• Buscar

• Síguenos en Twitter

• Categorías

  • actualizaciones (45)
  • adware (4)
  • Android (2)
  • Anuncios (30)
  • Apple (12)
  • BlackHat SEO (5)
  • Botnets (41)
  • Cálico Electrónico (1)
  • Clickjacking (7)
  • Curiosidades (38)
  • datos (9)
  • DDoS (3)
  • Defacement (7)
  • Educación (72)
  • entrevista (5)
  • Espionaje (11)
  • Estadísticas (9)
  • Eventos (14)
  • exploit (66)
  • Facebook (16)
  • Filtraciones (25)
  • General (59)
  • Hacking (58)
  • hacktivismo (19)
  • Herramientas (18)
  • Heurística (6)
  • Hoax (3)
  • Humor (1)
  • Informes (16)
  • Ingenieria social (98)
  • Juegos (5)
  • Mac (10)
  • Malware (243)
  • Phishing (59)
  • Piratería (7)
  • Privacidad (20)
  • Productos (36)
  • ransomware (3)
  • redes sociales (65)
  • rogue (25)
  • rootkit (1)
  • Scada (4)
  • Scam (21)
  • scareware (2)
  • seguridad (80)
  • sorteos (2)
  • Spam (123)
  • spyware (2)
  • telefonía (33)
  • Troyanos (12)
  • Tutoriales (19)
  • Unix (1)
  • Vulnerabilidades (197)

• Archivos

  • mayo 2012 (13)
  • abril 2012 (12)
  • marzo 2012 (22)
  • febrero 2012 (21)
  • enero 2012 (26)
  • diciembre 2011 (17)
  • noviembre 2011 (19)
  • octubre 2011 (20)
  • septiembre 2011 (23)
  • agosto 2011 (24)
  • julio 2011 (18)
  • junio 2011 (16)
  • mayo 2011 (18)
  • abril 2011 (11)
  • marzo 2011 (18)
  • febrero 2011 (17)
  • enero 2011 (19)
  • diciembre 2010 (20)
  • noviembre 2010 (22)
  • octubre 2010 (27)
  • septiembre 2010 (30)
  • agosto 2010 (24)
  • julio 2010 (36)
  • junio 2010 (43)
  • mayo 2010 (27)
  • abril 2010 (26)
  • marzo 2010 (14)
  • febrero 2010 (16)
  • enero 2010 (14)
  • diciembre 2009 (7)
  • noviembre 2009 (5)
  • octubre 2009 (3)
  • septiembre 2009 (3)
  • agosto 2009 (8)
  • julio 2009 (6)
  • junio 2009 (2)
  • mayo 2009 (4)
  • abril 2009 (6)
  • marzo 2009 (6)
  • febrero 2009 (3)
  • enero 2009 (3)
  • diciembre 2008 (5)
  • noviembre 2008 (5)
  • octubre 2008 (10)
  • septiembre 2008 (9)
  • agosto 2008 (7)
  • julio 2008 (8)
  • junio 2008 (10)
  • mayo 2008 (13)
  • abril 2008 (12)
  • marzo 2008 (7)
  • febrero 2008 (5)
  • enero 2008 (2)
  • diciembre 2007 (7)
  • noviembre 2007 (6)
  • octubre 2007 (7)
  • septiembre 2007 (9)
  • agosto 2007 (3)
RSS Artículos | RSS Comentarios

Microsoft desactiva la botnet Kelihos

Microsoft se toma en serio la lucha contra el malware, incorporando nuevas medidas de seguridad en sus sistemas operativos, pero también luchando contra una de las amenazas más activas hoy en día: las botnets.

En anteriores ocasiones, Microsoft ya colaboró activamente en la desactivación de botnets famosas, como la operación que deshabilitó la botnet Rustock en marzo y Waledac el año pasado. En esta ocasión ha sido Kelihos, la red de ordenadores zombis compuesta por alrededor de 41.000 sistemas infectados, la que ha sido desactivada.

Esta botnet era responsable, entre otros, del envío diario de cerca de 3.800 millones de correos spam y de ayudar a propagar el scareware Macdefender, que tantos quebraderos de cabeza dio a los sistemas de Apple en mayo.

La desactivación de esta botnet se ha conseguido desconectando los ordenadores infectados de los servidores de control y comando, lo que hace que los sistemas afectados dejen de realizar actividades maliciosas. Asimismo, Microsoft ha emprendido acciones legales contra el ISP que albergaba los dominios empleados por la botnet y publicado una nueva versión de la herramienta de eliminación de software malintencionado para desinfectar los sistemas afectados.

Desde el laboratorio de ESET en Ontinet.com creemos que acciones como esta ayudan a hacer de Internet un lugar más seguro y previenen que el malware se extienda sin control, aunque nunca está de más ayudar a que esto se produzca protegiendo nuestro sistema con una solución antivirus y usando el sentido común.

Josep Albors

Spitmo. Nuevo troyano afecta a dispositivos Android

Parece que los creadores de malware están orientando, cada vez más, sus creaciones a los dispositivos móviles, especialmente hacia aquellos que usan el sistema Android. Siendo la plataforma más usada en la actualidad, es también lógico que sea la más atacada, y vemos cómo amenazas propias de los sistemas operativos usados en nuestros ordenadores van migrando a los dispositivos móviles.

Si este verano hablábamos de una variante de la botnet Zeus para dispositivos Android, ahora es el turno de otra familia de malware conocida como SpyEye. Estos códigos maliciosos son conocidos por robar datos de operaciones bancarias online y engañar a los usuarios, haciéndoles creer que están realizando operaciones válidas, pero que terminan con el dinero en las manos de los ciberdelincuentes.

Conforme esta clase de transacciones han pasado de realizarse en nuestro ordenador a hacerse en dispositivos móviles, como teléfonos o tabletas, los creadores de este tipo de amenazas han sabido adaptarse a dicho nuevo entorno. Así pues, estamos reviviendo en los dispositivos móviles actuales las infecciones que afectan a nuestros ordenadores desde hace años.

La técnica usada para infectar nuestros dispositivos no es nueva, y usa una página web falsa de una entidad bancaria en la que se nos solicita la instalación de una aplicación de seguridad para evitar la intercepción de mensajes. Obviamente, esta aplicación realiza justamente lo contrario y, a partir de ese momento, todos nuestros mensajes SMS serán interceptados, incluyendo aquellos que nos envía nuestra entidad bancaria y que tienen como finalidad tanto actuar como verificar la identidad del usuario y recibir su autorización cuando se realizan operaciones bancarias.

Este variante de SpyEye orientada a dispositivos móviles está siendo analizada con detalle por varios investigadores, que comparan sus características con malware ya existente y similares funcionalidades como ZitMo. Si algo se puede extraer de sus conclusiones, es que toda esta clase de malware evoluciona muy rápidamente.

Desde el laboratorio de ESET en Ontinet.com analizamos la evolución del malware en dispositivos móviles y hemos observado un importante crecimiento en los últimos meses, tanto en el número de muestras como en su complejidad. Parece claro que el nuevo campo de batalla serán nuestros teléfonos móviles y tablets, por lo que conviene estar protegido con soluciones como ESET Mobile Security.

Josep Albors

Variante de Zbot se propaga desde webs legítimas españolas

La propagación de troyanos con finalidad de infectar equipos y que estos pasen a formar parte de una botnet es una de las amenazas más comunes en la actualidad. Se usan varias estrategias para conseguir infectar el usuario aunque, como vamos a ver, hay algunas que se mantienen, muy probablemente debido a que su porcentaje de éxito es lo suficientemente elevado.

Durante el día de ayer empezamos a recibir una serie de correos en español que usaban la conocida técnica de adjuntar enlaces para la descarga de una supuesta factura o documento importante. Los detalles a tener en cuenta son que los correos tenían como remitente cuentas de correo reales y los enlaces correspondían a dominios españoles que habían visto su seguridad comprometida y estaban albergando malware sin saberlo.

Este tipo de técnica fue usada hace unos meses y en este mismo blog la sometimos a un análisis a fondo. La técnica usada en esta ocasión apenas ha sufrido variaciones, mientras que la utilización de dominios españoles comprometidos sigue siendo la más importante. Si pulsamos sobre el enlace proporcionado en el correo, comprobaremos cómo se produce la descarga del archivo comprimido que contiene la amenaza a nuestro disco.

Hay que destacar que entre los enlaces comprometidos hay dominios de todo tipo, incluyendo un portal web de centros educativos que pertenece al Gobierno de una comunidad autónoma española. Cabe destacar que la mayoría de enlaces que se vieron comprometidos ya han sido bloqueados, pero estamos observando nuevas variantes activas desde esta pasada madrugada que utilizan nuevos enlaces.

Tras la descarga del archivo comprimido a nuestro disco y realizar su descompresión, nos encontramos con la burda pero efectiva técnica de la doble extensión, de manera que el usuario cree haber descargado un archivo PDF cuando, en realidad, es un ejecutable. No obstante, en las muestras recibidas el icono usado es el de Java en lugar del de un visor PDF como Adobe Reader o Foxit Reader, por lo que puede ser una ayuda para que el usuario desconfíe del archivo.

Obviamente, si contamos con una solución antivirus actualizada, esta amenaza debería ser bloqueada nada más pulsemos sobre el enlace. En el caso de las soluciones de seguridad de ESET, el archivo malicioso se identifica como Troyano Win32/Spy.Zbot.YW.

Tal y como hemos visto, los ciberdelincuentes se dedican a explotar una y otra vez aquellas técnicas que han tenido éxito en el pasado. Con solo un par de retoques es fácil que los usuarios vuelvan a caer en la trampa, engañados por enlaces que parecen de confianza.

Es por este motivo que, desde el laboratorio de ESET en Ontinet.com, recomendamos mucha precaución cuando recibamos correos de este tipo. El hecho de que estén en español y apunten a enlaces españoles de webs legítimas puede hacer que muchos usuarios se confíen, descarguen y ejecuten el archivo malicioso. Por eso, ante la duda, mejor evitar abrir este tipo de correos.

Josep Albors

Zeus, ahora también en Android

Desde que la botnet Zeus empezó a afectar a dispositivos móviles en septiembre del año pasado, varios han sido los sistemas operativos móviles que se han visto afectados. La infección empezó en Symbian para, poco después, extenderse a Windows Mobile y Blackberry.

La posibilidad de crear una red zombie de dispositivos móviles, tal y como ya ocurre con ordenadores de sobremesa y portátiles, fue algo demasiado atractivo para los ciberdelincuentes como para dejar pasar la oportunidad.

No obstante, Android, a pesar de ser el sistema móvil más usado, aún no había recibido su correspondiente versión. Al menos hasta hace poco, puesto que ya se han empezado a detectar las primeras muestras.

En los laboratorios de ESET se han detectado muestras de un troyano de nombre Spy.SmsSpy camuflado como una aplicación de seguridad de la compañía “Trusteer”, pero, a diferencia de las variantes de Zeus en otros sistemas móviles, la funcionalidad de la versión para Android es bastante reducida.

En concreto, las variantes detectadas hasta el momento interceptan los mensajes de autenticación que son enviados por algunas entidades bancarias cuando realizamos alguna operación bancaria y los reenvían a los delincuentes. De esta forma, si el usuario se conecta a la banca online desde su dispositivo móvil, el troyano recopilará todos los datos necesarios para realizar transacciones fraudulentas.

A pesar de no contar aún con características como la recepción de comandos vía SMS o el cambio de los servidores de control si estos son desactivados, es muy probable que se añadan en futuras versiones de este malware.

Desde el laboratorio de ESET en Ontinet.com pensamos que la base de usuarios de Android es demasiado grande para que los delincuentes detrás de la botnet Zeus la ignoren. Es por eso que esperamos que aparezcan versiones mejoradas de esta familia de troyanos por lo que es esencial contar con una protección eficaz en nuestro dispositivo móvil.

Josep Albors

Actualización de la botnet TDSS con comunicación P2P

La botnet TDSS lleva años siendo una de las más persistentes y sofisticadas, capaz incluso de infectar máquinas de 64 bits con una efectividad casi desconocida hasta ahora e incluso de eliminar a competidores como Zeus. Actualmente se cree que controla más de 4.5 millones de equipos y las modificaciones que sus creadores hacen a los bots para mejorar su funcionamiento y evitar ser detectados son de lo más avanzado que hemos visto en nuestros laboratorios.

Desde Ontinet.com, distribuidor en exclusiva de ESET, a través de los diferentes laboratorios de seguridad, estamos siguiendo de cerca la evolución de esta botnet y tenemos a expertos investigadores que monitorizan cada cambio que pueda experimentar. Fruto de esa investigación es el documento técnico (en inglés) que ponemos a disposición de todo aquel desee conocer a fondo el funcionamiento de esta botnet.

Para los más profanos en la materia, aclarar que cuando un equipo resulta infectado por un bot, entra a formar parte de una red llamada botnet junto con otras máquinas comprometidas. Los ordenadores infectados por bots se denominan zombies, ya que están esperando órdenes. Cuando un ciberdelincuente toma el control de una botnet, se dedica a enviar órdenes a dichas máquinas sin que los propietarios sean conscientes. Así, puede utilizarse para enviar spam, distribuir malware, almacenar datos robados, etc. Obviamente, también existe una comunicación inversa en las que las máquinas infectadas envían información a ese botmaster o ciberdelincuente.

Leer más

Usando malware para robar Bitcoins

Aunque para la mayoría de usuarios esta divisa es desconocida, lo cierto es que la moneda virtual Bitcoin lleva ya un tiempo entre nosotros. Creada en 2009 por el japonés Satoshi Nakamoto, este dinero virtual que empezó como prueba de concepto está empezando a hacerse un hueco como divisa utilizada en transacciones online e incluso algunas entidades y comercios empiezan a aceptarla como forma de pago.

Pero, ¿cómo es posible obtener esta moneda y cuál es su valor real? Al tratarse de algo inmaterial, el valor de esta divisa viene representado por el esfuerzo que supone realizar millones de cálculos computacionales, conocidos como hashes, usando potentes procesadores (principalmente de tarjetas gráficas). A este proceso se lo conoce como cosecha o “mining” y podemos observar como funciona en lineas generales todo el proceso en el siguiente gráfico:

Obviamente, todo aquello que tenga un valor lo suficientemente interesante es susceptible de ser robado y los ciberdelincuentes están al tanto de ello. Tal y como muy bien explican desde Hispasec, además de poner nuestra propia granja de máquinas optimizadas al máximo para realizar tantos cálculos como sea posible, también es posible robar el archivo wallet.dat, donde se almacena la clave privada que permite al usuario realizar operaciones con las bitcoins obtenidas.

Nuestros compañeros en el laboratorio de ESET han empezado a ver durante las últimas semanas muestras de malware que buscan este archivo para poder sustraer todas las bitcoins del equipo infectado. Asimismo, también se ha observado que códigos del tipo bot como Zeus han empezado a incluir el cliente de Bitcoin como aplicación que se descarga en aquellas máquinas infectadas. El objetivo está claro: usar la potencia computacional de las miles de máquinas que suelen componer una botnet para generar bitcoins que después pasarán a la cartera virtual del ciberdelincuente.

Como vemos, las técnicas usadas para ganar dinero a costa de los usuarios usando códigos maliciosos siguen reinventándose y es por ello que, desde el laboratorio de ESET en Ontinet.com, recordamos lo importante que es proteger nuestro equipo para evitar que caiga presa de una red zombi, más aun si tenemos guardado nuestro dinero virtual en él.

Josep Albors

Nueva variante de zbot propagándose por correo

Es bastante frecuente que, entre los miles de correos que recibimos en nuestros laboratorios, aún encontremos alguno que intente propagar códigos maliciosos para hacer que nuestro sistema entre a formar parte de una red de ordenadores zombis. El método no es nada nuevo, pero con un poco de ingeniería social se puede hacer picar hasta al usuario más precavido.

El caso que analizamos hoy empieza con la recepción de un correo en español que dice así:

Tenemos un correo genérico que a muchos usuarios no les dirá nada, pero a quienes hayan realizado una compra recientemente o a muchos departamentos comerciales o administrativos, les resultará bastante interesante. Como hemos visto en el cuerpo del mensaje, se proporciona un enlace desde donde descargar la supuesta factura. Cabe destacar que los enlaces que hemos revisado pertenecen a dominios legítimos que han visto su seguridad comprometida y que están sirviendo malware sin saberlo. Una vez pulsamos sobre el enlace, procederemos a la descarga del archivo.

Nuestro navegador nos ofrece guardar el archivo, que viene comprimido en formato zip para ocultar su verdadera extensión. Una vez descargado y descomprimido, observamos que el fichero usa la clásica técnica de la doble extensión para confundir al usuario. Sin embargo, el icono utilizado no es del documento de Word, por lo que puede que muchos usuarios empiecen a desconfiar del archivo descargado en este punto.

Si seguimos adelante y ejecutamos el archivo, es probable que nuestro antivirus nos avise. En el caso de las soluciones de seguridad de ESET, este código malicioso es detectado como un troyano Win32/Spy.Zbot.YW, pero para seguir con el análisis, desactivamos la protección residente (acción nada recomendable) y vemos cómo, nada más ejecutarse, el código malicioso intenta establecer una conexión a una dirección concreta. Podemos observarlo detenidamente en la siguiente captura del aviso proporcionado por el cortafuegos de ESET Smart Security:

Como sin una conexión a Internet el análisis de este malware no tendría mucho sentido, decidimos darle permisos para recibir y enviar datos y, ya de paso, echamos una ojeada al proceso que se inicia usando la utilidad Process Explorer.

Como dato curioso, vemos que el proceso system.exe se identifica como Platinum Scanner y dice ser propiedad de la empresa antivirus BitDefender, lo cual es totalmente falso. Esta técnica es usada en algunos casos para engañar al usuario que busca manualmente procesos maliciosos para eliminarlos. Al ver un proceso que se identifica como algo que proviene de una reputada empresa, lo normal es que el usuario medio no le preste mayor atención. No obstante, si seguimos con el análisis de las comunicaciones con una aplicación tan útil como Wireshark, podremos ver todas las conexiones entrantes y salientes que se realizan y aislar las del malware para averiguar a qué dominio y dirección IP se conecta.

Una vez hemos identificado el servidor de la botnet que envía los datos a todas las máquinas infectadas, podemos averiguar más datos, como quién registró ese dominio, su dirección física o la fecha en la que se registró. Estos datos pueden servir, en el caso de que sean reales, como prueba para presentar una denuncia y, en el caso que nos ocupa, vemos cómo el dominio se registró hace apenas dos días, justo cuando empezamos a observar los primeros correos que contenían el enlace de descarga del malware.

El caso que acabamos de analizar no es aislado y son muchos los administradores de botnets que usan este tipo de técnicas para aumentar el número de ordenadores controlados. Como ya hemos avisado en anteriores ocasiones desde el laboratorio de ESET en Ontinet.com, la tendencia actual es crear muchas botnets de tamaño reducido en lugar de grandes redes de ordenadores zombis. Esto dificulta su detección y, sabiendo que cada vez hay kits de creación y gestión de este tipo de redes más accesibles para usuarios inexpertos, esperamos que sea una tendencia que se incremente a corto y medio plazo. A nosotros, como usuarios, nos toca defendernos de la mejor manera posible, instalando una solución de seguridad adecuada con antivirus y cortafuegos pero, sobre todo, observando los indicios que nos pueden hacer diferenciar un fichero inofensivo de un código malicioso.

Josep Albors

Nuevo malware. Viejas técnicas

Es curioso ver cómo, a pesar del paso de los años y la evolución que sufre el malware, hay técnicas que, o bien se siguen usando o se modifican para adaptarse a los nuevos tiempos. Pasa por ejemplo con la propagación de malware usando el correo electrónico que, si bien es uno de los vectores de infección más antiguos, sigue usándose con relativo éxito.

Otro caso son las botnets, que siguen siendo una de las amenazas actuales aunque hemos pasado de ver grandes redes de ordenadores zombies a otras más pequeñas pero también más numerosas. La publicación reciente del código fuente de Zeus también puede ayudar a que veamos una propagación más numerosa de pequeñas redes. En conexión con las botnets, tenemos a las Remote Administrator Tools (RATs o herramientas de control remoto), bastante más veteranas que las botnets. Los más viejos del lugar recordaran a Back Orifice que, a finales de los 90 hizo de las suyas y permitió que algunos pasaran momentos divertidos tomando el control de ordenadores ajenos (especialmente en institutos y universidades).

La filosofía de las RATs no ha variado apenas desde entonces pero sí alguna de las funciones y sistemas a los que afecta. En las últimas semanas una nueva herramienta de este tipo ha sido nombrada por varios investigadores, destacando la posibilidad de crear una botnet multiplataforma. Si bien esta posibilidad existe al estar el código desarrollado en java, según informan desde Hispasec, solo se han detectado los agentes que infectan en forma de ejecutables de Windows. Otra de las funciones que se han añadido es la posibilidad de gestionar las máquinas infectadas desde dispositivos iOS como iPhone/iPod Touch/iPad.

La creación de código malicioso multiplataforma representa una posibilidad para los creadores de malware de afectar un mayor número de sistemas operativos, aunque ya existan herramientas de este tipo para Mac OS/X, y alguna de ella haya sido comentada en este mismo blog. Si bien la filosofía de este tipo de herramientas maliciosas sigue permaneciendo prácticamente intacta desde su creación, desde el laboratorio de ESET en Ontinet.com nos gustaría recordar que nada está obsoleto si consigue su objetivo por lo que los usuarios debemos informarnos y estar al día de este tipo de amenazas para evitar que la historia se repita.

Josep Albors

Zeus, troyano de dominio público

Una de las familias de malware más prolífica de los últimos años ha sido la de Zeus, troyano destinado principalmente al robo de información financiera como datos de acceso a cuentas bancarias. Las diversas campañas de propagación de este troyano han conseguido afectar a millones de usuarios y generar botnets de gran tamaño. Tratándose de una pieza de malware tan conocida como esta, es frecuente que se actualice cada poco tiempo para dificultar su detección, actualizaciones que son realizadas por los cibercriminales que, posteriormente venden o alquilan los kits de propagación y gestión de malware.

No obstante, hace un par de semanas saltó la noticia de que el código fuente podría haber sido filtrado, poniéndolo a disposición de todos aquellos usuarios que deseen emplearlo sin tener que pagar a los cibercriminales que lo desarrollan. Esta noticia se ha visto confirmada hoy mismo cuando se ha publicado un enlace que permite la descarga del código fuente de este malware. Tanto el enlace del archivo comprimido como la contraseña necesaria para abrirlo se encuentran de manera muy fácil haciendo una simple búsqueda en la mayoría de buscadores de Internet.

¿Y las consecuencias de esta filtración de código? Estamos seguros que a los desarrolladores de este malware no les habrá hecho la más mínima gracia, puesto que su negocio se basa en venderlo para realizar actividades delictivas. Estando a disposición de todo el mundo, cualquiera puede usarlo sin coste alguno y, lo que es más grave, desarrollar sus propias variantes. También a las compañías de seguridad nos va a resultar más complicado controlar este previsto aumento de variantes pero, por otra parte, al disponer del código fuente, este se puede revisar a fondo para detectar de forma genérica cualquier variante que salga a partir de esta filtración.

Desde el laboratorio de ESET en Ontinet.com no creemos que esta filtración suponga un duro golpe a la familia del malware Zeus puesto que, muy probablemente, los creadores de este malware estén trabajando en una nueva versión con nuevas características que la diferencien de la versión filtrada. Si algo han demostrado operaciones anteriores es que la manera más efectiva de acabar con este tipo de botnets es desactivando sus centros de control. Mientras tanto, los usuarios deben protegerse frente a estas infecciones utilizando sistemas de protección antivirus eficaces, actualizando sus sistemas y aplicaciones y usando su sentido común para evitar caer en las trampas preparadas por los ciberdelincuentes.

Josep Albors

Cae una de las botnets mas antiguas

La actuación el pasado miércoles 13 de Abril del Departamento de Justicia de los Estados Unidos permitió desactivar una de las botnets más antiguas. Nuestro compañero y veterano investigador David Harley ha querido ofrecernos su punto de vista sobre la caída de esta veterana botnet:

“A continuación me gustaría añadir un poco de información desde el punto de vista de ESET sobre la botnet Coreflood, cuyos centros de control fueron desactivados el miércoles por el Departamento de Justicia. El bot Coreflood es detectado por los productos ESET como Win32/Afcore y ha estado activo desde el principio de la pasada década (concretamente desde 2001), a pesar de que nuestras estadísticas indican una actividad especialmente fuerte entre 2007 y 2009, con picos de actividad máxima a finales de 2008. Esta botnet ha estado relativamente tranquila (en términos de volumen de infección) pero ha mostrado una moderada tendencia al crecimiento en meses recientes, así que su desarticulación parece que ha sido justo a tiempo.

Leer más

« Artículos Posteriores — Artículos Anteriores »