Al observar este comportamiento, según el portal de noticias cronica.cl, el padre Federico Lomardi, director de la Oficina de Información del Vaticano informó a Google de este comportamiento. Tras las disculpas pertinentes se procedió a solucionar el problema y el domingo el acceso ya volvía a ser el correcto.

Desde Google todavía investigan los hechos ya que no saben a ciencia cierta si este comportamiento ha sido realizado por un ataque o no, también se sospecha que pueda haber sido provocado por algún grupo organizado de Internet.

Desde el departamento técnico de ESET en Ontinet.com publicamos esta información para advertir a los usuarios de otro de los peligros que nos podemos encontrar en Internet. Por ejemplo, para comprobar si la página a la que accedemos es totalmente legítima, Google muestra el enlace en color verde de la página web a la que accederíamos, de esta forma podemos comprobar si dicho enlace nos redirige a la página deseada y así evitaremos llevarnos alguna sorpresa no deseada.

David Sánchez

Parece ser que los responsables de esta hazaña son un grupo de hackers argentinos que, usando un ataque de inyección SQL y aprovechando una vulnerabilidad presente en la parte de la web que se encarga de gestionar los usuarios, consiguieron acceder al panel de control de la misma y obtener los datos de los usuarios.

Según los atacantes, esta acción pretende demostrar lo inseguros que se encuentran nuestros datos en según qué servicios y no pretende poner estos datos en manos de compañías de gestión de los derechos de autor. Cabe recordar que, en algunos países, estas compañías han emprendido acciones legales contra aquellos usuarios que han sido detectados compartiendo archivos con derechos de autor, llegando las multas a alcanzar penas de varios miles de euros. Por suerte para los usuarios de The Pirate Bay, la intención de los atacantes no es poner a disposición de estas empresas los datos obtenidos.

Este ataque nos debe servir para recordar a quien cedemos nuestros datos en la red y si estos pueden ser utilizados en nuestra contra. Es de todos sabido que esta web albergaba archivos de dudosa procedencia o legalidad en la mayoría de países, por lo que es bastante grave que asocien una dirección de correo o IP a este tipo de descargas.

Desde el laboratorio de ESET en Ontinet.com no entraremos a juzgar la ética de este tipo de descargas. Cada cual es libre de hacer lo que crea conveniente con su conexión a Internet, pero siempre asumiendo que este tipo de riesgos pueden suceder más a menudo de lo que uno cree y pueden poner en peligro nuestra reputación o enfrentarnos con la justicia.

Josep Albors

Los usuarios afectados han informado que el importe cargado en sus tarjetas de crédito, y que proviene de la App Store, varía con cantidades que pueden llegar a alcanzar los 1400 dólares. Al parecer estos cargos siguen unas pautas que consisten en comprar unas aplicaciones de coste reducido y, a continuación, adquirir una aplicación a un precio muy elevado. También se ha visto como se adquirían aplicaciones gratuitas pero después se enviaba dinero a las cuentas de los desarrolladores.

Desde Apple, de momento, tan solo han recomendado el cambio de la contraseña de nuestra cuenta de iTunes pero desde el laboratorio de ESET en Ontinet.com también recomendamos revisar las últimas adquisiciones realizadas en la App Store por si hubiese alguna que no la hayamos realizado nosotros, eliminar los datos de nuestra tarjeta hasta que se solucione el problema y contactar con el servicio de soporte de Apple en el caso de que hayamos visto nuestra cuenta iTunes comprometida.

Josep Albors

Pero, ¿porqué este interés creciente en infectar páginas legítimas?. Si escuchamos a la “sabiduría popular”, la mayoría de usuarios pensará que solo pueden infectarse si visitan paginas con contenido pornográfico, casinos online o sitios desde los que obtener todo tipo de cracks, warez y software de forma ilegal. Eso sigue siendo cierto solo en parte puesto que los cibercriminales hace tiempo que empezaron a inyectar código maliciosos en el código fuente de aquellas webs con problemas de seguridad. Así se consigue que los usuarios relajen su seguridad cuando naveguen por páginas conocidas, lo que ocasiona que no duden en descargar y ejecutar cualquier archivo que se les ofrezca desde este tipo de webs.

Una vez conocemos el beneficio que supone para los ciberdelincuentes infectar a las webs legítimas, ¿cómo podemos defendernos?. A nivel de usuario la solución es sencilla. Descargar e instalar un antivirus de confianza para detectar las amenazas nada mas intentemos acceder a la web infectada y desconfiar siempre de cualquier archivo que pretenda descargarse en nuestro sistema, independientemente de la web desde la que se realiza la descarga.

Pero la cosa se complica cuando se trata del administrador de la web. Si se desea evitar que se inyecte código malicioso en nuestra página web, además de contar con un antivirus, deberemos estar al corriente de las actualizaciones de nuestro servidor web y de las aplicaciones de terceros usadas para evitar que se aprovechen vulnerabilidades antiguas. Este consejo se aplica igualmente a servicios de blog como WordPress o Blogger, que cada poco tiempo lanzan actualizaciones de sus plataformas.

Asimismo, deberemos cambiar siempre las contraseñas por defecto y evitar dar permisos innecesarios a usuarios inadecuados. En el caso de que nuestra web este albergada en un servidor externo, se deberá avisar cuanto antes a nuestro proveedor de servicios cuando se tenga una sospecha de que nuestra web ha sido alterada sin nuestro consentimiento.

No hace falta recordar que, aparte de las molestias causadas a los usuarios que se infecten tras visitar una web modificada de forma maliciosa, también se produce una pérdida de reputación muy grave, lo que, a nivel empresarial puede ser muy costoso. Es por eso que, desde el laboratorio de ESET en Ontinet.com, recomendamos seguir todas las buenas prácticas recomendadas y, adicionalmente, aquellas que puedan aplicarse a nuestro caso en particular.

Josep Albors

Muchos de los afectados son ciudadanos israelíes por lo que, de ser cierto que este ataque procede desde Turquía, podría ser una represalia virtual al bloqueo de Gaza y a los ataques del ejército israelí a toda embarcación que desee romper ese bloqueo.

No obstante, ningún grupo se ha hecho aun responsable de esta acción ni la ha reivindicado. También hemos detectado cuentas de Twitter con el mismo mensaje creadas para la ocasión y que no contenían mensajes previos. Si bien la “venganza” contra usuarios hebreos tras el trágico incidente marítimo acontecido unas semanas tiene lógica, es bastante extraño que se generen cuentas nuevas con tan solo ese mensaje.

Aun hay poca información sobre este caso por lo que se puede especular sobre cualquier posibilidad, desde que el incidente no pasé de este punto a que se usen las cuentas hackeadas para otros fines (envío de enlaces maliciosos a los seguidores de las cuentas comprometidas, por ejemplo).

Lo que sí está claro es que lo usuarios afectados han visto sus cuentas de Twitter comprometidas tras haber caído en algún mensaje o enlace de phishing preparado para obtener sus credenciales de acceso. Por eso, desde el departamento técnico de ESET en Ontinet.com, recomendamos siempre introducir nuestras claves de acceso en los sitios oficiales y nunca en aquellos a los que hayamos accedido tras pulsar sobre un enlace.

Josep Albors

Al parecer, esta persona, llamada Barry Ardolf, había tenido varias disputas con distintos vecinos y utilizó sus conocimientos para hackear sus redes inalámbricas. Una vez conectado a las redes WiFi de los vecinos, además de enviar correos electrónicos amenazando al vicepresidente de EEUU y a otros altos cargos, robó también información personal y envío correos con cuentas falsas, creadas a nombre de los vecinos, a compañeros de trabajo y a otros contactos con material pornográfico. Además, esta persona también era propietaria de una página de MySpace que contenía pornografía infantil.

Investigadores Federales le siguieron la pista a los correos enviados mediante dispositivos de rastreo, dando con esta persona, a la cual incautaron varios equipos, unidades de disco duro y routers que tenía en su domicilio.

Hace un tiempo escribimos en el blog la siguiente entrada donde indicábamos los métodos más adecuados para configurar y mantener nuestra red WiFi doméstica. Desde el departamento técnico de Ontinet.com, destacamos de lo indicado en esa entrada que el tipo de cifrado sea WPA2, cambiando la contraseña de forma periódica y, para mayor seguridad, ocultar el SSID, además de cambiar continuamente también la contraseña de administración de nuestro router. Con ello, podremos evitar en gran medida que nos ocurran estas situaciones indeseables.

Como curiosidad, simplemente indicar que si realizamos una búsqueda en Google con el texto “robar WiFi vecino” aparecen casi 300 mil resultados, y algunos de estos enlaces con manuales y tutoriales con los pasos específicos para conectarse a las redes más vulnerables.

David Sánchez

Los detalles de la operación todavía son escasos pero sí que ha trascendido que Kirllos podría haber vendido ya hasta 700.000 cuentas, y según Verising iDefense, pedía entre 25$ y 45$ por cada 1000 cuentas, dependiendo de la calidad del usuario de Facebook.

Según Computerworld, en declaraciones realizadas por el portavoz de Facebook Axten Simon: “Hemos determinado la identidad de Kirllos a través de las direcciones IP, cuentas en línea y otra información, y creo que es muy probable que sea un hacker de bajo nivel”.

Además, el expediente de Kirllos fue entregado a la policía, pero también se indicaba que si esta actuación tuvo lugar en Rusia la denuncia no podrá ser procesada. Es extremadamente difícil detener a los piratas informáticos rusos, sobre todo si la intrusión se produjo en otro país.

Axten Simon también indico que Kirllos desapareció de los foros de hacking después de que su oferta se hiciera pública y que tampoco respondió a Facebook cuando los investigadores trataron de comprar más cuentas.

David Sánchez

Al ejecutar el archivo adjunto, Adobe nos muestra el siguiente mensaje, donde se puede comprobar que va a ejecutarse un archivo llamado script.vbs, el cual provoca la infección que aprovecha una vulnerabilidad ya conocida de Adobe para colocar un script dentro de un PDF y ejecutarlo:

Si analizamos este script, vemos que se ejecutan los siguientes archivos:
game.exe, batscript.vbs y script.vbs.

En esta ejecución, el archivo game.exe se copia en C:\program files\microsoft common\svchost.exe y modifica el registro. De esta forma, asegura su ejecución cada vez que se inicia el proceso explorer.exe. Además de ello, el propio script borra las posibles huellas que halla podido dejar en el sistema para hacer más difícil su detección.

Para evitar infectarnos a través de esta vulnerabilidad, desde Ontinet.com, aconsejamos realizar los siguientes pasos, además de disponer de una protección antivirus actualizada:

Dentro de la aplicación Adobe, acceder al menú Edición – Preferencias… – Administrador de confianza y, una vez allí, desmarcar la opción “Permitir la ejecución de archivos adjuntos no PDF con aplicaciones externas”, tal y como se observa en la imagen:

Además de ello, en el campo Javascript de esta misma ventana, hay que desactivar la opción “Activar Javascript para Adobe”.

David Sánchez

Nuestro compañero Jorge Mieres de ESET Latinoamérica, experto analista de seguridad, consiguió analizar una muestra de un troyano que afecta a sistemas Mac OS programado con RealBasic y que ESET detecta como OSX/HellRTS (también conocido como Pinhead, en homenaje al personaje creado por Clive Barker y llevado al cine en la saga Hellraiser).

Este troyano tiene una estructura cliente/servidor similar a otros ejemplares habituales en plataformas Windows como, por ejemplo, Bitfrost o Poison Ivy, y se compone de cuatro partes:

• Servidor: el troyano en sí mismo que infecta el sistema

• Cliente: aplicación usada para controlar y gestionar el ordenador infectado

• Configurador: utilizado para cambiar los parámetros del servidor

• SMTP Grabber: motor SMTP para poder enviar correos electrónicos con información obtenida desde el cliente

Este tipo de troyanos permiten al atacante controlar totalmente la máquina infectada, pudiendo robar cualquier tipo de información que el usuario tuviese almacenada en su sistema o introdujese estando infectado. A efectos prácticos, el atacante tiene acceso total a la máquina infectada.

Como hemos comentado, este tipo de troyanos es muy frecuente en sistemas Windows, existiendo unas cuantas familias bastante conocidas de este tipo de software también conocido como RAT (Remote Administration Tool). Aunque las herramientas de control remoto no son maliciosas por sí mismas, muchos troyanos las incorporan por las posibilidades de control que ofrecen. Asimismo, existen varios niveles de complejidad a la hora de crear un troyano de este tipo, existiendo variantes con sistemas anti-análisis para evitar ser detectadas.

En resumen. Por mucho que varios expertos en marketing nos quieran vender sus sistemas como impenetrables, no hay que olvidar que estamos hablando de software escrito por personas y, como tal, tendrá errores y vulnerabilidades (más o menos difíciles de encontrar). Por eso, nunca está de más añadir una capa de protección adicional en forma de antivirus a nuestro sistema. Con esa finalidad, ESET ha puesto a disposición de sus usuarios versiones beta de sus productos orientados a sistemas GNU/Linux y Mac OS, aunque, como medida de precaución, recomendamos no instalarlos en sistemas críticos en producción.

Josep Albors

A fecha de hoy, aun no existe un parche o nueva versión que arregle este error a la hora de permitir ejecutar aplicaciones. Si bien no se trata de una vulnerabilidad y esta función suele ser bastante usada, no deja de ser una puerta abierta para que los creadores de malware la aprovechen. Los creadores de Foxit Reader han lanzado una actualización que hace que se muestre un mensaje de alerta pero nada mas. Mientras tanto Adobe aconseja desactivar la opción que permite realizar las acciones usadas por la prueba de concepto:

Para desactivar esta opción deberemos acceder al menú Edición > Preferencias… > Administrador de confianza y, una vez allí, desmarcar la opción Permitir la ejecución de archivos adjuntos no PDF con aplicaciones externas, tal y como se observa en la imagen a continuación:

Algunos investigadores ya apuntan a la posibilidad de que se lancen ataques desde un PDF a otro como puede verse en este vídeo. Es por ello que consejamos seguir la recomendación de Adobe y desactivar esta opción (junto con la opción de ejecutar javascript) para evitar males mayores.

Josep Albors