• Buscar

• Síguenos en Twitter

• Categorías

  • actualizaciones (24)
  • adware (3)
  • Anuncios (13)
  • Botnets (12)
  • Clickjacking (2)
  • Curiosidades (21)
  • Defacement (2)
  • Educación (50)
  • Estadísticas (3)
  • Eventos (11)
  • exploit (31)
  • General (18)
  • Hacking (23)
  • Herramientas (12)
  • Heurística (5)
  • Hoax (2)
  • Informes (6)
  • Ingenieria social (49)
  • Malware (147)
  • Phishing (31)
  • Piratería (4)
  • Productos (27)
  • redes sociales (26)
  • rogue (13)
  • Scam (1)
  • scareware (2)
  • seguridad (19)
  • Spam (63)
  • telefonía (2)
  • Tutoriales (18)
  • Vulnerabilidades (113)

• Archivos

  • Julio 2010 (36)
  • Junio 2010 (43)
  • Mayo 2010 (27)
  • Abril 2010 (26)
  • Marzo 2010 (14)
  • Febrero 2010 (16)
  • Enero 2010 (14)
  • Diciembre 2009 (7)
  • Noviembre 2009 (5)
  • Octubre 2009 (3)
  • Septiembre 2009 (3)
  • Agosto 2009 (8)
  • Julio 2009 (6)
  • Junio 2009 (2)
  • Mayo 2009 (4)
  • Abril 2009 (6)
  • Marzo 2009 (6)
  • Febrero 2009 (3)
  • Enero 2009 (3)
  • Diciembre 2008 (5)
  • Noviembre 2008 (5)
  • Octubre 2008 (10)
  • Septiembre 2008 (9)
  • Agosto 2008 (7)
  • Julio 2008 (8)
  • Junio 2008 (10)
  • Mayo 2008 (13)
  • Abril 2008 (12)
  • Marzo 2008 (7)
  • Febrero 2008 (5)
  • Enero 2008 (2)
  • Diciembre 2007 (7)
  • Noviembre 2007 (6)
  • Octubre 2007 (7)
  • Septiembre 2007 (9)
  • Agosto 2007 (3)
RSS Artículos | RSS Comentarios

Troyano brasileño con vector de ataque mejorado

Las técnicas usadas por muchos creadores de malware latinoamericanos (y especialmente los brasileños) para lograr infectar a los usuarios, se han basado tradicionalmente en la ingeniería social y no ha sufrido grandes cambios en los últimos años. Lo habitual es que se incluya un archivo adjunto o un enlace a una dirección web maliciosa concreta donde se encuentra el código malicioso y, en la mayoría de ocasiones, este malware es un troyano bancario.

No obstante, en las últimas semanas hemos visto como se ha ido evolucionando de un simple correo con adjunto o enlace a algo más elaborado. En este mismo blog hemos comentado algunos casos de la evolución de los métodos de propagación de este tipo de malware y en los últimos días, hemos analizado otra más.

En esta ocasión nos encontramos con un correo de una supuesta empresa de transportes que solicita que rellenemos un formulario.

Aparentemente, no se observa ninguna novedad con respecto a otros casos similares. Si pulsamos sobre el enlace para descargar el archivo .pdf se nos mostrará una ventana de descarga indicando que vamos a proceder a descargar el fichero Arquivo_DSCF3197.cpl.

Aquí observamos una diferencia con respecto a los casos de infección clásicos de este tipo de troyanos. Normalmente se procede a descargar un archivo ejecutable .exe o un documento .pdf modificado para aprovechar alguna vulnerabilidad. No obstante, en esta ocasión se usa un archivo .cpl, utilizados por Windows para representar las herramientas del panel de control.

Asimismo, la dirección web que se usa para realizar la descarga pertenece a un club de artes marciales brasileño que nada tiene que ver con la propagación de esta amenaza. Recientemente hemos visto muchas páginas webs legitimas usadas para propagar malware por lo que debemos extremar las precauciones. Está también es una novedad en este tipo de ataques ya que lo normal era preparar una dirección web concreta y no utilizar una web legítima.

La utilización de los archivos con extensión .cpl para propagar malware no es habitual y puede que esta sea una de las causa por las que, en el momento de escribir este artículo, aun pocos motores antivirus detectaban esta amenaza. Tanto ESET NOD32 Antivirus como ESET Smart Security detectan este código malicioso como el troyano Win32/TrojanDownloader.Banload.PNO.

Cabe recordar que este tipo de amenazas sigue dependiendo en gran medida de las técnicas de ingeniería social para poder propagarse. Es por eso que, desde el laboratorio de ESET en Ontinet.com recomendamos extremar las precauciones a la hora de abrir correos no solicitados y contar con la protección de un antivirus actualizado capaz de detectar este tipo de amenazas.

Josep Albors

Atacando a usuarios de Chatroulette

Para quien no lo conozca aun, Chatroulette es un servicio de video chat y mensajería instantánea con la particularidad de que los contactos se establecen de forma aleatoria, es decir, no sabemos nunca a quién encontraremos al otro lado. Esta característica que, en principio, estaba diseñada para hacer nuevas amistades en todo el mundo, ha desembocado, no obstante, en una superpoblación de exhibicionistas (mayoritariamente masculinos) que no tienen pudor alguno en mostrarse desnudos o realizando actividades desagradables frente a la cámara. Pero dejemos que unos especialistas en la materia nos ilustren con el siguiente vídeo:

Una vez hemos aclarado en qué consiste esta aplicación pasemos a ver qué riesgos de seguridad presenta. Según informan un grupo de investigadores de la universidad de Colorado, existen fallos en la comunicación entre los participantes de una sesión de Chatroulette que exponen la privacidad de los mismos y pueden utilizarse para espiar conversaciones o realizar ataques de phishing dirigidos. Estos investigadores consiguieron engañar a muchos usuarios poniendo un vídeo grabado previamente en el que se mostraba a una atractiva joven. Asimismo pueden realizarse ataques man-in-the middle para interceptar o modificar comunicaciones y engañar a víctimas potenciales. Todo esto unido a la posibilidad de identificar la IP de los usuarios de este servicio representa un importante vector de ataque para realizar infiltraciones elaboradas y especialmente dirigidas.

Pero, ¿cómo se pueden realizar un ataque con esta información?. Veamos cómo podría ser un ataque dirigido a usuarios de Chatroulette.

• Iniciamos una sesión de chat con el video grabado que muestra una atractiva joven. Sabiendo que la mayoría de usuarios de este servicio son varones, no nos resultará difícil captar la atención de nuestra víctima.

• Una vez tenemos la atención de la víctima intentamos sacarle información confidencial como el lugar de residencia, teléfono intereses o si tiene algún perfil creado en una red social.

• Si la víctima es reticente a proporcionar datos confidenciales, aun podemos obtener su localización geográfica ya que, mientras la conexión esté establecida, el audio y el video son enviados a través de paquetes UDP. Un atacante podría obtener fácilmente la dirección IP de la víctima desde la cabecera de un paquete y, a continuación, usar un sistema de geolocalización IP para averiguar la ubicación aproximada de la víctima.

• Una vez hemos obtenido estos datos y, tras realizar un poco de investigación en redes sociales, como Facebook o Tuenti, podríamos completar un perfil bastante amplio de nuestra víctima y empezar a preparar ataques usando la ingeniería social, por ejemplo, enviándole mensajes presentándonos como un conocido y proporcionando información que alguien no cercano a la víctima supuestamente no podría conocer. A partir de este punto ya queda a discreción del atacante el tipo de fechoría que desee realizar a la incauta víctima.

Es por todo lo expuesto en este post que, desde el laboratorio de ESET en Ontinet.com, recomendamos extremar la precaución cuando usemos alguna aplicación como Chatroulette ya que muchas veces podemos proporcionar más información de la estrictamente necesaria.

Josep Albors

Jugar al Poker online en sitios no seguros puede ser la ruina

Si buscáramos simplemente “play poker” en Google, obtendríamos más de 32 millones de resultados. La magnitud que han tomado las páginas de apuestas y de casinos online es enorme y, como no podía ser de otra forma, también está siendo aprovechado por los creadores de malware para conseguir el dinero de los usuarios de forma fraudulenta.

Tal y como informan en la web poker.gamingsupermarket.com, han sido detenidos 33 hackers coreanos que ha utilizado una red botnet formada por 11.000 ordenadores, repartidos por toda Corea del sur, para acceder a 700 salas de poker. El software utilizado para infectar a las máquinas fue comprado a un hacker chino.

El funcionamiento era el siguiente, una vez el equipo se infectaba, cuando el usuario accedía a alguna de estas salas de poker para poder jugar online, los controladores de la red botnet podían ver las cartas del usuario y así poder ganarle fácilmente.

Este método podría ser también utilizado en casinos anunciados a través del correo no deseado, donde ofrecen como gancho una considerable cifra de dinero para poderlo utilizar en las diferentes salas de juego.

Desde el departamento técnico de ESET en Ontinet.com aconsejamos a los usuarios que accedan a salas de poker online que lo realicen en servidores de juego legítimos y desconfiar de cualquier anuncio referente a casinos o a salas de poker recibido por correo electrónico.

David Sánchez

Phising usando encuesta de McDonald’s

Tras unas semanas usando el clásico método de enviar una foto adjunta a un correo para propagar un troyano bancario, parece que algunos desarrolladores de la conocida como escuela brasileña o latinoamericana de malware empiezan a usar otros métodos. Hoy mismo hemos recibido un correo cuyo remitente pretende suplantar a McDonald’s que nos invita a participar en una encuesta y obtener un bono de forma gratuita.

Si pulsamos sobre el enlace que se nos proporciona, accederemos a una web con distintivos claramente reconocibles y que muestra una encuesta. No obstante el enlace real apunta a una web con dominio brasileño y, bajo ese domino, muestra la web preparada para usuarios de habla hispana.

Es posible que, bajo ese mismo dominio, se almacenen otras encuestas en otros idiomas pero vamos a centrarnos en la versión española:

Como vemos la encuesta no tiene nada fuera de lo normal aparte de una redacción un poco pobre y una inquietante imagen de la mascota de la empresa. Si seguimos adelante con la encuesta, pasaremos a otra página donde se nos pedirán nuestros datos para hacer el ingreso del bono regalo en nuestra cuenta:

Si nos fijamos, se nos piden TODOS los datos de nuestra tarjeta de crédito con los que, una vez introducidos y enviados, los creadores de esta falsa encuesta tendrán los datos necesarios para vaciar la cuenta corriente asociada a nuestra tarjeta.

Como vemos, este nuevo caso de phishing usa muy bien la ingeniería social para engañar a los usuarios a pesar que el diseño de la página seguramente no habrá requerido de mucho tiempo para realizarse.

Ante este tipo de ejemplos, lo mejor es desconfiar de aquellas webs que nos pidan demasiados datos personales y, por supuesto, NUNCA proporcionar los datos de la tarjeta de crédito en sitios que no cuenten con una certificación de seguridad reconocible y un protocolo seguro de comunicación.

Josep Albors

Spam a nombre de Youtube y Amazon redirige a farmacia online

Desde primera hora de la mañana se están recibiendo falsos correos de Youtube Service donde se nos pide que confirmemos nuestra dirección de correo para poder subir vídeos de forma inmediata.

Lo mismo está ocurriendo con falsos correos de MySpace, los cuales nos piden que configuremos una nueva contraseña de acceso o con Amazon, muestrando información de pedidos simulados en la tienda de Amazon, donde al ver la información del pedido se nos redirige a la página de Farmacia Online.

El procedimiento utilizado es el mismo que en otros correos no deseados con menor repercusión. Accedemos a una página donde aparece lo siguiente:

En la página mostrada, se nos indica que esperemos 4 segundos, pasado ese tiempo nos redirige a la web de farmacia online, hasta ahí todo normal, a no ser por qué en el código fuente aparece un iframe por el cual intenta cargar otra página web maliciosa mientras accedemos a la página de farmacia online.

Todo ello es detectado por ESET como Iframe.B.Gen, protegiéndonos del acceso a estas páginas.

Desde el departamento técnico de Ontinet.com, aconsejamos omitir este tipo de correos electrónicos, sobre todo si no somos usuarios de estos servicios y disponer de una protección antivirus actualizada y activada para estar protegidos correctamente de este tipo de ataques.

David Sánchez

Falsos Tweets que regalan iPads

El volumen medio actual de tweets seguramente supere ya a los 50 millones al día. Esta estimación, realizada por Twitter en Febrero de este mismo año, comentaba también que por segundo se están produciendo una media de 600 tweets.

Con este volumen de tweets es normal que los creadores de malware piensen en utilizar este servicio de microbloggin para propagar malware, como ya hemos visto sobretodo con tweets referentes al Mundial de Futbol 2010 en Sudáfrica. Ello ocurre con la mayoría de nuevos eventos y noticias, por ejemplo con la salida del IPad de Apple al mercado. Durante esta semana estamos recibiendo multitud de tweets con un mensaje claro, “Consigue tu IPAD GRATIS”.

También hemos comprobado tweets de este tipo haciendo referencia a aplicaciones y fondos para iPhone. Una vez accedemos a los enlaces mostrados, vemos el siguiente texto:

Y nos redirige a otra dirección totalmente distinta a lo que ofrecía el tweet. En este caso podemos ver dos páginas distintas, una donde se ofrece una aplicación para poder descargar emoticonos para programas de mensajería instantánea, blogs y demás, y otro enlace en el cual nos piden el número de móvil para descargar tonos mp3.

Desde el departamento técnico de ESET en Ontinet.com aconsejamos hacer caso omiso a este tipo de tweets. Sólo páginas especializadas en este tipo de dispositivos o compañías conocidas, realizando algún tipo de promoción, pueden enviarnos tweets reales sobre concursos o sorteos para regalar un iPad. El resto de enlaces de este tipo son fraudulentos y fáciles de distinguir, un mensaje claro y escueto, un enlace corto que no muestra a donde nos redirige y un usuario desconocido son las características de este tipo de tweets. Aunque actualmente estos enlaces no son peligrosos, puede ser una prueba realizada por los creadores de malware para en breve propagar malware utilizando este método, aprovechándose de la ingeniería social.

David Sánchez

Ataques a páginas web

De un tiempo a esta parte, tanto desde nuestro laboratorio como por parte de nuestros usuarios, venimos detectando una gran cantidad de páginas web legítimas que están siendo modificadas por cibercriminales para distribuir malware. Este tipo de ataque está orientado a todo tipo de webs, desde las más discretas y personales hasta webs de empresas internacionales visitadas por miles de usuarios de forma diaria.

Pero, ¿porqué este interés creciente en infectar páginas legítimas?. Si escuchamos a la “sabiduría popular”, la mayoría de usuarios pensará que solo pueden infectarse si visitan paginas con contenido pornográfico, casinos online o sitios desde los que obtener todo tipo de cracks, warez y software de forma ilegal. Eso sigue siendo cierto solo en parte puesto que los cibercriminales hace tiempo que empezaron a inyectar código maliciosos en el código fuente de aquellas webs con problemas de seguridad. Así se consigue que los usuarios relajen su seguridad cuando naveguen por páginas conocidas, lo que ocasiona que no duden en descargar y ejecutar cualquier archivo que se les ofrezca desde este tipo de webs.

Una vez conocemos el beneficio que supone para los ciberdelincuentes infectar a las webs legítimas, ¿cómo podemos defendernos?. A nivel de usuario la solución es sencilla. Descargar e instalar un antivirus de confianza para detectar las amenazas nada mas intentemos acceder a la web infectada y desconfiar siempre de cualquier archivo que pretenda descargarse en nuestro sistema, independientemente de la web desde la que se realiza la descarga.

Pero la cosa se complica cuando se trata del administrador de la web. Si se desea evitar que se inyecte código malicioso en nuestra página web, además de contar con un antivirus, deberemos estar al corriente de las actualizaciones de nuestro servidor web y de las aplicaciones de terceros usadas para evitar que se aprovechen vulnerabilidades antiguas. Este consejo se aplica igualmente a servicios de blog como WordPress o Blogger, que cada poco tiempo lanzan actualizaciones de sus plataformas.

Asimismo, deberemos cambiar siempre las contraseñas por defecto y evitar dar permisos innecesarios a usuarios inadecuados. En el caso de que nuestra web este albergada en un servidor externo, se deberá avisar cuanto antes a nuestro proveedor de servicios cuando se tenga una sospecha de que nuestra web ha sido alterada sin nuestro consentimiento.

No hace falta recordar que, aparte de las molestias causadas a los usuarios que se infecten tras visitar una web modificada de forma maliciosa, también se produce una pérdida de reputación muy grave, lo que, a nivel empresarial puede ser muy costoso. Es por eso que, desde el laboratorio de ESET en Ontinet.com, recomendamos seguir todas las buenas prácticas recomendadas y, adicionalmente, aquellas que puedan aplicarse a nuestro caso en particular.

Josep Albors

Continúan los ataques de correos brasileños con regalo

Si hace unos días informábamos en nuestro blog sobre un correo malicioso con una foto adjunta sospechosa, que al infectar al usuario robaba los datos de acceso a la banca online, hoy nos hemos encontrado con otro intento, de esta escuela brasileña, para conseguir claves bancarias.

Este correo, recibido durante el día de hoy, con un curioso remitente, no es tan simple como el que comentábamos en la entrada anterior. En él se habla sobre un pequeño acertijo muy simpático y adjunta un supuesto vídeo. Al hacer clic sobre el vídeo nos pide la descarga del archivo Mucao.zip, descargado desde la web http://www.myfryendsweb.net, la cual simplemente hace de servidor donde se aloja el malware.

El archivo descargado es detectado por ESET como troyano bancario. Los creadores de malware utilizan como método principal para propagar sus infecciones la ingeniería social, aprovechándose de la curiosidad de los usuarios al recibir este tipo de correos para llevar a cabo sus objetivos.

Desde el departamento técnico de ESET en Ontinet.com aconsejamos disponer de un módulo antispam correctamente configurado para en el caso de recibir este tipo de correos sean redirigidos directamente a la carpeta de correo no deseado, al igual que aconsejamos el uso de una protección antivirus correctamente actualizada para así evitar este tipo de infecciones.

David Sánchez

cuidado con la ingeniería social y el mundial

Una de las mejores maneras que tienen los creadores de malware para distribuir sus creaciones es el correo electrónico. Bien introduciendo un código malicioso o incluyendo en el mensaje un enlace a un sitio web (donde está alojado el malware) es una manera muy rápida, sencilla y barata. Por muy poco dinero en muy poco tiempo, podemos mandar millones de mensajes de correo. Y alguien picará en la trampa.

Pero para que la infección tenga éxito es necesario que el receptor lo abra y luego ejecute el código malicioso, cosa difícil hoy en día, ya que los usuarios suelen tener algún sistema de protección más o menos efectivo, y cada vez están más atentos a posibles mensajes fraudulentos.

A pesar de eso, hay técnicas que nunca fallan. Basta con acudir a los temas más morbosos o con contenido sexual, o recurrir a una noticia de actualidad.Y en este momento, la situación puede ser muy propicia.

Nos encontramos inmersos en un fenómeno mundial (globalizaciones y crisis aparte) como es el mundial de fútbol, en el que hay dos elementos muy noticiables: los problemas de la selección francesa y la relación de una periodista destacada en Sudáfrica con el portero de la selección española. Un creador de malware puede mandar un mensaje con suficiente morbo sobre cualquiera de los dos temas para pillar desprevenidos a los usuarios.

Desde el departamento técnico de ESET en Ontinet.com queremos recordar la necesidad de analizar con un buen antivirus cualquier mensaje extraño que llegue, independientemente de que el emisor del mensaje sea una persona de confianza. Es posible que la dirección del mensaje haya sido falseada, e incluso aunque haya sido realmente enviado por un conocido, puede contener malware.

Fernando de la Cuadra

Multitud de Tweets muestran falsas webs para ver el mundial online

Durante estos días, tanto desde nuestro blog del departamento técnico de ESET en Ontinet.com como en otros blogs de seguridad, se ha estado informando acerca de multitud de casos en los que los creadores de malware se aprovechan para propagar malware utilizando el nombre del mundial de fútbol.

Hoy hemos dado con un nuevo método para intentar timar a los usuarios que deseen ver el mundial a través de la red. Este timo empieza con un simple Tweet, (un Tweet es una publicación o una actualización de tu estado en Twitter). Como se puede ver en la imagen mostrada a continuación, suelen aparecer a la hora de comienzo del partido ofreciendo un enlace para poder ver el partido online de forma totalmente gratuita.

Al acceder al enlace que se muestra, vemos una ventana con un gran texto donde, al hacer clic, accederemos al partido online anunciado.

Al acceder a esos enlaces vemos como aparentemente se carga el vídeo del partido en streaming, cogiendo la señal real de otras páginas web desde donde si se pueden ver realmente los partidos online, pero a los pocos segundos se abre una ventana emergente tapando parte del vídeo y oscureciendo la visualización de la página.

Supuestamente hay que hacer clic sobre esos enlaces para hacer una encuesta rápida, o para confirmar que no está accediendo un spambot a la página que pueda afectar al streaming y así poder ver el partido online tranquilamente. Pero no es así, haciendo clic en cualquiera de esos enlaces nos encontramos con varias páginas de publicidad, donde se realizan una serie de falsos sorteos, juegos o encuestas que al finalizar nos piden el número de móvil para posteriormente recibir un código de acceso al sorteo.

Pero aunque indiquemos el número de móvil e introduzcamos el código recibido no vamos a poder acceder al partido en cuestión. Este tipo de situación también lo encontrábamos en una entrada al blog, en aquel caso afectaba a los usuarios de un canal de Youtube.

Desde el departamento técnico de ESET en Ontinet.com, aconsejamos que no se dejen engañar por este tipo de tweets y en el caso de encontrase con alguna de estas páginas cerrar el enlace para no caer en la trampa. Existen multitud de páginas que ofrecen este tipo de servicio de forma gratuita, por ello rogamos intenten acceder a páginas contrastadas de visualización de partidos online.

David Sánchez

Artículos Anteriores »