasado.
  • Inyección de tráfico falso en los sistemas de las torres de control para generar caos. En situaciones de alta actividad aérea, como pueden ser los pasados Juegos Olímpicos, introducir vuelos fantasmas puede llegar a colapsar la gestión del tráfico aéreo de una zona.

El problema viene cuando los investigadores que estudian este tipo de vulnerabilidades en sistemas tan críticos se encuentran con un silencio absoluto o un escueto “confíe en nosotros” como respuesta por parte del fabricante. Estamos hablando de un sistema que controla miles de vuelos diariamente y para el que ya existen exploits que pueden ser aprovechados de forma maliciosa.

Para llamar la atención sobre este problema, Brad nos obsequió con un vídeo en el que se puede ver cómo uno de sus colaboradores usa un simulador de vuelo para mezclar este vuelo virtual con vuelos reales. En el vídeo se observa cómo se puede seguir el rumbo y las “acrobacias” del avión, mostrándose como si fueran reales. No queremos imaginar lo que pasaría si alguien decidiese ir un poco más allá y empezara a mostrar falsos vuelos en ruta de colisión con otros aviones u objetivos estratégicos…

Como vemos, este sistema de nueva generación dista mucho de ser seguro y esperamos que presentaciones como la de Brad sirvan para que los responsables de implementar estos sistemas empiecen a realizar los cambios pertinentes. Al fin y al cabo, se corre mucho riesgo si se decide no actuar y mirar hacia otro lado mientras se confía en la “seguridad por oscuridad”, aunque se haya demostrado que, tarde o temprano, es ineficaz.

Josep Albors

@JosepAlbors



Cálico vuelve a la carga contra… ¡el hombre araña!

Categorias: Cálico Electrónico | | Sin comentarios » |

Cálico Electrónico no descansa jamás: ni vacaciones, ni fiestas, ni puentes… Bastante tiene ya el pobre con la que le ha caído con esto de ser súper héroe y salvar al mundo. Claro que… al paso que vamos y con las herramientas que le proporcionan, no nos extraña nada que no tenga descanso este hombre. ¿Seguro que el tal “Muzi” es amigo? Porque…

Porque es martes, porque toca, porque sabemos que lo esperas, porque nos encanta y porque sí, aquí tenéis: ¡una nueva tira en exclusiva de Cálico Electrónico!

ESET España - Cálico Electrónico 12

Eso sí, que nadie diga que no lo intenta, ¿eh? ;-)

La semana que viene, ¡más y mejor!

Yolanda Ruiz

@yolandaruiz

Josep Albors

@JosepAlbors



Vulnerabilidad crítica en Java RE 1.7. Desactiva Java

Categorias: exploit,Java,Vulnerabilidades | | 4 Comentarios » |

Las últimas horas han sido bastante ajetreadas en el mundillo de la seguridad informática y todo por una nueva vulnerabilidad crítica descubierta en la versión más reciente de Java RE (1.7). Todo empezó con la publicación de un artículo en el blog de FireEye donde se alertaba de la existencia de un exploit que estaba siendo aprovechado activamente. Usando de esta vulnerabilidad un atacante puede descargar software malicioso en el sistema del usuario sin su intervención. Tan solo hace falta que pulsemos sobre un enlace malicioso especialmente preparado para infectar a nuestro sistema.

La gravedad de esta vulnerabilidad se agrava mas aun tras comprobar que Oracle no ha lanzado ni tiene previsto lanzar en breve una actualización de seguridad que la solucione. La próxima ronda de actualizaciones del software de Java está prevista para octubre e, incluso si Oracle decidiera lanzar un parche fuera de ciclo, aun tardaría unos días, tiempo más que suficiente para infectar millones de máquinas.

Hasta el momento se ha comprobada que la única rama afectada del software de Java es la mas reciente 1.7, no afectando a versiones 1.6 y anteriores (aunque estas versiones tienen sus propias vulnerabilidades). Aunque al principio se pensó que esta vulnerabilidad afectaba únicamente a sistemas Windows, varios investigadores han comprobado que también funciona en sistemas Linux (Mozilla Firefox corriendo en Ubuntu) y Mac (Safari corriendo en Mac OS X 10.7.4) por lo que estaríamos ante una nueva amenaza multiplataforma.

De momento y debido a la ausencia de un parche de seguridad, la única recomendación posible (por muy extrema que parezca) es desactivar Java por completo en todos los navegadores que usemos. Tanto nuestros compañeros del blog de seguridad Security by Default como la Oficina de Seguridad del Internauta ya han publicado los pasos necesarios para desactivar Java, pasos que pasamos a reproducir a continuación:

Desactivar Java en Internet Explorer

1.- Acceder al menú Herramientas > Opciones de Internet

2.- Pestaña Programas > Administrar complementos

3.- Seleccionar la opción de mostrar Todos los complementos > Seleccionar Java Plug-in 1.7

4.- Pulsar sobre el botón Deshabilitar y cerrar la ventana

Desactivar Java en Mozilla Firefox

1.- Acceder al menú Herramientas > Complementos

2.- Acceder al apartado de Plugins

3.- Seleccionar todos aquellos elementos que pertenezcan a Java (pueden tener varios nombres)

4.- Pulsar sobre el botón Desactivar

Desactivar Java en Google Chrome

1.- Escribir “chrome://plugins/” en la barra de direcciones del  navegador para acceder al menú de plugins.

2.- Buscamos el plugin de Java y pulsamos sobre Inhabilitar

Desactivar Java en Safari

1.- Accedemos al menú Preferencias > Apartado “Seguridad”

2.- Desmarcamos la opción “Permitir Java”

Con estas medidas evitaremos que se instale malware en nuestro sistema si pulsamos por accidente en un enlace malicioso preparado por un atacante que se  esté aprovechando de esta vulnerabilidad. Pueden parecer medidas drásticas pero viendo la gravedad de esta vulnerabilidad 0-day, y sabiendo que ya ha sido incorporado un módulo en el conocido framework Metasploit, es mejor tomar todas las precauciones posibles ante la avalancha de malware que aprovecha esta vulnerabilidad que se nos viene encima.

Josep Albors

@JosepAlbors

Actualización: Según informan nuestros compañeros de ESET Latinoamérica, los primeros indicios indican que esta vulnerabilidad ha sido utilizada para propagar un troyano detectado por ESET NOD32 Antivirus como Win32/Poison.NHM. Además, el applet malicioso es detectado mediante una firma genérica como Java/Exploit.Agent.NDE. Al no existir un parche aún, se recomienda ser muy cuidadoso con los sitios y enlaces visitados. La próxima actualización de Java por parte de Oracle está programada para el próximo 16 de octubre, sin embargo, puede haber una excepción. Esperemos que por la seguridad de todos, así sea. Mientras, existe un parche no oficial que puede ser solicitado en Deep end Research.

Actualización 2: Oracle ha lanzado un parche que soluciona esta grave vulnerabilidad. Es altamente recomendable que se aplique esta actualización para evitar ser afectados por varios tipos de malware que han incluido esta vulnerabilidad como vector de ataque. El parche se puede descargar desde el enlace que se ha habilitado para tal efecto.



Cazadores de mitos: tengo un antivirus instalado, así que no puedo infectarme

Categorias: Educación | | Sin comentarios » |

Desde hace muchísimos años, todos luchamos por concienciar a nuestros usuarios en una labor ineludible: instalar un buen antivirus que proteja nuestro equipo contra todo tipo de amenazas, porque el usuario muchas veces no es consciente de que está siendo infectado. Un buen programa de seguridad hará por nosotros la labor de estar continuamente pendiente de los riesgos que podamos estar corriendo.

Pero lamentablemente, como muchos fabricantes llevamos años diciendo, la seguridad al 100% no existe. La lucha contra el cibercrimen es una carrera contra el reloj: tiene que haber un malo que cree una amenaza, la distribuya, llegue hasta nosotros de alguna manera y tenemos que ser capaces de detectar y neutralizar esta amenaza prácticamente en tiempo real, bien por reconocimiento del malware en sí (por fichero de firmas, como solemos llamar a nuestra base de datos de malware conocido), bien mediante tecnologías heurísticas que reconocen a un código malicioso por su comportamiento, sus trazas, porciones de código, etc.

Y todo esto sucede en un escenario en el que se crean, cada día, la friolera de 250.000 nuevos ejemplares de malware, que las casas de seguridad vamos detectando y neutralizando.

ESET España - Cazadores de mitos: tengo un antivirus instalado, así que no me puedo infectar

Ya existen tecnologías que nos permiten ir un paso por delante de los cibercriminales, pero, aun así, combatir absolutamente todas las amenazas que existen o que pueden llegar a existir es una labor bastante ardua.  Y digo ardua, pero no imposible, porque afortunadamente los investigadores de los laboratorios de seguridad cada vez somos más inteligentes desarrollando tecnologías capaces de cubrir un amplio abanico de amenazas.

Por lo tanto, el que un usuario tenga instalado un antivirus le proporciona una gran protección contra todo tipo de amenazas, pero no le inmuniza ante las nuevas tecnologías que utilizan los malos ni contra las técnicas cada vez más sofisticadas de ingeniería social. Pero si no lo tuviera, su ordenador estaría infectado en menos de tres minutos, simplemente con navegar, leer emails y utilizar las redes sociales.

En muchas ocasiones, basta con que un solo usuario haga clic en un link para que automáticamente la nueva creación comience a distribuirse, por lo que las posibilidades de éxito, al menos momentáneo, son bastante elevadas. Eso sí, una vez que nos llega a cualquier fabricante y lo detectamos, cualquier usuario que pudiera estar infectado gozará de una limpieza de cualquier rastro que el malware pudiera haber dejado en su ordenador.  Eso si no hemos sido capaces de detectarlo sin conocerlo con anterioridad con las tecnologías heurísticas mencionadas anteriormente.

En conclusión: aunque no podemos garantizar la seguridad al 100%, es absolutamente necesario contar con un buen software de seguridad antivirus instalado en nuestro ordenador si queremos evitar males mayores. La combinación de este software de seguridad con una buena educación y concienciación nos ayudará, sin duda, a mantenernos a salvo.

Yolanda Ruiz Hervás

@yolandaruiz



Correo sobre falso video de Julian Assange propaga Dorkbot

Categorias: Botnets,Filtraciones,Phishing | | 2 Comentarios » |

Desde el laboratorio de ESET en Latinoamérioca, nuestro compañero Fernando Catoira nos informa  de un correo electrónico en el cual se alega la existencia de un supuesto vídeo donde la policía de Gran Bretaña accede a la embajada de Ecuador con la finalidad de capturar a Julian Assange. Asimismo, el correo incluye un remitente falso indicando que el mismo, supuestamente, proviene de un importante diario de Ecuador.

El correo electrónico informa de la existencia de un supuesto vídeo donde se observarían imágenes de un operativo jamás visto por parte de la policía de Gran Bretaña accediendo a la embajada de Ecuador en el país anglosajón. Continuando con el engaño, al final del correo se provee un enlace hacia el supuesto vídeo pero, en realidad, se inicia la descarga de un archivo ejecutable que es detectado por ESET NOD32 Antivirus como Dorkbot. Este código malicioso corresponde a una botnet que tiene una fuerte presencia en Latinoamérica. El impacto de este malware en la región es muy alto y puede reflejarse en el post titulado Infografía dorkbot: más de 80.000 bots en países hispanohablantes. A continuación se observa una captura del correo recibido:

Realizando un análisis más profundo de la muestra se pudo comprobar que descarga un archivo con un listado de diferentes URLs correspondientes a distintos bancos. Su finalidad es redireccionar a la víctima que se ha infectado a sitios de phishing para así poder robar sus datos bancarios. El listado antes mencionado contiene diferentes bancos de gran relevancia pertenecientes a Ecuador, Colombia y Chile. A continuación se adjunta una captura que permite comprobar como la víctima es redirigida a un sitio que no es el verdadero:

Es importante que los usuarios tengan conciencia sobre la utilización de Ingeniería Social con temas sumamente actuales. Estas actividades convergen en el aumento de las probabilidades de infección debido al fuerte interés que genera en la potencial víctima. Es por esto que recomendamos a nuestros usuarios la lectura de la guía para identificar correos falsos así como también el post sobre ataques y realidades del phishing.

Josep Albors

@JosepAlbors



Detectada nueva variante de Zitmo en dispositivos móviles

Categorias: Android,Malware,telefonía | | Sin comentarios » |

Hace algunas semanas, nuestros compañeros del blog del laboratorio de ESET Latinoamérica compartían con sus lectores el análisis e informe de una variante de Android/Spy.Zitmo que permitía su control a través de mensajes de texto o el protocolo de comunicación HTTP. En los últimos días se informó de otra variante de este código malicioso, por lo que, desde el Laboratorio de análisis e investigación de ESET Latinoamérica, nuestro compañero Pablo Ramos lo analizó para explicar a nuestros lectores las diferencias entre estas dos variantes.

Uno de los primeros puntos a analizar en el caso de los códigos maliciosos para Android, son los permisos solicitados por la aplicación. En el caso de la variante anterior, que suponía ser una falsa solución de seguridad, eran necesarios una gran cantidad de permisos. Sin embargo, en esta nueva variante solo se solicitan al usuario permisos para enviar y recibir mensajes de texto.

En esta ocasión, para engañar al usuario la aplicación lleva el nombre de “Zertifikat”, que en alemán significa certificado. Esto se debe a que simula ser una aplicación de control para realizar transacciones bancarias desde los dispositivos móviles, en lo que se conoce como factor doble de autenticación. El objetivo de este tipo de procesos es agregar una capa extra de seguridad a las transferencias de dinero a través de la banca electrónica.

 La estructura interna del código malicioso es completamante distinta. Esta nueva variante cuenta con una sola función y tres BroadcastReceiver asociados a eventos tales como la carga del sistema operativo, el reinicio del sistema y, tal y como era de esperar, la recepción de mensajes de texto:

Otro punto a tener en cuenta es que el package de la aplicación también tiene un nombre diferente, en esta ocasión es com.security.service. De los tres BroadcastReceiver, el más importante es SmsReceiver, en donde se incluye todo el módulo de control de este código malicioso a través de los mensajes de texto.

Mediante una inspección más minuciosa de las capacidades de esta amenaza, podemos ver todos los métodos que incluye. El disparador es el método onReceive(), que se ejecuta cada vez que se recibe un mensaje de texto. Según las características del mensaje se puede definir cuál será el número de teléfono que pertenece al “botmaster”,  quien podrá activar y desactivar las funcionalidades del malware.

Para ejecutar cada una de las funcionalidades, el atacante debe enviar un mensaje de texto con un formato específico. En la última variante que se analizó desde el laboratorio de ESET Latinoamérica, los mensajes enviados por el botmaster debían comenzar con alguno de los símbolos “#”, “/”, “!” o “,”. En este caso, los mensajes que interpreta el malware son:

  • on: activa el reenvío de mensajes
  • set admin: permite definir el número al cual se van a enviar los mensajes.
  • off: deshabilita la función de reenvío de mensajes.

 Todos los mensajes que se reciban con este contenido no serán notificados al usuario, con el objetivo de evitar la detección de este malware en el teléfono del usuario.

 Más allá de las funcionalidades de esta nueva versión, es necesario tener en cuenta las diferencias entre las variantes de ZITMO que hemos estado analizando y de las que hemos informado en nuestro blog. Los cambios en la estructura y las acciones de estos códigos maliciosos cumplen siempre la misma función, pero con diferencias notables en su código. Debido a estas modificaciones, contar con una solución de seguridad proactiva en los Smartphones, como ESET Mobile Security, permite a los usuarios mantenerse protegidos de este tipo de amenazas.

Josep Albors

@JosepAlbors



Artículos Anteriores »

Atención: nuestra página utiliza cookies Al utilizar nuestro sitio web, consiente nuestra política de uso.

Aceptar y ocultar este mensaje