• Buscar

• Productos ESET

• Síguenos en Twitter

• Categorías

  • actualizaciones (68)
  • adware (5)
  • Android (20)
  • Anuncios (40)
  • Apple (30)
  • backdoor (7)
  • BlackHat SEO (5)
  • Botnets (57)
  • Cálico Electrónico (48)
  • certificados (4)
  • Clickjacking (9)
  • Curiosidades (54)
  • Cyberwar (21)
  • datos (33)
  • DDoS (17)
  • Defacement (18)
  • Educación (115)
  • email (11)
  • entrevista (7)
  • Espionaje (42)
  • Estadísticas (20)
  • Estudio (17)
  • Eventos (28)
  • exploit (100)
  • Facebook (56)
  • Filtraciones (74)
  • General (150)
  • Hacking (96)
  • hacktivismo (47)
  • Herramientas (26)
  • Heurística (6)
  • Hoax (4)
  • Humor (29)
  • Infografías (7)
  • Informes (28)
  • Ingenieria social (122)
  • Java (21)
  • Juegos (18)
  • Linux (1)
  • Mac (23)
  • Malware (289)
  • Mensajería (1)
  • PDF (2)
  • Phishing (73)
  • Piratería (7)
  • Privacidad (71)
  • Productos (41)
  • ransomware (9)
  • redes sociales (108)
  • rogue (26)
  • rootkit (2)
  • Scada (7)
  • Scam (26)
  • scareware (3)
  • seguridad (122)
  • sorteos (4)
  • Spam (146)
  • spyware (6)
  • telefonía (55)
  • timos (9)
  • Troyanos (34)
  • Tutoriales (23)
  • Twitter (9)
  • Unix (5)
  • Vulnerabilidades (284)

• Archivos

  • mayo 2013 (15)
  • abril 2013 (31)
  • marzo 2013 (28)
  • febrero 2013 (41)
  • enero 2013 (38)
  • diciembre 2012 (36)
  • noviembre 2012 (32)
  • octubre 2012 (43)
  • septiembre 2012 (43)
  • agosto 2012 (30)
  • julio 2012 (33)
  • junio 2012 (29)
  • mayo 2012 (22)
  • abril 2012 (12)
  • marzo 2012 (22)
  • febrero 2012 (21)
  • enero 2012 (26)
  • diciembre 2011 (17)
  • noviembre 2011 (19)
  • octubre 2011 (20)
  • septiembre 2011 (23)
  • agosto 2011 (24)
  • julio 2011 (18)
  • junio 2011 (16)
  • mayo 2011 (18)
  • abril 2011 (11)
  • marzo 2011 (18)
  • febrero 2011 (17)
  • enero 2011 (19)
  • diciembre 2010 (20)
  • noviembre 2010 (22)
  • octubre 2010 (27)
  • septiembre 2010 (30)
  • agosto 2010 (24)
  • julio 2010 (36)
  • junio 2010 (43)
  • mayo 2010 (27)
  • abril 2010 (26)
  • marzo 2010 (14)
  • febrero 2010 (16)
  • enero 2010 (14)
  • diciembre 2009 (7)
  • noviembre 2009 (5)
  • octubre 2009 (3)
  • septiembre 2009 (3)
  • agosto 2009 (8)
  • julio 2009 (6)
  • junio 2009 (2)
  • mayo 2009 (4)
  • abril 2009 (6)
  • marzo 2009 (6)
  • febrero 2009 (3)
  • enero 2009 (3)
  • diciembre 2008 (5)
  • noviembre 2008 (5)
  • octubre 2008 (10)
  • septiembre 2008 (9)
  • agosto 2008 (7)
  • julio 2008 (8)
  • junio 2008 (10)
  • mayo 2008 (13)
  • abril 2008 (12)
  • marzo 2008 (7)
  • febrero 2008 (5)
  • enero 2008 (2)
  • diciembre 2007 (7)
  • noviembre 2007 (6)
  • octubre 2007 (7)
  • septiembre 2007 (9)
  • agosto 2007 (3)
RSS Artículos | RSS Comentarios

De la saga “Así se arruina una vida para siempre en solo 10 segundos”, ahora llega “Descubren bruja real llorando captada en vídeo”

Igual te suena a sorna, pero no lo es. Hace solo cinco meses te alertábamos de un vídeo que estaba dando “la vuelta a Facebook” consiguiendo que miles de personas accedieran a dar todos sus datos, además de permitir a la aplicación en cuestión publicar en tu muro en tu nombre, y todo ello gracias a la ingeniería social de su título: “Así se arruina una vida para siempre en solo 10 segundos”.

De hecho, este vídeo debe de seguir moviéndose mucho, porque el post en el que te hablábamos de él es uno de los más visitados y leídos de los últimos meses. Pero bueno, a lo que vamos. El sistema les debe funcionar, porque ayer un seguidor de Facebook (gracias a Jesús Suso por el aviso) me hizo llegar un link que le sonó a extraño y que anunciaba un vídeo en el que “Descubren bruja real llorando captada en vídeo”.

Una vez hacemos clic para ver a la bruja (¡quién no quiere ver a una bruja de buena mañana !), automáticamente pasan dos cosas: se nos abren varias ventanas con publicidad instándonos a que nos registremos prometiendo los más variados premios, y una aplicación nos solicita permisos para instalarse en nuestro perfil, acceder a todos nuestros datos, de nuestros amigos, nuestro email y, si le dejamos, hasta la talla de ropa interior que gastamos o el número de zapatos .

La aplicación Boomnoticias, que hemos buscado en Facebook, tiene ya la friolera de casi 200.000 usuarios que la están utilizando:

En cuanto a las pantallas de publicidad, este es solo un ejemplo, pero abre muchísimas otras más que buscan siempre lo mismo: tus datos.

Y a todo esto, ¡¡todavía no hemos visto a la bruja!! Así que vamos a intentar llegar al anhelado vídeo por otro lado, y accedemos a la página de Boomnoticias. Pero mucho me temo que nos vamos a quedar con las ganas, porque cuando hacemos clic sobre el vídeo de la bruja, lo único que vemos son links de descarga de dudosas utilidades (¡vaya! nunca tengo problemas en ningún sitio para reproducir vídeos excepto en este tipo de páginas) y otras “tropecientas” ventanas que se nos han abierto otra vez instándonos a concursar, a que nos demos de alta en algún sitio, etc.

No es más que otro engaño para intentar conseguir tus datos y el acceso a tu perfil de Facebook, de forma que la aplicación va a publicar en tu nombre en tu muro para que tus amigos lo vean y llegar, de esta manera, a más víctimas.

La verdad, no sé si podré seguir viviendo sin ver a la bruja llorando , pero seguro que sí podré seguir adelante sabiendo que no le he dado mis datos a ninguno de estos sitios, porque luego llegan las sorpresas en forma de factura telefónica, spam a raudales o vaya usted a saber qué más.

¿Has caído?

Si has caído en el engaño, no hay mucha solución, porque tus datos ya están en sus manos. Pero puedes evitar que otros caigan desinstalando la aplicación. Si no recuerdas cómo, aquí te damos una pequeña guía:

• En la parte superior derecha de la pantalla tienes una pestaña llamada “Inicio”. Despliégala y haz clic en “Configuración de la privacidad”.
• Una vez has cargado esta pantalla, busca y haz clic en “Editar configuración” en “Anuncios, aplicaciones y sitios web”
• Te aparecerá una pantalla con una primera opción llamada “Aplicaciones que utilizas”. Haciendo clic en el botón “Editar la configuración” de nuevo accederás al listado completo de aplicaciones que utilizas y de forma individual puedes revisar qué permisos le has dado a cada una y puedes eliminarla.

¡Ah! Y si en una de estas te enteras de por qué llora la bruja, ¡cuéntanoslo!

¡¡Feliz jueves, trop@!!

Yolanda Ruiz

Smartphones y aplicaciones sociales ¿privadas?

He tenido la oportunidad de probar un móvil nuevo, aunque solo fue un ratito. Para poder “juguetear” con él, saqué la tarjeta SIM de mi antiguo móvil y la puse en el nuevo. Se supondría que el antiguo móvil quedaría “inutilizado”.

Pues no. Ya hemos dicho muchas veces que un móvil no es más que un ordenador desde el que se pueden hacer llamadas. Y un ordenador como tal no necesita para nada una tarjeta SIM.

Con el teléfono sin tarjeta SIM pude hacer muchas cosas, y todas preocupantes. ¿Twitter? Perfecto. ¿WhatsApp? Sin problemas. ¿Facebook? Como si nada. ¿LinkedIn? A tope. Es decir, ninguna de estas aplicaciones depende de la tarjeta SIM para funcionar, son únicamente programas de ordenador, no “programas de teléfono”.

Desgraciadamente, el móvil que me habían dejado era solo para un rato, y el rato se acabó. Tuve que devolvérselo a su dueño (con gran dolor de mi corazón) y mi viejo móvil recuperó su tarjeta SIM. No hubo ningún cambio con la situación anterior, simplemente me pedía el PIN para poder acceder a la tarjeta y ya tenía, además de todo lo que tenía antes, la posibilidad de hacer y recibir llamadas.

Este hecho es alarmante, sobre todo para aquellas personas que tengan un  mínimo de preocupación por su seguridad. Si el teléfono móvil lo perdemos (o peor, nos lo roban), estamos en un serio apuro. Lo más lógico que deberíamos hacer es hablar con nuestro operador y comunicarle el robo. Ellos se encargarán de dar de baja nuestra tarjeta SIM para que no esté operativa, no se puedan hacer llamadas desde el teléfono y evitar sustos a la hora de pagar facturas.

Además habría que indicar al operador el código IMEI del teléfono, de manera que el teléfono quede inutilizado. Sí, gracias al código IMEI (es único para cada teléfono) podemos evitar que se use no ya solo con una tarjeta SIM nueva, sino que no se podrán hacer llamadas en ningún operador. Ese aparato queda inutilizado telefónicamente hablando. Si no conocéis el IMEI, simplemente hay que marcar (como si fuera un teléfono al que queréis llamar) *#06#, y el teléfono os mostrará el código, es un número de 15 o 17 cifras. Conviene que lo conozcáis y tengáis apuntado.

Pero un momento… Estos procesos solo nos aseguran que el teléfono no funciona. ¿Qué pasa con la parte “ordenador” del aparato? Nada. Seguirá funcionando como el primer día. Simplemente le hemos bloqueado una parte de sus funciones, pero no las demás. Seguirá funcionando la conexión Wi-Fi, los archivos seguirán estando, la memoria funcionará… Nada ha cambiado.

Y no ha cambiado nada, efectivamente, se puede acceder a cualquier App. Mal hecho. Cuando nos instalamos una App “social”, damos por hecho que no habrá que escribir nuestro nombre de usuario y contraseña para empezar a trabajar con ellas. Error. Y gordo. Si perdemos el teléfono, estamos regalando a alguien nuestra vida social. “Pues le cambio la contraseña”, se suele pensar. Puede que sea tarde y ya lo haya hecho el nuevo propietario del teléfono, pero puede que nos dé igual.

Tal y como mostró hace tiempo nuestro amigo Dabo, mientras tengas una sesión en Twitter iniciada en un sistema (puede ser el ordenador o el teléfono), da igual que cambies tu contraseña en otro sistema. La sesión que iniciaste seguirá estando activa, a pesar del cambio. Es decir, el usuario del teléfono perdido puede seguir Twitteando en tu nombre aunque no lo quieras.

Para que la pérdida o el robo de un teléfono no suponga un auténtico quebradero de cabeza, deberemos tener un sistema que nos permita bloquearlo a distancia, de manera que el que lo encuentre no pueda hacer nada con el teléfono. Y, además, deberemos poder borrarlo para que la información personal almacenada quede a salvo. Y eso es tan sencillo como instalar ESET NOD32 Mobile Security.

Fernando de la Cuadra

Nuevo gusano se propaga por Skype y Google Talk usando acortadores de enlaces

Durante el día de ayer, nuestros compañeros del laboratorio de ESET Latinoamérica lanzaron una alerta de seguridad informando de una amenaza que estaba propagándose rápidamente por sistemas de mensajería como Skype o Google Talk. Esta amenaza, detectada por las soluciones de seguridad de ESET como Win32/Gapz.E, está consiguiendo un alto índice de infecciones, especialmente en países de Latinoamérica y otros como Rusia, Estados Unidos o Alemania.

Por lo que respecta a la situación en España, hemos empezado a detectar también casos (pocos, por el momento) de usuarios de nuestro país que nos alertan de mensajes sospechosos enviados por algunos de sus contactos y que incluyen menciones a unas supuestas fotos junto con un enlace acortado para poder descargarlas. Veamos un ejemplo:

Tal y como alertaban ayer nuestros compañeros de ESET Latinoamérica, los acortadores de enlaces utilizados para propagar esta amenaza son varios e incluyen tanto el propio acortador de Google (goo.gl) como estos otros:

• bit.ly
• ow.ly
• urlq.d
• is.gd
• fur.ly

Aunque en principio se pensó que esta amenaza tan solo se propagaba usando Skype, como en anteriores ocasiones, también se observó cómo el sistema de mensajería Google Talk también era utilizado para propagar enlaces maliciosos. Esto parece indicar que los ciberdelincuentes detrás de esta campaña piensan utilizar todas las posibilidades para propagar sus amenazas al máximo número de usuarios posible.

Es importante destacar la rapidez con la que esta amenaza se está propagando por varios países. Si bien en España aún son pocos los casos detectados, el hecho de que el mensaje utilizado para convencernos de pulsar en un enlace malicioso se encuentre también en español puede facilitar la propagación de este malware en todos los países de habla hispana.

Nuestros compañeros apuntan a que ya son más de 300.000 los usuarios afectados en Latinoamérica, cifra que no nos extraña tras comprobar que algunos de los enlaces maliciosos propagados conseguían miles de visitas en poco tiempo.

Entre las muestras que hemos analizado propagándose también hemos detectado una serie de ficheros .HTA. Este tipo de ficheros están directamente relacionados con los ficheros .HTML, aunque la mayoría de navegadores no los reconocerá como algo que puedan mostrar y aparecerá un cuadro de diálogo preguntando qué deseamos hacer, tal y como vemos a continuación:

El problema con los ficheros .HTA es que también pueden ser abiertos como un fichero ejecutable .EXE, con todo el peligro que ello supone en un sistema que no cuente con las medidas de protección adecuadas.

De hecho, en alguna de las muestras de ficheros .HTA que hemos analizado, hemos detectado lo que parecería ser una recopilación de sistemas infectados por esta amenaza, insertados dentro del código del archivo en forma de comentarios. Además, dentro del código se observa cómo se intenta modificar el registro, cómo la amenaza intenta replicarse en el sistema si no está presente y otras funciones más que aún estamos analizando.

Es, en definitiva, una nueva amenaza que utiliza servicios de mensajería para propagarse y que está consiguiendo un elevado número de infecciones por varios países de todo el mundo. Si bien la técnica usada no es nada novedosa, la reciente desaparición del Messenger como sistema de mensajería puede que haya sido aprovechada por los ciberdelincuentes para pillar a usuarios desprevenidos de otros sistemas de mensajería.

Ante esta situación lo mejor es permanecer alerta, evitar pulsar sobre enlaces acortados no solicitados generados por sistemas de acortamiento de enlaces públicos (por mucho que vengan de contactos de confianza) y mantener nuestro antivirus actualizado para detectar cualquier nueva variante de malware que se intente propagar usando esta técnica.

Josep Albors

Datos del fichero analizado:

MD5 : 727172b7accdb144474dd1449a52d067

HASH SHA1: 6fb5334e1064aedbdf32dfef38b22115fe7d7597

Ataques dirigidos en Asia utilizan ejecutables firmados para conseguir su objetivo

Nuestro compañero Jean-Ian Boutin, investigador en los laboratorios de ESET, ha publicado un interesante artículo sobre una nueva amenaza dirigida a infectar ordenadores en Pakistán, aunque también se incluyen otros países, entre ellos España. A continuación ofrecemos una traducción y adaptación del texto original.

En los últimos meses hemos analizado una campaña de ataques dirigidos que intentó robar información confidencial de diferentes organizaciones de todo el mundo, pero especialmente en Pakistán. Durante el transcurso de nuestras investigaciones descubrimos varias pistas que indicaban que esta amenaza tenía su origen en India y ha estado activa durante dos años por lo menos. Nuestra investigación empezó con un certificado de firma de código y un exploit, ampliándose el alcance de la investigación desde entonces.

Certificado de firma de código

Para realizar parte de esta campaña de ataques se utilizó un certificado de firma de código para poder firmar archivos ejecutables y mejorar su potencial para propagarse. Este certificado fue otorgado a finales de 2011 a una empresa India llamada Technical and Comercial Consulting Pvt. Ltd., con sede en Nueva Delhi.

Cuando empezamos nuestra investigación comprobamos que el certificado había sido retirado para aquellos archivos firmados después del 31 de marzo de 2012. Contactamos con VeriSign con pruebas de que este certificado había sido usado de forma maliciosa desde que fue generado y este se retiró de forma rápida e incondicional. En total, encontramos más de 70 ejecutables maliciosos que habían sido firmados usando este certificado. Debido a que cada muestra firmada viene con una marca de tiempo autorizada, nos es posible dibujar una línea temporal que representa cuándo fueron producidos estos archivos.

Imagen 1: línea temporal de las fechas de firmado. Las líneas negras representan la fecha de firma de una muestra.

A partir de la información recopilada descubrimos que los atacantes se encontraban firmando códigos maliciosos de forma activa desde marzo hasta junio de 2012. Así pues, hay un hueco en la línea temporal desde principios de julio hasta principios de agosto de 2012. Posteriormente vimos un pico en el uso de certificados (aunque este ya había sido retirado) en agosto y septiembre de 2012. Hay varias posibles explicaciones acerca de por qué hay un hueco durante el verano de 2012, pero es probable que sea debido a que tanto los atacantes como sus objetivos estuviesen de vacaciones.

A pesar de que la investigación comenzó con este certificado de firma de código, luego descubrimos varias muestras similares sin firmar que fueron usados en esta campaña. Algunos de ellos fueron recopilados en fechas tan lejanas como comienzos de 2011.

Documentos señuelo y descargadores de malware

El primer vector de infección que vimos usaba la famosa vulnerabilidad CVE-2012-0158. Esta vulnerabilidad puede ser explotada aprovechando un documento de Microsoft Office especialmente modificado y permite la ejecución de código arbitrario. En el caso que analizamos se ejecutaba un shellcode en dos fases cuando el usuario abría un documento RTF. Primero el shellcode envía información sobre el sistema al dominio feds.comule.com y luego descarga un binario malicioso desde digitalapp.org.

El otro vector de infección que encontramos usaba ficheros PE camuflados como documentos de Microsoft Word o PDF, siendo distribuidos mayoritariamente por email. Cuando el usuario ejecuta el archivo el programa malicioso descarga y ejecuta archivos maliciosos adicionales (hablaremos de esos ejecutables más adelante). Para evitar cualquier sospecha por parte de la víctima se muestra al usuario un señuelo en forma de documento Word. Hemos identificado varios documentos diferentes con diferentes temáticas.

Una de esas temáticas eran las fuerzas armadas de la India. No contamos con información interna que nos pueda decir que organizaciones o individuos eran los objetivos de estos ficheros. No obstante, basándonos en nuestras métricas de detección, asumimos que tanto algunas personas como instituciones de Pakistán fueron considerados como objetivos.

El texto en el primer documento parece ser un la unión de información de varias fuentes. El falso documento PDF fue entregado mediante un archivo autoextraíble llamado “pakistandefencetoindiantopmiltrysecreat.exe”:

Este otro documento PDF fue entregado mediante un ejecutable llamado “pakterrisiomforindian.exe”:

En este caso, el texto proviene del blog de Defensa Asiática, un blog que agrega noticias sobre ejércitos de Asia. Nuestros datos telemétricos muestran que este fichero fue observado por primera vez en agosto de 2011 en un sistema de Pakistán.

Payloads

Encontramos varios tipos diferentes de payloads instalados por los descargadores de malware, todos ellos orientados a robar datos desde un ordenador infectado y enviarlos a los servidores de los atacantes. La siguiente tabla agrupa los ejecutables en diferentes familias y detalla sus características generales.

 

Categoría	Descripción
Descargador	Descarga los ejecutables desde centros de mando y control y los ejecuta.
Extractor de documentos	Busca y roba documentos (csv, pdf, doc, docx, xlsx, etc) encontrados en la papelera de reciclaje y en la carpeta “Mis Documentos”.
Recopilador de información del sistema	Envía información sobre el sistema infectado al centro de mando y control usando peticiones GET. Utiliza WMI para reunir información sobre el sistema infectado como: antivirus instalado en la máquina, versión del SO, presencia de archivos a robar, etc.
Keylogger	Registra las pulsaciones del teclado y envía el registro al servidor del atacante utilizando peticiones POST.
Captura de pantalla	Realiza una captura de pantalla del escritorio y lo envía al centro de mando y control.
Terminal de conexión remota	Intenta conectarse de forma continua a una dirección IP establecida y permite que el atacante abra una consola de comandos de forma remota.
Herramientas públicas	Encontramos dos herramientas públicas (WebPassView y MailPassView) de  NirSoft firmadas con el certificado malicioso. Estas herramientas legítimas pueden ser usadas para recuperar contraseñas usadas en clientes de correo o almacenadas en los navegadores.
Autoreplicación usando medios extraíbles	Monitoriza cúando se introduce un medio extraíble en el sistema y copia en ellos diferentes ficheros con malware. Intenta engañar al usuario para que ejecute uno de los ficheros copiados renombrándolo con el nombre de una carpeta existente y ocultando esta última.

La información robada de un ordenador infectado se sube a un servidor del atacante sin cifrar. La decisión de no utilizar cifrado es desconcertante, considerando que añadir un cifrado básico es algo realmente sencillo y proporciona una ofuscación adicional a la operación. La imagen a continuación muestra un registro típico del keylogger:

Los logs son muy detallados y muestran la ventana activa, los caracteres que se han pulsado y las teclas especiales entre corchetes. Dado que estos registros se envían sin cifrado alguno es fácil detectar la presencia de un ordenador infectado en la red examinando el tráfico de red HTTP.

En términos de persistencia, muchos de los ejecutables que hemos analizado añaden una entrada en el menú de Inicio de Windows con un nombre engañoso. La captura que mostramos a continuación muestra un ejemplo de esto:

A pesar de que esta técnica permite a los diferentes componentes de esta amenaza ser iniciados tras cada reinicio del sistema, no puede ser considerada como de ofuscación. Debido a que los ataques dirigidos suelen permanecer ocultos durante tanto tiempo como sea posible, nos sorprendimos al ver la técnica utilizada en este caso.

Infraestructura del centro de mando y control

Muchos de los ejecutables analizados contienen una URL desde la cual se descargan componentes adicionales o a la que se envían los archivos robados desde un sistema infectado. En ocasiones, la URL el centro de mando y control aparece sin cifrar en el ejecutable. Otras veces, se encuentra codificado de forma trivial utilizando una sencilla rotación de un carácter (ROT-1), tal y como se observa a continuación:

“gjmftbttpdjbuf/ofu” encrypted to “filesassociate.net”

Hemos descubierto más de 20 dominios relacionados con esta campaña. A pesar de que algunos aún mostraban un registro de DNS activos, la mayoría de ellos no resolvían una dirección IP. Usando datos históricos de estos dominios fuimos capaces de descubrir dónde se alojaban estos sitios. Resulta que casi un tercio de estos dominios se encontraban alojados por OVH. Este servicio de hosting web tiene fama de alojar algunos sitios con malware y spam. En un reciente informe de HOSTExploit fue colocado en la posición número 5 de 50 por la concentración de actividad maliciosa servida desde un Sistema Autónomo.

La mayoría de los nombres de dominio son muy parecidos a los de sitios web reales o a nombres de empresas. Esta es una táctica común que intenta ocultar la verdadera finalidad del centro de mando y control. Dos ejemplos serían  “wearwellgarments.eu” y “secuina.com”. Los ejemplos anteriores son muy parecidos a la web real conocida como  “wearwellgarments.com” y a la conocida empresa de seguridad Secunia.

 

Orígenes de los ficheros maliciosos

Analizar esta campaña nos permitió identificar unos cuantos indicadores clave que apuntaban al origen geográfico de estos archivos maliciosos. Creemos que todos ellos provienen de India. Para empezar, el certificado de firma de código fue generado por una empresa India. Adicionalmente, todas las fechas de las firmas de los ejecutables son entre las 5:36 y las 13:45 UTC, lo que concuerda con los turnos de trabajo de 8 horas que se encuentran entre las 10:06 y las 19:15 en la hora estándar local de la India. Esto puede parecer algo tarde pero, considerando que la firma del ejecutables es el último paso en su desarrollo, es muy probable que los autores de este malware estuviesen viviendo en esta zona horaria.

También encontramos varias cadenas en los binarios que están relacionadas con la cultura hindú. En varios scripts se utiliza una variable llamada ramukaka:

Ramu Kaka es el típico sirviente doméstico al estilo de Bollywood. Considerando que esta variable es responsable de conseguir la permanencia en el sistema, esta definición está bastante acorde.

El argumento más revelador lo encontramos en nuestros datos telemétricos. Encontramos que muchas de las variantes de malware ligadas a esta campaña aparecieron en la misma ubicación a lo largo de un periodo de tiempo muy corto. Cada variante solo contaba con diferencias mínimas de otras anteriores, sugiriendo fuertemente un intento por parte del creador de malware para evadir la detección por parte de nuestros productos. Estos ficheros aparecieron en la misma región de India.

Estadísticas de la infección

Nuestros datos telemétricos muestran que Pakistán se encuentra fuertemente afectado por esta campaña. El siguiente gráfico muestra la distribución de las detecciones que hemos observado para todos los archivos maliciosos que hemos relacionado con esta campaña en los últimos dos años.

Gracias a la captura de información realizada desde tres nombres de dominio utilizados por esta campaña también fuimos capaces de recopilar estadísticas de la localización geográfica de los hosts infectados.

Tal y como se puede observar, la distribución regional presentada en los anteriores gráficos es muy diferente. Ucrania y Kazajistán reúnen tres cuartas partes de las direcciones IP observadas durante la operación de captura de información. Esta diferencia puede explicarse por la posibilidad de que los dominios únicos son solo para suboperaciones específicas de esta campaña. Si este fuera el caso, la información recopilada que estamos viendo sería solo una visión muy parcial de toda la campaña.

Conclusión

Este artículo ha examinado la evidencia de una campaña de ataques dirigidos de largo alcance y con diferentes objetivos en todo el mundo. Nuestro análisis indica que toda la campaña se originó en India. A pesar de que hemos visto infecciones en todo el mundo, parece que el objetivo principal es Pakistán. Los ataques dirigidos son demasiado comunes estos días pero este es ciertamente destacable por su fallo a la hora de utilizar herramientas avanzadas para realizar sus ataques. La ofuscación de las cadenas de texto usando una rotación de caracteres simple (un simple cifrado de cambio de letra), la no utilización de cifrado en la comunicación de red, la permanencia en el sistema conseguida mediante el menú de Inicio y el uso de herramientas existentes de acceso público para recopilar información de los sistemas infectados demuestran que los atacantes no realizaron muchos esfuerzos para ocultar su rastro. Por otro lado, probablemente no necesitaron utilizar técnicas de ofuscación porque los métodos sencillos siguen funcionando.

Josep Albors

Hashes SHA1

CVE-2012-0158 RTF Document:                  3b1d9d65159bea24ab1060e5603f9e3c2d38d08d

pakterrisiomforindian.exe:                   d859f1cf99049f89258c1faa59dcd97f587e45ac

pakistandefencetoindiantopmiltrysecreat.exe: 1db89237ef786c7f22a8d4cd7eccda8f6286a6de

Downloader:                                  08ce405f0a0277de355454862b164ffd94a7ea36

Document uploader:                           DB22E7DEA0C1CAF203072693485DE4E4FD2CB56A

System information gathering:                0D610F3F51750EADCF426E10E6DE5313605400FA

Keylogger:                                   AE7B9CFB10CD65B98C59DC012D6726B66BE92897

Screenshot:                                  A0DD0B8FD0C98E917BFDC96182088CAB5505CCD2

Connect-back shell:                          09D4ECA67B1D071E57C5951D97FE9DD9C62F1580

Self-replication through removable drives:   20A29D1F89C07BAFBB4C61CE208531D68125C8E

Nombres de las amenazas

A continuación mostramos los nombres según ESET de las amenazas relacionadas con este caso:

Win32/Agent.NLD worm

Win32/Spy.Agent.NZD trojan

Win32/Spy.Agent.OBF trojan

Win32/Spy.Agent.OBV trojan

Win32/Spy.KeyLogger.NZL trojan

Win32/Spy.KeyLogger.NZN trojan

Win32/Spy.VB.NOF trojan

Win32/Spy.VB.NRP trojan

Win32/TrojanDownloader.Agent.RNT trojan

Win32/TrojanDownloader.Agent.RNV trojan

Win32/TrojanDownloader.Agent.RNW trojan

Win32/VB.NTC trojan

Win32/VB.NVM trojan

Win32/VB.NWB trojan

Win32/VB.QPK trojan

Win32/VB.QTV trojan

Win32/VB.QTY trojan

Win32/Spy.Agent.NVL trojan

Win32/Spy.Agent.OAZ trojan

Descubierto nuevo malware para Mac que captura la pantalla de la víctima

El malware para Mac sigue aumentando y, cada cierto tiempo, se descubren nuevas amenazas para los ordenadores de Apple. Una de las amenazas detectadas recientemente fue descubierta durante la celebración del Oslo Freedom Forum, un evento organizado precisamente para ayudar a protegerse a los activistas de varias organizaciones de espionaje gubernamental.

Fue en ese foro donde el investigador Jacob Appelbaum detectó algo sospechoso en el ordenador Mac de uno de los activistas, y que resultó ser una nueva amenaza para este sistema. Este malware tiene funciones de puerta trasera y está diseñado para robar información del ordenador infectado. Se instala en el sistema como una aplicación de nombre “macs.app” que se ejecuta automáticamente después de que el usuario se haya registrado en el sistema.

Un dato importante es que este malware se encuentra firmado con un identificador de desarrollador de Apple, algo que permitiría a esta amenaza sobrepasar algunas medidas de protección de Mac como la prevención de ejecución de ficheros conocida como Gatekeeper.

Nuestros compañeros de F-Secure han estado echando un ojo a esta amenaza y han descubierto algunos datos curiosos, como que el malware realiza capturas de pantalla periódicamente y las guarda en una carpeta del sistema de nombre MacApp.

A pesar de que este malware no se encuentra, ni mucho menos, extendido y su eliminación es relativamente fácil, demuestra el interés creciente de algunos ciberdelincuentes (o incluso gobiernos) por infectar a usuarios de Mac. Es importante aplicar las medidas de seguridad básicas independientemente del sistema operativo que estemos usando, medidas que incluyen utilizar el sistema con privilegios limitados, actualizar periódicamente el sistema y las aplicaciones instaladas, no descargar aplicaciones de sitios que no inspiren confianza, contar con una solución antimalware con cortafuegos y, sobre todo, aplicar el sentido común.

Josep Albors

 

Perfiles personales y páginas falsas en Facebook: herramienta cada vez más frecuente de scammers, timadores y ladrones

Lamentablemente, y cada vez más, recibimos consultas de usuarios o de administradores de páginas cuyos perfiles han sido copiados por timadores, spammers o intimidadores. El escenario  más común y que se repite con más frecuencia es que alguien copia el nombre, la foto de perfil y otras fotos disponibles de la víctima.

Después, bloquea a la persona a la que está robando la identidad, o bien a la empresa en cuestión, y envía invitaciones a los amigos de las víctimas utilizando cualquier tipo de excusa: bien que le han bloqueado el perfil, o que tiene un nuevo perfil profesional o cualquier otra razón que resulta hasta creíble. Una vez que ha llevado a cabo esta misión, el timador tiene un montón de posibilidades a su alcance, ya que puede…

1. Hacerse con una mina de datos provenientes de las cuentas de las que ha conseguido hacerse amigo gracias al perfil falso. Incluso aunque tu configuración de seguridad y de privacidad esté definida para que solo tus amigos vean tus contenidos, al aceptar al perfil falso como amigo, estarás realmente en riesgo, ya que al fin y al cabo es un amigo más.
2. También puede recopilar información de forma que pueda llevar algún tipo de acción enfocada a engañar a familiares o amigos con lo que se conoce como “Grandma Scam”, o el timo de la abuela. El timador contacta con personas cercanas a la víctima y les dice que está en algún tipo de problema mientras está de vacaciones, o que le han arrestado o cualquier otra excusa. Para resolver el problema, necesita dinero urgente, que necesitará recibir cuanto antes vía cualquier método de pago.
3. Igualmente, esta técnica está siendo ampliamente utilizada para enviar links a amigos y familiares que llevan a spam, a otro timo, o a contenido que puede descargar más de una sorpresa. El objetivo es que el contenido, al provenir de una fuente conocida, consigue mayor viralidad e impacto de la forma más rápida. Por esta vía estamos viendo, típicamente, mensajes promocionando milagrosas píldoras dietéticas, tarjetas de felicitación gratuitas o links que redirigen a los usuarios a ver fotos o vídeos. Son las más comunes, pero no las únicas, ya que la ingeniería social siempre está en continua evolución.

Desgraciadamente, los estafadores desconocidos no son los únicos que crean perfiles duplicados y páginas. También hay muchos matones o “ex” cabreados que a menudo crean perfiles falsos con la intención de humillar o acosar a su víctima.

¿Qué tipo de precauciones puedes tomar?

1. Si recibes una petición de amistad de un amigo al que ya tienes en tu red, no la confirmes hasta que puedas verificar de alguna manera si realmente la invitación la ha enviado la persona que dice ser. Contacta con esa persona de alguna manera, bien por teléfono, por email, etc. Evidentemente, si aceptas la solicitud y posteriormente intentas hacer alguna comprobación, el timador va a engañarte.
2. Las fotos de perfil y las de portada de tu timeline de Facebook son públicas por defecto, y no se pueden cambiar. Así que la única recomendación que te podemos dar es que no publiques una foto tuya (justamente lo contrario a lo que hacemos todo), sino de algo que te identifique pero que no contenga tu imagen personal. De esta forma, aunque te la roben, no podrán hacerse pasar por ti. Como todo en esta vida, lo que es bueno para una cosa es malo para otras, porque es evidente que es muy cómodo tener nuestra cara de foto de perfil.
3. Asegúrate de que las opciones de privacidad y de seguridad de tu perfil están configuradas de la forma adecuada, de forma que solo tus amigos directos, y no los amigos de tus amigos, tengan acceso a ver tus fotos, vídeos, etc.
4. Edita tu lista de amigos, de forma que nadie más que tú pueda ver quiénes son tus amigos. Hacerlo es muy sencillo: entra a tu perfil y haz clic en el link del recuadro de tus amigos. A continuación, haz clic en “Editar” (esquina derecha) y verás un menú que te permite configurar quién puede ver tu lista de amigos.

 

¿Qué tienes que hacer si te das cuenta de que un perfil falso te está suplantando tu identidad?

• Informa del perfil o página falsa a Facebook a través de cualquiera de los siguientes links:
  • ¿Cómo denuncio una cuenta falsa que se hace pasar por mí o por un personaje público?
  • ¿Cómo puedo denunciar una cuenta falsa que se hace pasar por uno de mis amigos?
  • ¿Qué hago si alguien me ataca o acosa en Facebook?
  • ¿Qué tengo que hacer para solicitar información sobre la biografía de un impostor?
  • Deseo crear un nombre de usuario para un personaje público, una marca o una empresa al que represento, pero ya lo ha solicitado otro usuario. ¿Qué puedo hacer?
• Comunica a tus amigos actuales la existencia del perfil falso. De esta manera, puedes prevenirles y evitar que sean víctimas del timador.
• Contacta a las autoridades locales. Ya existen leyes que regulan el robo de identidad online, el acoso y el ciberbulling.

Esperamos que no os haya pasado y que nunca os pase, pero por si acaso…

Yolanda Ruiz

Correo con falso MMS de Vodafone propaga troyano

El uso de marcas reconocidas por parte de los ciberdelincuentes es algo que viene usándose desde hace tiempo. No obstante, no por estar más habituados a este tipo de engaño debemos bajar la guardia, ya que basta un simple despiste para pulsar donde no debemos e infectar nuestro sistema.

Durante el día de hoy hemos recibido en nuestro laboratorio varias muestras de un correo sospechoso cuyo remitente decía ser la empresa de telecomunicaciones Vodafone. En ese correo se hace alusión a un número de teléfono móvil perteneciente a un usuario de España (nótese el código regional +34 antes del número en sí) y nos informa de la posibilidad de visualizar mensajes MMS en nuestro móvil o en un fichero adjunto como el que nos mandan en ese mismo correo.

Obviamente, por mucho que el mensaje diga que procede de Vodafone, nosotros somos desconfiados por naturaleza, así que lo primero que hemos hecho ha sido analizar la cabecera completa del mensaje, donde hemos comprobado que, a pesar de camuflarse el remitente con un dominio vodafone.es y que en el identificador del mensaje también se haga mención al dominio principal vodafone.com, la dirección de retorno del mensaje apunta a una dirección de Facebook.

Esto es un indicio claro de que se está intentando utilizar el buen nombre de una marca conocida para ganarse la confianza de los usuarios, sabedores de que la mayoría de ellos no llegará a revisar la cabecera completa del mensaje.

Si caemos en el engaño y descargamos el fichero adjunto que se nos proporciona observaremos al descomprimirlo que este cuenta con una doble extensión. Esta técnica, a pesar de ser muy rudimentaria, sigue engañando a muchos usuarios, y si se complementa con un icono que represente a una imagen, más aún (aunque no es el caso en esta ocasión).

Si ejecutamos el fichero proporcionado por el falso correo de Vodafone infectaremos nuestro sistema con un troyano que las soluciones de seguridad de ESET identifican como el troyano Win32/TrojanDownloader.Wauchos.I.

En nuestro laboratorio ya habíamos analizado casos de correos similares a este en inglés a finales del año pasado y principios de este. Esta campaña debe de haber resultado provechosa para los ciberdelincuentes, puesto que ahora la han adaptado a los usuarios españoles traduciendo el texto, incorporando números de teléfono españoles y haciendo mención a la filial española de Vodafone.

Ante este tipo de amenazas, lo mejor es desconfiar de aquellos mensajes que adjunten ficheros sospechosos no solicitados, más aun si estos provienen de una operadora de telefonía que no tenemos contratada. Esta simple medida de seguridad nos puede ayudar a evitar más de una  infección, con las molestias que eso acarrea.

Josep Albors

 

Roban 45 millones de dólares aprovechando vulnerabilidades en tarjetas de débito

Los ladrones de bancos modernos han dejado atrás las pistolas, máscaras y otros métodos más tradicionales y directos y los han cambiado por técnicas más ingeniosas y con menos riesgo aparente. Como muestra del uso de la tecnología a la hora de cometer este tipo de delitos, tenemos la reciente detención en Estados Unidos de varios sospechosos de lo que podría tratarse del mayor ciberatraco conocido hasta la fecha.

El robo, que se produjo en varios cajeros automáticos repartidos en 27 países, demostró la existencia de varias vulnerabilidades en el actual sistema de seguridad financiera. En una operación que duró apenas diez horas todos los miembros de la banda repartidos por varios países lograron retirar de varios cajeros alrededor de 40 millones de dólares, cantidad que se sumó a otros cinco millones obtenidos en una operación similar realizada en diciembre.

Todo esto fue posible gracias a una intrusión que los ciberdelincuentes realizaron en diciembre y febrero en dos empresas en la India y Estados Unidos, encargadas de procesar tarjetas de crédito y débito. Tras acceder a los ordenadores de estas empresas, los cabecillas de esta banda consiguieron modificar tanto la cantidad disponible como el límite de extracción de dinero de varias tarjetas de débito Mastercard asociadas con dos bancos de Emiratos Árabes Unidos.

Una vez obtenidas las tarjetas modificadas, estas fueron repartidas a todos los miembros de la banda repartidos por varios países para, seguidamente y con una metodología bien estudiada, conseguir retirar de multitud de cajeros automáticos la nada despreciable cantidad de 40 millones de dólares en apenas 10 horas. En total, se produjeron más de 40.000 peticiones de retirada de efectivo en 27 países en las dos operaciones realizadas por esta banda.

Este robo ha demostrado los agujeros de seguridad presentes en los sistemas de seguridad financiera, más aun si tenemos en cuenta que muchos países siguen utilizando tarjetas de crédito y débito que tan solo incorporan una banda magnética y no cuentan con un chip (más seguro pero no infranqueable).

Las operaciones delictivas como esta y otras similares, a pesar de parecer algo más propio de las películas que de un caso real, son algo a lo que, por desgracia, deberemos habituarnos, a no ser que se tomen las medidas necesarias tanto por las entidades bancarias como por parte de los usuarios de banca online.

Josep Albors

Lanzamos el nuevo ESET Secure Authentication

Ayer compartimos con nuestros colegas periodistas el lanzamiento de un nuevo producto que viene a complementar nuestra gama de soluciones corporativas: ESET Secure Authentication, un nuevo sistema de autenticación con doble factor y contraseña de un solo uso para redes corporativas. La solución es muy sencilla de utilizar y proporciona una capa adicional de seguridad en el proceso de autenticación de los usuarios desde sus dispositivos móviles, además de la validación habitual con usuario y contraseña.

ESET Secure Authentication es compatible con iPhone, Android, Blackberry, Windows Phone 7 y 8, Windows Mobile y sistemas basados en J2EE. La solución soporta autenticación basada en mensajes de texto, por lo que se puede utilizar incluso en teléfonos antiguos que no puedan instalar la aplicación.

Cada vez son más las incidencias que tenemos relacionadas con la seguridad y privacidad de nuestros dispositivos móviles, ya que hay una alta probabilidad de perderlos o de que sean robados. Si no protegemos los dispositivos, corremos el riesgo de que cualquiera pueda acceder a toda nuestra información como si fuéramos nosotros mismos. Este problema puede ser mayor si el dispositivo lo usamos para trabajar e incluye los accesos a los diferentes servicios de la red corporativa.

ESET Secure Authentication permite el acceso seguro a las redes corporativas desde estos dispositivos. Su funcionamiento es muy sencillo: cuando el usuario necesita validarse, genera una contraseña que sirve para un solo uso y que garantiza el acceso al usuario a la red corporativa con mayor protección de la habitual.

Ventajas y beneficios

ESET Secure Authentication es fácil de instalar y configurar. La solución se integra por defecto con la mayoría de servicios y protocolos más utilizados. Ofrece protección para Outlook Web Access/App y RADIUS. El nuevo producto ha sido especialmente revisado y probado con Windows Server (2003, 2003 R2, 2008, 2008 R2 y 2012).

Soporte para las plataformas móviles más populares: los usuarios utilizan mayormente dispositivos modernos que cuentan con sistemas como iPhone, Android, BlackBerry, Windows Phone 7 y 8, Windows Mobile y teléfonos basados en J2ME. La autenticación se realiza mediante una aplicación que el usuario descarga en su terminal de manera sencilla. Una vez instalada, permite al usuario generar contraseñas seguras de un solo uso. También se puede obtener las claves enviando un mensaje SMS en el caso de que el dispositivo del usuario no soporte la instalación de aplicaciones.

Entorno de gestión y mantenimiento conocido (MMC y ADUC plugin): los administradores pueden gestionar ESET Secure Authentication desde entornos tan familiares como Active Directory y Microsoft Management Console (MMC).

Soluciona el problema de:

• Contraseñas débiles que pueden ser interceptadas.
• Contraseñas creadas por el usuario que no son una combinación aleatoria de varios caracteres y símbolos, pudiendo ser adivinadas fácilmente.
• Reutilización de contraseñas destinadas para acceder a la información de la empresa en cuentas privadas.
• Contraseñas que contienen información personal del usuario, por ejemplo, nombre, fecha de nacimiento, etc.
• Modelos simples para crear nuevas contraseñas tales como “peter1″, “peter2″, etc.
• Acceso a la información de la empresa en caso de pérdida o robo de dispositivos móviles e itinerantes.

Configuración automática: la instalación de la aplicación en el dispositivo móvil es simple y sencilla, ya que el usuario solo necesita hacer clic en un enlace de un mensaje de texto.

El doble factor de autenticación

Esto que suena tan complicado, es en realidad muy sencillo. Y ayer, en la rueda de prensa que hicimos, se lo demostramos empíricamente a los periodistas para que entendieran muy bien a qué nos referíamos: junto con la confirmación del sitio donde se celebraba, les enviamos vía SMS un código, sin decirles nada más. Dicho código era la contraseña de una caja fuerte pequeñita que les regalamos y que albergaba un dispositivo USB con toda la información del producto y unas nubes de azúcar .

Así que para obtener la documentación, tuvieron que utilizar la llave que les proporcionamos de la caja fuerte, pero también la clave que les habíamos enviado al teléfono por SMS.

Fue una comida de lo más agradable en un céntrico sitio de Madrid, que disfrutamos con amigos con los que llevamos compartiendo noticias muchísimos años.

Y por cierto, y hablando del sitio, era un restaurante de la conocida Casa de América de Madrid, el Palacio de Linares que se hizo muy famoso hace muchos años por supuestamente tener entre sus paredes a un fantasma (bueno, mejor dicho, a una fantasma) llamada Raimunda. Pues bien, no creemos en la superchería, pero mi teléfono móvil se volvió loco y esto es lo que aparecía cuando intentaba acceder al correo…

Igual tenemos que inventar algún producto contra fantasmas digitales .

¡Feliz viernes a todos!

Yolanda Ruiz

Nueva funcionalidad de seguridad en Facebook: “Contactos de confianza”

Facebook ha añadido una nueva funcionalidad de seguridad que, según dicen, ayudará a los usuarios que han perdido su cuenta de email o que no pueden recuperar su password: los “Contactos de confianza”. Como su propio nombre indica, consiste en que el usuario designe entre tres y cinco amigos, contactos de su total confianza, que serán los que puedan acceder a la cuenta en el caso de que su propietario no pueda hacerlo.

Esta funcionalidad ya comenzaron a probarla en 2011, y recientemente la han rediseñado, mejorado y le han puesto nombre: “Contactos de Confianza”. Esta nueva funcionalidad, sin embargo, todavía no está implementada en todas las cuentas (al menos, en la mía todavía no).

“Con los contactos de confianza, no necesitas recordar la respuesta a tu pregunta de seguridad o rellenar largos formularios para probar que eres tú. Siempre vas a poder recuperar tu cuenta con la ayuda de tus amigos”, dicen en el propio Facebook. “Elige a la gente que quieras, como a amigos a los que les dejarías las llaves de tu casa, y notifícarselo mejor en persona que por email”.

En el caso de que tengas un problema con el acceso a tu cuenta, cada uno de tus contactos de confianza recibirá un código con instrucciones para ayudarte a recuperarla. Necesitarás al menos tres códigos que se habrán enviado a tus contactos de confianza para poder volver a entrar a Facebook.

La medida está bien, y una vez más, la vida real se traspasa a la virtual. La verdad es que actualmente dudo mucho que todos nosotros tengamos a ese amigo de confianza a quien darle las llaves de casa, pero a la familia seguro que sí. Cuando vi la noticia, por un segundo pensé que solo hacía falta un código para entrar, por lo que automáticamente pensé que sería muy sencillo que alguien no tan amigo pudiera entrar sin nuestro permiso. Pero si se necesitan tres códigos, la cosa cambia.

Aunque se podría dar el caso de que los tres contactos se conozcan entre sí y se pongan de acuerdo para bloquear una cuenta, acceder a ella y cambiar el password o mil y una tropelías. Sí, ya sé que es una posibilidad remota, pero es una posibilidad al fin y al cabo. No quiero recordarte la cantidad de problemas derivados del acoso a través de redes sociales, sobre todo cuando se trata de “ex” cabread@s, divorcios o malas jugadas orquestadas entre varios.

Porque de la tecnología, no te puedes fiar. Pero muchas veces, de los amigos, tampoco.

Yolanda Ruiz Hervás

Artículos Anteriores »