• Buscar

• Síguenos en Twitter

• Categorías

  • actualizaciones (24)
  • adware (3)
  • Anuncios (13)
  • Botnets (12)
  • Clickjacking (2)
  • Curiosidades (21)
  • Defacement (2)
  • Educación (50)
  • Estadísticas (3)
  • Eventos (11)
  • exploit (31)
  • General (18)
  • Hacking (23)
  • Herramientas (12)
  • Heurística (5)
  • Hoax (2)
  • Informes (6)
  • Ingenieria social (49)
  • Malware (147)
  • Phishing (31)
  • Piratería (4)
  • Productos (27)
  • redes sociales (26)
  • rogue (13)
  • Scam (1)
  • scareware (2)
  • seguridad (19)
  • Spam (63)
  • telefonía (2)
  • Tutoriales (18)
  • Vulnerabilidades (113)

• Archivos

  • Julio 2010 (36)
  • Junio 2010 (43)
  • Mayo 2010 (27)
  • Abril 2010 (26)
  • Marzo 2010 (14)
  • Febrero 2010 (16)
  • Enero 2010 (14)
  • Diciembre 2009 (7)
  • Noviembre 2009 (5)
  • Octubre 2009 (3)
  • Septiembre 2009 (3)
  • Agosto 2009 (8)
  • Julio 2009 (6)
  • Junio 2009 (2)
  • Mayo 2009 (4)
  • Abril 2009 (6)
  • Marzo 2009 (6)
  • Febrero 2009 (3)
  • Enero 2009 (3)
  • Diciembre 2008 (5)
  • Noviembre 2008 (5)
  • Octubre 2008 (10)
  • Septiembre 2008 (9)
  • Agosto 2008 (7)
  • Julio 2008 (8)
  • Junio 2008 (10)
  • Mayo 2008 (13)
  • Abril 2008 (12)
  • Marzo 2008 (7)
  • Febrero 2008 (5)
  • Enero 2008 (2)
  • Diciembre 2007 (7)
  • Noviembre 2007 (6)
  • Octubre 2007 (7)
  • Septiembre 2007 (9)
  • Agosto 2007 (3)
RSS Artículos | RSS Comentarios

Vulnerabilidad LNK es aprovechada por más familias de malware

En anteriores entradas hablando de la vulnerabilidad CVE-2010-2568, los investigadores de ESET ya comentaban como el malware tradicional no tardaría en aprovechar este nuevo vector de infección para propagarse. Pierre-Marc Bureau avisó la semana pasada de dos nuevas familias de malware que ya estaban aprovechándose de esta vulnerabilidad y estos últimos días hemos visto como otras familias se han adaptado para aprovecharla.

Nuestro compañero Jorge Mieres de ESET Latinomérica nos explica como uno de los packs de crimeware, conocido como Zombie Explotation Pack, ya ha incluido esta vulnerabilidad como vector de ataque del malware usado para infectar sistemas e incluirlos en las redes botnets creadas con este kit.

Asimismo, el código malicioso polimórfico de nombre Sality, conocido por modificar su código frecuentemente para evitar su detección, también se aprovecha de esta vulnerabilidad, usando páginas webs especialmente modificadas para esparcirse. Esta variante crea una serie de accesos directos .lnk y utiliza nombres típicos de carpetas del sistema o sugerentes.

Los investigadores de F-Secure también han descubierto como una nueva variante de Zeus (una de las botnets mas populares) también ha empezado a adaptar su código para incluir esta grave vulnerabilidad. Actualmente, se está usando un falso correo electrónico que dice venir del departamento de seguridad de Microsoft para infectar a los usuarios. Aunque esta variante es relativamente nueva, el exploit usado es conocido por muchas casas antivirus y permite su fácil detección. Asimismo, el hecho de que el usuario tenga que abrir el archivo adjunto e incluir un archivo de forma manual en una ubicación concreta del sistema hace que pierda efectividad.

Como hemos comentado en posts anteriores en los que tratábamos este tema, estamos en las primeras etapas de un vector de ataque que puede seguir usándose durante mucho tiempo, como lo fueron y siguen siendo las infecciones que usan la característica Autorun. Aunque Microsoft lance pronto un parche para solucionarlo, es más que probable que muchos usuarios no lo instalen hasta dentro de bastante tiempo y veamos cómo esta vulnerabilidad es aprovechada durante muchos meses, tal y como sucedió con Conficker.

Desde el laboratorio de ESET en Ontinet.com seguimos recomendando la descarga e instalación de un antivirus con capacidad de detección de amenazas que aprovechen esta vulnerabilidad como medida de protección básica.

Josep Albors

El cazador cazado

Cuando hablamos de creadores de malware, botmasters o spammers el usuario común piensa en expertos informáticos y genios del cibercrimen que campan a su antojo por la red. Esta imagen, muchas veces influenciada por una aproximación no muy realista realizada desde la industria del cine, dista bastante de la realidad en la mayoría de los casos. Existen mafias organizadas, cierto. Estructuras empresariales perfectamente organizadas con diversos departamentos y funciones claramente definidas como un departamento de creación de malware, otro de creación y modificación de webs y otro de administración y finanzas donde se gestionan todos los beneficios obtenidos.

Pero también existen los pequeños ciber-criminales solitarios o de grupos reducidos que quieren obtener un beneficio rápido de este tipo de actividades delictivas. Para este tipo de ciber-criminales, la herramienta que mejor cumple con sus objetivos son los kits de exploits, baratos, fáciles de usar y preparados para realizar su función tan pronto como se instalan. Estas aplicaciones pueden conseguirse por una cantidad variable que oscila entre los 300 y 4000 dólares aproximadamente (también hay promociones y descuentos periódicos) dependiendo de las funcionalidades o popularidad del kit. Una vez se consigue esta aplicación, el aprendiz de ciber-delincuente ya puede empezar a infectar equipos para formar su propia botnet o preparar sitios webs que se aprovechen de vulnerabilidades no corregidas cuando los visitan. Veamos la interfaz de acceso a uno de estos kits por cortesía de nuestro compañero Jorge Mieres.

No obstante, estos kits no son más que aplicaciones y, como tales, pueden tener errores y fallos de seguridad como así ha sido demostrado por un grupo de investigadores. Hasta 13 agujeros de seguridad han sido descubiertos en los kits de exploits mas conocidos y usados. Esto significa que se puede aprovechar alguna de estas vulnerabilidades para tomar control del panel de administración o robar la información almacenada relativa a las máquinas que han sido infectadas.

El estudio y aprovechamiento de estas vulnerabilidades puede servir a las fuerzas de seguridad para localizar al ciber-delincuente, recopilar pruebas en su contra y arrestarlo pero este no es el uso que se le da principalmente. Por irónico que parezca, quienes más aprovechan estas vulnerabilidades en los kits de exploits son los propios ciber-delincuentes, atacándose los unos a los otros. Esta situación que podría parecer absurda, tiene sentido si analizamos el ahorro de tiempo que para un ciber-delincuente supone robarle los ordenadores de una botnet a otro usuario de estos kits, en lugar de formar la suya propia o, por poner otro ejemplo, el robo de información sensible (números de tarjetas de crédito, datos de acceso a banca online, usuarios y contraseñas para acceder a otros servicios web, etc).

Así pues, podríamos concluir diciendo que nadie está a salvo en la red, ni los propios ciber-delincuentes, victimas ellos mismos de sus creaciones y de sus compañeros de “profesión”. Tal vez sería interesante que se descargasen e instalasen un buen antivirus para evitar ser atacados pero, por el bien del resto, preferimos que dediquen sus esfuerzos a pelearse entre ellos antes que a infectar a los usuarios.

Josep Albors

Usando Twitter para gestionar botnets

Cuando se trata de innovar, los creadores de malware suelen estar a la última. En su caso esta innovación se demuestra observando las técnicas usadas para propagar y controlar sus creaciones. De esta forma, los ciber-delincuentes han utilizado el servicio Twitter para poder gestionar una botnet. Aunque ya habíamos visto casos anteriores, por ejemplo en el artículo “Malware en las redes sociales”, en esta ocasión se proporcionan las herramientas y las instrucciones necesarias para que cualquier usuario, aunque posea unos conocimientos mínimos, pueda generar y controlar su propio ejército de ordenadores zombies.

Nuestros compañeros de ESET Latinoamerica han analizado una aplicación que permite generar un código malicioso para infectar a máquinas y añadirlas a la botnet. Posteriormente, el botmaster podrá controlar estas máquinas desde Twitter usando una serie de comandos.

Para conseguirlo tan solo se deberá contar con una cuenta de Twitter activada e introducir el nombre de dicha cuenta en la aplicación que genera el código malicioso. Como se puede observar, no se emplean conocimientos avanzados de programación ni técnicas complejas de hacking ni nada similar. Se trata de una utilidad al alcance de cualquier principiante, lo que la hace aun más peligrosa puesto que pueden haber miles de usuarios creando su propio malware y distribuyéndolo.

Una vez se ha generado el código malicioso, el atacante solo debe esparcirlo para que infecte al mayor número de usuarios posibles, bien sea adjuntándolo a algún correo electrónico, ubicándolo en alguna web preparada para tal efecto o cualquier otro vector de propagación que se crea oportuno.

Si un usuario ejecuta el código malicioso, entrará a formar parte de la Bonet del atacante, que podrá, a partir de ese momento, lanzar ordenes desde su cuenta de Twitter a todas las máquinas controladas de forma remota. Estas órdenes se lanzan mediante comandos como los que mostramos a continuación:

• El comando .DDOS*IP*PUERTO realiza un Ataque de Denegación de Servicio Distribuido (DDoS)
• Con .DOWNLOAD*ENLACE/MALWARE.EXE se descarga otro código malicioso
• .VISIT*ENLACE abre el enlace en el navegador del usuario
• El comando .REMOVEALL elimina automáticamente la información de la botnet y el perfil de Twitter

Nuestros compañeros de ESET Latinoamérica también han elaborado un vídeo donde se puede observar, paso a paso, todo el proceso de generación del malware, control de la botnet y tráfico generado desde la máquina de la víctima. Creemos que es un documento muy interesante para poder investigar el comportamiento de este tipo de malware por lo que lo reproducimos a continuación.

Como hemos observado, la creación de malware no está solo en manos de gente con experiencia. Con herramientas como la que hemos analizado en este artículo es posible reclutar un buen número de máquinas zombie sin apenas esfuerzo. Eso nos tiene que mantener alerta ante cualquier archivo sospechoso, aunque su remitente sea un conocido, puesto que es posible que su sistema haya sido comprometido y esté enviando malware sin saberlo.

Josep Albors

Propagan malware usando el nombre del BBVA

Parece que esta semana, los creadores de malware se han encaprichado con el banco BBVA. Si el pasado martes alertábamos de un nuevo caso de phishing hacia esta entidad, hoy nos encontramos que se está propagando malware desde correos y enlaces con su nombre. El ejemplo que vemos a continuación, nos muestra un correo cuyo remitente es, supuestamente, algún tipo de atención al cliente de esta entidad bancaria. En realidad es una dirección de correo suplantada usando técnicas de spoofing y no tienen nada que ver con el BBVA.

En ese correo se nos avisa del ingreso de una cantidad de dinero (varía con cada correo pero suele ser inferior a 100 euros) en nuestra cuenta. También se nos invita a pulsar sobre un enlace que, en teoría, nos muestra información adicional acerca de esta transferencia. No obstante, si pulsamos sobre ese enlace, accederemos a una web como la que mostramos a continuación:

En esa web se nos avisa de que no disponemos de la última versión de Macromedia Flash Player (aunque esto no sea cierto) y se nos invita a descargar un archivo ejecutable con una supuesta actualización para nuestro sistema. Es la misma técnica usada la semana anterior con enlaces que, presuntamente, nos mostraban fotos de un usuario.

Observamos como la url del enlace del que se produce la descarga, coincide (al menos en los primeros caracteres) con la de la entidad bancaria suplantada, pero se trata de un engaño ya que el dominio real apunta a Rusia.

Al intentar descargar el archivo ejecutable, el antivirus nos avisa de su verdadero contenido. En este caso se trata de un troyano usado para añadir equipos infectados a una red de máquinas zombies, lo que se conoce como botnet.

No nos cansaremos de repetir la importancia de revisar siempre los correos recibidos y los enlaces que nos envían. Pueden parecer auténticos o de remitentes confiables pero esto no es motivo para bajar la guardia. Nuestro sentido común y un buen antivirus nos pueden ahorrar muchas molestias si sabemos usarlos.

Josep Albors

Un poco de información sobre las botnets

Debido a varias noticias aparecidas recientemente en la que se hacía referencia a botnets que se han conseguido desactivar, varios conocidos me han preguntado cuál es la finalidad de estas redes de ordenadores infectados. En este post vamos a intentar explicar de forma clara y sencilla qué se esconde detrás de las redes de ordenadores zombies.

Muchos usuarios aún piensan que, si no tienen información importante, nadie se molestará en atacarles. Craso error. Ahora mismo, todos los usuarios de ordenadores tienen, como mínimo, tres cosas que pueden interesar a los ciberdelincuentes que crean y gestionan las botnets:

• La primera de ellas es el procesador de su máquina, que puede ser usado en beneficio de la botnet para ejecutar procesos no autorizados por el usuario.
• La segunda es la cantidad de memoria en el disco duro de la máquina, que puede ser usada para almacenar todo tipo de ficheros sin que el usuario lo sepa. Esto incluye diversas variantes de códigos maliciosos, software ilegal o incluso fotos de carácter pedófilo con las consecuencias penales que acarrean si se descubren en el ordenador infectado.
• Por último, la conexión a Internet de nuestro ordenador puede ser usada de múltiples maneras como enviar spam, códigos maliciosos o ataques de denegación de servicio.

Pero, ¿cómo obtienen beneficios los gestores de una botnet?. Hay múltiples maneras pero vamos a comentar las más frecuentes:

• Alquiler de la botnet a los spammers. Los spammers son quienes inundan nuestros buzones de correo no deseado. Se estima que, cerca del 90% del correo electrónico actual es considerado como spam. El gestor de una botnet puede alquilarla en su totalidad o parte de ella a un spammer para que esas máquinas se dediquen a enviar millones de correos electrónicos.
• Ataques de denegación de servicio (DoS). Si se es poseedor de una botnet lo suficientemente grande se puede hacer que las máquinas controladas empiecen a solicitar peticiones de conexión a ciertos servidores. Este ataque se usa cuando se quiere bloquear una web o dejar K.O. un servidor en concreto. Usados a gran escala pueden bloquear varios servidores críticos de empresas o gubernamentales, como ya ha sucedido.
• Propagación de malware. Las máquinas que están siendo controladas pueden servir como medio de almacenamiento y propagación de códigos maliciosos. Normalmente se usan kits de propagación que aprovechan las vulnerabilidades descubiertas más recientes para propagar malware de manera más eficaz, ya que aun hay muchos usuarios que no actualizan debidamente sus sistemas ni sus aplicaciones.
• Servidores de cracks, warez, pornografía y pedofilia. Los controladores de una botnet pueden usar el disco duro de los ordenadores que la componen para almacenar todo tipo de material ilegal que pueden vender y distribuir, siendo el usuario con el ordenador infectado el último responsable del almacenamiento de estos ficheros, aun sin saberlo. De esta manera, los ciberdelincuentes pueden seguir realizando sus actividades delictivas minimizando los riesgos de ser capturados.

Estos son solo algunos ejemplos. Existen otras maneras de obtener beneficios si se gestiona una botnet y, muy probablemente, en el futuro aparezcan más. Como usuarios, lo que debemos hacer es evitar que nuestro ordenador caiga en una de estas redes y eso se puede conseguir de las siguientes maneras:

• Teniendo un antivirus actualizado que, si bien no detectará el 100% de las infecciones, si que ayudará a detener la gran mayoría de ellas.
• Contando con un cortafuegos para bloquear las comunicaciones entrantes y salientes que generan los centros de control de las botnets y los clientes infectados. Así, aunque resultemos infectados, nuestro ordenador no podrá recibir órdenes desde el centro de control y quedará aislado del resto de ordenadores zombies.
• Aplicar el sentido común a la hora de abrir ficheros sospechosos adjuntos al correo, instalar falsos codecs que nos permiten ver supuestos vídeos o descargar archivos desde enlaces que no sean de nuestra confianza. Aunque, usando la ingeniería social, se puede engañar al más experto, en la mayoría de las veces, las técnicas usadas para propagar malware suelen ser muy genéricas y fáciles de detectar si nos paramos a pensar un segundo.
• Mantener nuestro sistema operativo actualizado ya que, muchas veces, los atacantes usan exploits que se aprovechan de vulnerabilidades no corregidas, o de aparición reciente, para las que el usuario aun no ha aplicado la actualización correspondiente.

Esperamos que esta breve descripción sobre la finalidad de las botnets haya servido para tomar conciencia de su verdadera peligrosidad y, sobretodo, ayuden a concienciar a los usuarios de la importancia de estar protegido para evitar caer en esas redes.

Josep Albors

Alarma social causada por un ciberataque

Varios son los medios de comunicación que se han hecho eco de un supuesto ciberataque a mas de 75.000 ordenadores en todo el mundo y que podría haber afectado a mas de 2500 empresas y administraciones. Algunos de estos medios han bautizado este ataque como Kneber Botnet aunque esta amenaza ya tenía otro nombre desde bastante antes.

Lo que ha causado tanta alarma (no muy justificada) no es sino otra botnet (relativamente pequeña, por cierto) formada por sistemas infectados por Zeus, una de las redes zombies mas popular en los últimos años. Este tipo de botnet, llegó a tener mas de 2 millones de usuarios en sus días de máximo apogeo, pero los esfuerzos de las autoridades consiguieron desactivarla en parte. En la actualidad, los controladores de este tipo de redes prefieren controlar una cantidad inferior de ordenadores zombies para pasar mas desapercibidos.

La creación y gestión de una botnet es más sencilla de lo que la mayoría de la gente piensa. No se requieren grandes conocimientos de informática y solo con tener el dinero necesario y saber donde buscar, se puede conseguir un pack con exploits y malware que se aprovechen de vulnerabilidades en sistema operativo y aplicaciones. Una vez conseguida esta herramienta se empieza a propagar el malware usando medios como el email o enlaces en webs maliciosas y, conforme los usuarios se van infectando, el controlador de la botnet (botmaster) puede gestionar todas las máquinas bajo su control mediante una interfaz conocida como C&C.

Una vez el botmaster posee una cantidad considerable de máquinas bajo su control, puede empezar a ordenarles una serie de tareas, dependiendo de sus objetivos. Puede lanzar ataques de denegación de servicio contra máquinas críticas como servidores web, alquilar esa red para el envío masivo de spam o seguir propagando malware. Estas actividades suelen reportar grandes beneficios a cambio de una escasa inversión inicial y pocos conocimientos técnicos por lo que son muchos los ciberdelincuentes que se dedican a estos menesteres.

Obviamente, para que un ordenador forme parte de una botnet primero ha de infectarse y es ahí donde entran las medidas de seguridad y el sentido común del usuario para evitar que esta infección se produzca. Puesto que una buena parte del malware actual está orientado a que nuestro sistema entre a formar parte de este tipo de redes zombies, resulta indispensable tomar conciencia de ello y protegernos adecuadamente.

Josep Albors

Ejemplo de aprovechamiento de la vulnerabilidad de Adobe

Como ya venimos indicando en estos últimos días, se está propagando multitud de malware aprovechando la vulnerabilidad no corregida (CVE-2009-4324) en productos de Adobe. En este caso nos encontramos con un ejemplo de descarga de malware mediante un enlace recibido a través de un correo electrónico como el que vemos a continuación:

Pulsando sobre ese enlace, accederemos a una dirección web preparada especialmente para descargar un archivo pdf malicioso de forma automática pero también invita al usuario a descargarse un ejecutable infectado con un troyano:

Este archivo aprovecha la vulnerabilidad descrita anteriormente y ejecuta código JavaScript en el sistema del usuario, pasando su máquina a formar parte de una botnet y siendo controlada por una aplicación web conocida como FSPACK.

Gracias a la colaboración de Jorge Mieres, experto analista de seguridad de ESET Latinoamérica, hemos conseguido extraer los ficheros .js y .swf que ejecutan la infección y acceder al panel de control de esta botnet:

Aunque la mayoría de mensajes que están propagando esta infección aun se encuentran en inglés no podemos bajar la guardia ya que no sería de extrañar que nos topásemos con ejemplos como el analizado en este artículo pero adaptados a los usuarios de habla hispana.

Para evitar ser infectados con estos métodos recuerden desactivar la función JavaScript en sus productos Adobe y contar con un antivirus actualizado capaz de detectar estas amenazas.

Josep Albors

Nuevos ataques a Facebook

Las redes sociales han experimentado un crecimiento muy elevado durante este año, lo que ha hecho que muchos creadores de malware se fijen en ellas para propagar sus creaciones. En nuestros laboratorios es bastante frecuente recibir correos supuestamente enviados desde redes como Facebook, Twitter, Tuenti o similares, intentando captar la atención de los usuarios para que ejecuten un fichero malicioso adjunto al correo, accedan a una pagina web que simula ser la de registro con la finalidad de robar datos de acceso u ofrecer enlaces de descarga de aplicaciones que resultan ser códigos maliciosos.

El caso mas reciente que hemos detectado simula ser un correo de Facebook desde el que se nos invita a acceder a nuestra cuenta para realizar supuestas mejoras en la seguridad. Los enlaces realmente redirigen a una descarga de un archivo malicioso que, en caso de ser ejecutado en nuestro sistema, lo infectaría, pasando este a formar parte de una red de ordenadores zombies.

Este tipo de mensajes es bastante habitual y se dirige a los usuarios de las redes sociales mas famosas. La solución para evitar caer en este tipo de trampas es acceder siempre a este tipo de sitios webs usando el navegador y escribiendo manualmente la dirección, nunca pulsando sobre los enlaces que nos aparezcan en los correos.

Además de estos ataques, las redes sociales tienen otro punto débil como es la privacidad de los datos que allí publican los usuarios. En la mayoría de los casos, configurando nuestra cuenta como privada y dando acceso únicamente a nuestros conocidos debería ser mas que suficiente pero algunos investigadores han demostrado que se pueden acceder a datos supuestamente privados de forma relativamente sencilla.

Así pues, ejemplos como el que se muestran en este otro blog, demuestran como se puede acceder a información privada usando una característica de Facebook que cualquier usuario puede utilizar. En este caso, la función usada es el FQL (Facebook Query Language).

Ante esta vulneración de la privacidad, lo mejor es evitar subir a este tipo de redes información sensible que pueda dañar nuestra imagen.

Josep Albors

Botnets en Mac

Tal y como hemos venido comentando en noticias anteriores de este blog, los usuarios de Mac (y, por extensión, de ningún otro sistema operativo) están exentos de sufrir ataques de malware. Hace poco nos hacíamos eco de la existencia de software troyanizado. Ahora parece ser que una de las finalidades de ese software infectado era crear una botnet de sistemas Mac, al estilo de las ya existentes en Windows.

Este es tan solo un ejemplo de que cualquier sistema puede ser vulnerable si no se toman las medidas necesarias para hacerlos seguro. No olvidemos que el actual sistema Mac/OSX es heredero de los sistemas UNIX y que, como sistema operativo que es, está diseñado para ejecutar aplicaciones (entre las que se incluyen códigos maliciosos).

Es por ello que, si bien el sistema en sí tiene un buen planteamiento de diseño y mejor administración de permisos de usuario que en Windows, todas estas medidas de seguridad pueden venirse abajo en un momento si el usuario no sabe gestionarlas o las ignora.

Igual que ocurre en la mayoría de malware actual para Windows, el malware para Mac requiere de una interacción del usuario, puesto que es este quien en última instancia ejecuta el código malicioso que infectará su sistema.

Es necesario, pues, crear una capa extra de protección basada en la educación de los usuarios para que sepan como evitar exponerse a riesgos innecesarios, educación que esperamos poder proporcionar desde este humilde blog.

Josep Albors
Diseño: Sonia Gandia

Malware de San Valentin

Siguiendo la tradición de enviar campañas masivas de propagación de códigos maliciosos en fechas señaladas, durante los últimos días se han detectado miles de mensajes spam que aprovechan la festividad de San Valentín para engañar a los usuarios.

Se cree que detrás de estos envíos masivos se encuentra la botnet Waledac (supuesta sucesora de la red Storm), capaz de generar y enviar más de 1000 variantes de malware al día. Estos ficheros infectados usan correos electrónicos que incluyen postales o e-cards con motivos románticos o de mascotas para generar confianza entre sus posibles víctimas.

Desde los enlaces que se incluyen en estas postales puede descargarse malware que infectará la máquina del usuario en caso de no estar debidamente protegida. Asimismo, también se pueden mostrar ventanas emergentes con avisos falsos indicando que la máquina se encuentra infectada y redirigiendo al usuario a sitios webs especialmente preparados, donde se le ofrecerán falsos antivirus previo pago.

Varios expertos opinan que la botnet Waledac encargada de propagar este tipo de malware es la sucesora de la famosa red Storm que se creía desaparecida desde el pasado otoño. No obstante, esta nueva red usa una cantidad significativamente inferior de máquinas zombies para no llamar tanto la atención y mejores técnicas de ofuscación para evitar ser desactivada. Waledac comparte con Storm aprovechar fechas señaladas para lanzar campañas de propagación masiva.

Una vez el código malicioso ha infectado una máquina procede a buscar direcciones de correo electrónico y contraseñas en el disco duro para, posteriormente, enviarlas al centro de control de la botnet.

Recomendamos a nuestros lectores desconfiar de aquellos correos que contengan este tipo de felicitaciones, aunque provengan de remitentes de confianza. No hay que olvidar que nuestros contactos pueden haber sido infectados y estar propagando este malware sin saberlo.

Josep Albors

Diseño gráfico: Sonia Gandía

Artículos Anteriores »