Antes de dar a elegir al usuario la descarga del falso antivirus, se muestra una ventana donde aparece una lista de los antivirus más conocidos, dentro de esa lista también se encuentran cinco falsos antivirus que, curiosamente, son los únicos que detectan la falsa infección de nuestro sistema.

A continuación disponen de un vídeo proporcionado por Hispasec sobre el funcionamiento de este malware:

Desde el departamento técnico de ESET en Ontinet.com aconsejamos a los usuarios desconfiar de este tipo de avisos. Si disponemos de una solución de seguridad instalada y actualizada en nuestro sistema, aconsejamos realizar un análisis con la misma, y en el caso de que no se detecte nada y sigamos sospechando que nuestro equipo pueda estar infectado, directamente contactar con el soporte de la misma.

David Sánchez

El archivo adjunto es un archivo ejecutable, camuflado bajo un icono de Microsoft Word, que oculta una infección detectada por ESET, llamada Win32/Oficla.ID. Este troyano intenta insertar código en procesos de ejecución para así descargar y ejecutar código arbitrario, al igual que variantes anteriores de este mismo troyano.

Esta variante modifica el registro del system.ini agregando lo siguiente: Shell=explorer.exe rundll32.exe yise.ero mpgyjp, además, un proceso llamado taskeng.exe alojado en la carpeta c:\Windows\System32 intenta conectase a Internet para descargar ese código malicioso.

Desde el departamento técnico de ESET en Ontinet.com advertimos a los usuarios de este nuevo intento de infección haciendo uso de la ingeniería social. Esta infección se encuentra en el Top 5 de infecciones detectadas en la última semana, tal y como pueden observar en nuestra página Virusradar.com.

David Sánchez

Desde la propia página de TweetDeck, al darse cuenta de ello, publicaron un nuevo artículo, en la zona de soporte, en la cual informaban sobre este hecho, indicando que dicha actualización era falsa y contenía malware, además indicaban a los usuarios que las actualizaciones de TweetDeck solo están disponibles en TweetDeck.com.

El anuncio de esta falsa actualización provenía de la página proveedora de enlaces cortos: http://alturl.com en el que se descargaba un archivo con el siguiente nombre: TweetDeck-08302010-update.exe.

También informaban que las falsas actualizaciones mostraban los siguientes textos:

• TweetDeck will work until tomorrow, udate now!
• Download TweetDeck udate ASAP!
• Update TweetDeck!
• Hurry up for TweetDeck update!
• Sorry for offtopic, but it is a critical TweetDeck update. It won’t work tomorrow!

Desde el departamento técnico de ESET en Ontinet.com, aconsejamos a los usuarios que utilicen la herramienta TweetDeck, hacer caso omiso si reciben un mensaje o tweet avisando de una urgente actualización de la misma, y como con cualquier otro aviso de actualización, comprobar si la dirección del supuesto archivo de actualización es fiable. En el caso de tener cualquier duda, aconsejamos contactar directamente con los desarrolladores de la aplicación para que nos indiquen si la actualización recibida es fiable o no.

David Sánchez

En nuestro laboratorio hemos recibido bastantes mensajes con diferentes artistas en el asunto pero siempre con el mismo mensaje en inglés. En ese mensaje se nos informa de que una persona famosa (Madonna, Jeniffer Lopez, Justin Timberlake, Miley Cyrus, etc.) ha fallecido junto con otras 34 personas en un accidente aéreo cuando intentaban aterrizar en el aeropuerto de Dubrovnik, debido a una intensa lluvia y pobre visibilidad. Obviamente, esta noticia es falsa y solo pretende captar la atención del usuario para que ejecute el archivo adjunto.

El archivo adjunto es un fichero .html que, en el caso de que lo ejecutemos, intentará acceder a una web maliciosa alojada en un dominio de México y, una vez allí, descargar un troyano que es detectado como HTML/IFrame.F por las soluciones de seguridad de ESET. En el momento de escribir este artículo, el sitio ya era detectado y bloqueado por la mayoría de navegadores actuales pero algunos sistemas con navegadores antiguos como Internet Explorer 6 podrían no alertar al usuario de esta amenaza.

La propagación de este tipo de amenazas, camufladas en archivos html es una tendencia bastante frecuente en los últimos meses. Al no ser una extensión de las que los usuarios consideran peligrosas, la posibilidad de que pulsen sobre estos archivos es bastante mayor que en correos con otro tipo de ficheros adjuntos. Asimismo, a muchos filtros antispam aun les cuesta detectar amenazas en estos archivos puesto que el código malicioso suele encontrarse en un enlace preparado con ese fin y no en el correo. Las soluciones de seguridad de ESET detectan a los archivos adjuntos html como un troyano JS/TrojanDownloader.Pegel.BZ.

Desde el laboratorio de ESET en Ontinet.com aconsejamos a los usuarios que no se dejen llevar por el morbo que suelen provocar estas falsas noticias propagadas por email o, más recientemente, redes sociales como Facebook, Tuenti o servicios como Twitter. Los creadores de malware siempre intentarán aprovecharse de la curiosidad de la gente para propagar sus creaciones, así que lo mejor es no seguirles el juego. Adicionalmente, la descarga e instalación de un antivirus capaz de frenar este tipo de amenazas es una defensa esencial para mantener nuestros sistemas protegidos cuando nuestra curiosidad nos juega una mala pasada.

Josep Albors

La técnica usada no presenta ninguna novedad con respecto a otras usadas con anterioridad. Se nos envía un correo (bastante mal redactado, todo sea dicho) simulando ser una notificación de la Guardia Civil, instándonos a descargar un archivo desde un enlace proporcionado en el propio correo. Posiblemente, este correo hubiese pasado bastante desapercibido si no fuese por el remitente, suplantado usando técnicas de spoofing para hacer creer a los usuarios que este email proviene de alguien de confianza.

Ante el temor de que este archivo que se nos invita a descargar sea alguna denuncia o multa, es más que probable que muchos usuarios piquen en el anzuelo. No obstante, cuando procedemos a realizar la descarga aparecen pistas que nos pueden hacer pensar que, tal vez, el correo no venga de quien dice ser. Si nos fijamos en la dirección desde la cual se descarga el archivo, comprobaremos que no tiene nada que ver con el dominio de la Guardia Civil. Además, el archivo que se descarga es un ejecutable en lugar de un documento en formato .doc, .pdf o similar. Esto no quiere decir que estos otros tipos de archivos no puedan contener malware, pero es lógico pensar que un archivo .exe poca relación tiene con un documento.

Si optamos por descargar el archivo y lo ejecutamos, nuestro sistema quedará infectado con un código malicioso que las soluciones de seguridad de ESET detectan como un troyano Win32/TrojanDownloader.Banload.PFI. Una vez nuestro sistema esté infectado con este malware, procederá a descargarse más archivos maliciosos sin nuestro conocimiento además de robar información sensible de nuestro sistema como usuarios y contraseñas o direcciones de correo electrónico.

A pesar de que la técnica usada para propagarse no es nada novedosa, el uso de un remitente de confianza sigue siendo útil para engañar a los usuarios. Es por eso que, desde el laboratorio de ESET en Ontinet.com, aconsejamos desconfiar siempre de este tipo de correos y revisar con atención cualquier aspecto sospechoso del mismo (enlaces que no se correspondan al dominio del remitente, descarga de archivos de extensión diferente a la que nos esperamos, etc.). Asimismo, contar con un antivirus actualizado, puede evitar que nos infectemos si pulsamos sobre el enlace malicioso.

Josep Albors

Entre la multitud de emails que diariamente nuestro servidor de correo cataloga como spam, encontramos uno que nos llama la atención. Este correo dice provenir de la entidad Caja Cantabria y nos informa del ingreso de una cantidad (variable dependiendo del correo recibido) en nuestra cuenta.

Independientemente de que el usuario sea cliente de esa entidad, la simple curiosidad por ver si realmente se nos ha ingresado esa cantidad hace picar a más de uno. No es de extrañar que una cantidad nada despreciable de usuarios muerda el anzuelo y acceda a una web preparada para la ocasión. En esta web vemos como la referencia del banco pasa de Caja Cantabria al Banco de España, aunque, si nos fijamos atentamente, el dominio esta albergado en Rusia (pulse sobre la imagen para ampliarla).

Una vez aquí, lo único que se nos permite hacer es descargar un archivo ejecutable también albergado en el mismo dominio ruso. Si nos fijamos en estos detalles antes de descargar archivos de sitios sospechosos, podremos evitar muchas infecciones.

Si descargamos y ejecutamos este archivo, nuestro sistema se verá infectado por un malware del tipo bot, haciendo que nuestra máquina pase formar parte de un ejército de ordenadores zombies a disposición de un botmaster. Las soluciones de seguridad de ESET catalogan a este código malicioso como una variante de Win32/Kryptik.FZS.

Desde el laboratorio de ESET en Ontinet.com nos gustaría recordar que, cada día, miles de ordenadores caen en las redes de las botnets por infecciones parecidas. Es necesario que nosotros, como usuarios, estemos educados para prevenir estos engaños y descarguemos e instalemos un antivirus que nos permita bloquear las amenazas en el caso de que nos confiemos y pulsemos sobre ese enlace malicioso.

Josep Albors

Actualización 19/08: Horas después de publicar esta entrada observamos como se están enviando múltiples correos de este tipo pero usando como remitentes a la mayoría de cajas y bancos más conocidos. Aconsejamos eliminar cualquier correo parecido al que hemos analizado en este artículo, aunque como remitente aparezca su entidad bancaria.

Pero no todo iba a ser tan idílico, habiendo muchas ocasiones en la que el archivo que nos descargamos no se corresponde con lo que buscamos y además trae de regalo algún código malicioso. Ya desde los tiempos en los que Emule era la aplicación por excelencia cuando se trataba de compartir y descargar archivos, era frecuente (y lo sigue siendo a día de hoy) que cuando buscásemos algún archivo muy solicitado como el último estreno en nuestras carteleras, la última canción del cantante de moda o ese nuevo juego que tan buena pinta tiene nos encontrásemos alguna sorpresa en forma de malware camuflado como un crack o codec.

Ahora, tras el paso de Emule, Bittorrent y otros tantos programas y protocolos usados para la descarga de archivos, lo habitual es que nos descarguemos aquello que deseemos utilizando los enlaces que otros usuarios han colgado en diversas webs dedicadas a estos menesteres. De esta forma y usando servicios de almacenamiento gratuitos, nos encontramos con multitud de enlaces que nos permiten descargar grandes cantidades de archivos aprovechando las altas velocidades de conexión de las que disponemos hoy en día.

Pero, ¿quién revisa esos enlaces?, ¿cómo sabemos que no contienen nada que pueda perjudicar a nuestro sistema?. La respuesta es sencilla a la par que preocupante. Prácticamente ninguna empresa de las que ofrecen servicios de almacenamiento de archivos gratuitos se hace responsable de lo que los usuarios almacenan en sus servidores. Por tanto, de la misma manera que podemos descargarnos la película, juego o canción del momento, podemos encontrarnos con códigos maliciosos que, tras ejecutarlos de forma confiada, infecten a nuestro sistema.

Aunque muchos usuarios ya están concienciados de los riesgos que corren cuando se descargan archivos de fuentes no confiables, prefieren asumirlo por los supuestos beneficios que les supone. Paradojicamente, hay muchos casos en los que se busca descargar un antivirus de pago pero que haya sido modificado para que pueda usarse gratuitamente, encontrándonos muchas veces con que esta modificación incorpora algún tipo de software malicioso.

Desde el laboratorio de ESET en Ontinet.com nos gustaría recordar a los usuarios que, si bien los servicios de descarga de archivos han mejorado sustancialmente en los últimos años, debemos ir con cuidado con que nos descargamos. Los creadores de malware son conocedores del uso masivo que se les da a estos servicios y los inundan de códigos maliciosos buscando infectar el mayor número de sistemas posibles. Así pues, lo mejor que podemos hacer tras descargar algún archivo es analizarlo con un antivirus y desconfiar siempre de los programas del tipo crack o generadores de número de serie.

Josep Albors

Este vector de ataque ha ido perfeccionándose con el tiempo y, lo normal en estos días, es que la solicitud de instalación del falso códec se realice tras acceder a través de algún enlace a alguna web que, supuestamente, nos muestra algún video usando servicios como Youtube o similares. No obstante, recientemente hemos venido observando cómo se están empleando archivos de Quicktime Video (con extensión .mov) para propagar códigos maliciosos usando estas técnicas.

Investigadores de Trend Micro avisaron la semana pasada de que habían detectado un par de videos (“001 Dvdrip Salt.mov” y “salt dvdrpi [btjunkie][xtrancex].mov”), que supuestamente contenían la última película protagonizada por la actriz Angelina Jolie, compartiéndose en las redes de pares, torrents y servicios de descarga directa de archivos. Tras analizar estos archivos, descubrieron que solicitaba la descarga de un códec malicioso para poder visualizarlos y que en realidad se trataba de un troyano. Posteriormente también comprobaron cómo estos códecs maliciosos instalaban también una barra de publicidad no deseada y que contenía más troyanos.

Nuestro compañero e investigador David Harley de ESET USA junto con el responsable del laboratorio de ESET, Juraj Malcho, investigaron este caso y lograron detectar mas muestras de malware que usaban esta técnica de infección y que ESET clasificó como MOV/Exploit.QuickTime.A.

Al parecer, estos troyanos están preparados para descargar una serie de archivos de video maliciosos y que generan sus nombres a partir de una lista, con la finalidad de generar nombres de archivos atractivos para los usuarios y conseguir el mayor número de infecciones posible. Se puede encontrar información más detallada acerca de estos troyanos, los nombres de archivos usados para generar los archivos y la nomenclatura usada por ESET para estos códigos maliciosos en el post de David Harley hablando sobre este mismo tema.

Cabe recordar que, las muestras detectadas hasta el momento de escribir este artículo solo afectan a sistemas Windows aunque, al tratarse Quicktime de una aplicación multiplataforma, no deberíamos extrañarnos si apareciesen variantes que infectasen a sistemas Mac OS. Desde el laboratorio de ESET en Ontinet.com recomendamos descargar e instalar un antivirus que sea capaz de detectar estas amenazas antes de que logren infectar nuestro sistema.

Josep Albors

No obstante, en las últimas semanas hemos visto como se ha ido evolucionando de un simple correo con adjunto o enlace a algo más elaborado. En este mismo blog hemos comentado algunos casos de la evolución de los métodos de propagación de este tipo de malware y en los últimos días, hemos analizado otra más.

En esta ocasión nos encontramos con un correo de una supuesta empresa de transportes que solicita que rellenemos un formulario.

Aparentemente, no se observa ninguna novedad con respecto a otros casos similares. Si pulsamos sobre el enlace para descargar el archivo .pdf se nos mostrará una ventana de descarga indicando que vamos a proceder a descargar el fichero Arquivo_DSCF3197.cpl.

Aquí observamos una diferencia con respecto a los casos de infección clásicos de este tipo de troyanos. Normalmente se procede a descargar un archivo ejecutable .exe o un documento .pdf modificado para aprovechar alguna vulnerabilidad. No obstante, en esta ocasión se usa un archivo .cpl, utilizados por Windows para representar las herramientas del panel de control.

Asimismo, la dirección web que se usa para realizar la descarga pertenece a un club de artes marciales brasileño que nada tiene que ver con la propagación de esta amenaza. Recientemente hemos visto muchas páginas webs legitimas usadas para propagar malware por lo que debemos extremar las precauciones. Está también es una novedad en este tipo de ataques ya que lo normal era preparar una dirección web concreta y no utilizar una web legítima.

La utilización de los archivos con extensión .cpl para propagar malware no es habitual y puede que esta sea una de las causa por las que, en el momento de escribir este artículo, aun pocos motores antivirus detectaban esta amenaza. Tanto ESET NOD32 Antivirus como ESET Smart Security detectan este código malicioso como el troyano Win32/TrojanDownloader.Banload.PNO.

Cabe recordar que este tipo de amenazas sigue dependiendo en gran medida de las técnicas de ingeniería social para poder propagarse. Es por eso que, desde el laboratorio de ESET en Ontinet.com recomendamos extremar las precauciones a la hora de abrir correos no solicitados y contar con la protección de un antivirus actualizado capaz de detectar este tipo de amenazas.

Josep Albors

Una vez hemos aclarado en qué consiste esta aplicación pasemos a ver qué riesgos de seguridad presenta. Según informan un grupo de investigadores de la universidad de Colorado, existen fallos en la comunicación entre los participantes de una sesión de Chatroulette que exponen la privacidad de los mismos y pueden utilizarse para espiar conversaciones o realizar ataques de phishing dirigidos. Estos investigadores consiguieron engañar a muchos usuarios poniendo un vídeo grabado previamente en el que se mostraba a una atractiva joven. Asimismo pueden realizarse ataques man-in-the middle para interceptar o modificar comunicaciones y engañar a víctimas potenciales. Todo esto unido a la posibilidad de identificar la IP de los usuarios de este servicio representa un importante vector de ataque para realizar infiltraciones elaboradas y especialmente dirigidas.

Pero, ¿cómo se pueden realizar un ataque con esta información?. Veamos cómo podría ser un ataque dirigido a usuarios de Chatroulette.

• Iniciamos una sesión de chat con el video grabado que muestra una atractiva joven. Sabiendo que la mayoría de usuarios de este servicio son varones, no nos resultará difícil captar la atención de nuestra víctima.

• Una vez tenemos la atención de la víctima intentamos sacarle información confidencial como el lugar de residencia, teléfono intereses o si tiene algún perfil creado en una red social.

• Si la víctima es reticente a proporcionar datos confidenciales, aun podemos obtener su localización geográfica ya que, mientras la conexión esté establecida, el audio y el video son enviados a través de paquetes UDP. Un atacante podría obtener fácilmente la dirección IP de la víctima desde la cabecera de un paquete y, a continuación, usar un sistema de geolocalización IP para averiguar la ubicación aproximada de la víctima.

• Una vez hemos obtenido estos datos y, tras realizar un poco de investigación en redes sociales, como Facebook o Tuenti, podríamos completar un perfil bastante amplio de nuestra víctima y empezar a preparar ataques usando la ingeniería social, por ejemplo, enviándole mensajes presentándonos como un conocido y proporcionando información que alguien no cercano a la víctima supuestamente no podría conocer. A partir de este punto ya queda a discreción del atacante el tipo de fechoría que desee realizar a la incauta víctima.

Es por todo lo expuesto en este post que, desde el laboratorio de ESET en Ontinet.com, recomendamos extremar la precaución cuando usemos alguna aplicación como Chatroulette ya que muchas veces podemos proporcionar más información de la estrictamente necesaria.

Josep Albors