• Buscar

• Productos ESET

• Síguenos en Twitter

• Categorías

  • actualizaciones (68)
  • adware (5)
  • Android (20)
  • Anuncios (40)
  • Apple (30)
  • backdoor (7)
  • BlackHat SEO (5)
  • Botnets (57)
  • Cálico Electrónico (48)
  • certificados (4)
  • Clickjacking (9)
  • Curiosidades (54)
  • Cyberwar (21)
  • datos (33)
  • DDoS (17)
  • Defacement (18)
  • Educación (115)
  • email (11)
  • entrevista (7)
  • Espionaje (42)
  • Estadísticas (20)
  • Estudio (17)
  • Eventos (28)
  • exploit (100)
  • Facebook (56)
  • Filtraciones (74)
  • General (150)
  • Hacking (96)
  • hacktivismo (47)
  • Herramientas (26)
  • Heurística (6)
  • Hoax (4)
  • Humor (29)
  • Infografías (7)
  • Informes (28)
  • Ingenieria social (122)
  • Java (21)
  • Juegos (18)
  • Linux (1)
  • Mac (23)
  • Malware (289)
  • Mensajería (1)
  • PDF (2)
  • Phishing (73)
  • Piratería (7)
  • Privacidad (71)
  • Productos (41)
  • ransomware (9)
  • redes sociales (108)
  • rogue (26)
  • rootkit (2)
  • Scada (7)
  • Scam (26)
  • scareware (3)
  • seguridad (122)
  • sorteos (4)
  • Spam (146)
  • spyware (6)
  • telefonía (55)
  • timos (9)
  • Troyanos (34)
  • Tutoriales (23)
  • Twitter (9)
  • Unix (5)
  • Vulnerabilidades (284)

• Archivos

  • mayo 2013 (15)
  • abril 2013 (31)
  • marzo 2013 (28)
  • febrero 2013 (41)
  • enero 2013 (38)
  • diciembre 2012 (36)
  • noviembre 2012 (32)
  • octubre 2012 (43)
  • septiembre 2012 (43)
  • agosto 2012 (30)
  • julio 2012 (33)
  • junio 2012 (29)
  • mayo 2012 (22)
  • abril 2012 (12)
  • marzo 2012 (22)
  • febrero 2012 (21)
  • enero 2012 (26)
  • diciembre 2011 (17)
  • noviembre 2011 (19)
  • octubre 2011 (20)
  • septiembre 2011 (23)
  • agosto 2011 (24)
  • julio 2011 (18)
  • junio 2011 (16)
  • mayo 2011 (18)
  • abril 2011 (11)
  • marzo 2011 (18)
  • febrero 2011 (17)
  • enero 2011 (19)
  • diciembre 2010 (20)
  • noviembre 2010 (22)
  • octubre 2010 (27)
  • septiembre 2010 (30)
  • agosto 2010 (24)
  • julio 2010 (36)
  • junio 2010 (43)
  • mayo 2010 (27)
  • abril 2010 (26)
  • marzo 2010 (14)
  • febrero 2010 (16)
  • enero 2010 (14)
  • diciembre 2009 (7)
  • noviembre 2009 (5)
  • octubre 2009 (3)
  • septiembre 2009 (3)
  • agosto 2009 (8)
  • julio 2009 (6)
  • junio 2009 (2)
  • mayo 2009 (4)
  • abril 2009 (6)
  • marzo 2009 (6)
  • febrero 2009 (3)
  • enero 2009 (3)
  • diciembre 2008 (5)
  • noviembre 2008 (5)
  • octubre 2008 (10)
  • septiembre 2008 (9)
  • agosto 2008 (7)
  • julio 2008 (8)
  • junio 2008 (10)
  • mayo 2008 (13)
  • abril 2008 (12)
  • marzo 2008 (7)
  • febrero 2008 (5)
  • enero 2008 (2)
  • diciembre 2007 (7)
  • noviembre 2007 (6)
  • octubre 2007 (7)
  • septiembre 2007 (9)
  • agosto 2007 (3)
RSS Artículos | RSS Comentarios

Utilizan un servicio de juego online para infectar a jugadores y conseguir bitcoins

La popularidad que está teniendo la moneda virtual Bitcoin en las últimas semanas ha hecho que deje de ser considerada como algo anecdótico y experimental a ser considerada por muchos como una alternativa de inversión en los tiempos difíciles que corren. No hay más que ver las constantes fluctuaciones de su cotización para entender porque hay tanta gente interesada en invertir en esta moneda.

Sabemos de sobra por experiencias anteriores que, allí donde haya posibilidad de hacer negocio acudirán los ciberdelincuentes. En este blog, sin ir más lejos, venimos informando desde hace años de diferentes tipos de malware cuya finalidad es obtener el mayor número posible de estas monedas, bien sea robándola a los usuarios o aprovechando los recursos de sus ordenadores para generarlas.

Debido a la elevada potencia de cálculo necesaria para generar bitcoins, uno de los objetivos favoritos de los ciberdelincuentes son los jugones. Esto tiene una explicación muy sencilla y es que las tarjetas gráficas de gama alta son ideales para realizar los millones de cálculos computacionales que se necesitan para obtener una de estas monedas.

En esta ocasión nos hacemos eco de la utilización maliciosa del software de ESEA, una importante comunidad de juegos online entre los que encontramos algunos tan conocidos como Counter Strike, League of Legends o Team Fortress 2. Uno de los empleados consiguió modificar el software cliente anti-trampas de esta empresa para incluir una opción que se encargaba de utilizar los recursos del ordenador para minar bitcoins, algo que la propia empresa había estado probando de forma interna pero que terminó descartando.

Si bien la cantidad obtenida no ha sido especialmente elevada (alrededor de  3700 dólares desde el pasado 14 de abril), este incidente es bastante significativo por aprovechar el software de una empresa con buena reputación y dirigirse específicamente a un objetivo como son los jugadores online.

Fueron precisamente algunos de estos jugadores con este software instalado los que dieron la voz de alarma al notar que el uso de su tarjeta gráfica sobrepasaba el 90% aun cuando el ordenador se encontraba en reposo. Además este uso continuo de la GPU hace que esta se caliente en exceso y, en algunos casos, llegue incluso a averiarse por sobrecalentamiento.

En la web de esta comunidad de jugadores se ha colgado un aviso relatando los hechos y anunciando que, en compensación por las molestias ocasionadas, ofrecerá un mes de subscripción Premium a su servicio. Además, la cantidad de dinero obtenida de esta forma será donada a una asociación de lucha contra el cáncer.

Hace tiempo que los ciberdelincuentes aprovechan al máximo los recursos de los ordenadores que infecta. No hace falta que seamos una empresa o alguien importante para robarnos información confidencial. Cualquier dispositivo infectado y conectado a Internet, por modesto que sea, puede aportar beneficios a un ciberdelincuente de varias formas diferentes y eso es algo que debemos tener muy en cuenta.

Josep Albors

La plataforma de juegos Origin podría ser usada como vector de ataque

Aquellos lectores que nos siguen desde hace tiempo sabrán de nuestra pasión por los videojuegos y por las noticias de seguridad relacionadas con ellos. En este blog hemos tratado todo tipo de ataques y vulnerabilidades relacionados con algunos de los juegos más populares como World of Warcraft o Call of Duty, juegos que cuentan con millones de usuarios, lo que seguramente habrá atraído la atención de los ciberdelincuentes.

Además de descubrirse vulnerabilidades en los propios juegos, las plataformas de distribución digital de videojuegos como Steam también se han visto afectadas. No hace mucho comentábamos cómo se podría aprovechar una vulnerabilidad en Steam donde un atacante podría aprovecharse de la forma en la que el cliente de esta plataforma manejaba las peticiones a los buscadores.

Los mismos investigadores de la empresa Revuln que descubrieron esta vulnerabilidad vuelven a la carga con una investigación similar, pero en otra de las plataformas de distribución digital de videojuegos, Origin. La vulnerabilidad es muy similar a la que ya descubrieron en Steam y también tiene como protagonistas a los enlaces utilizados para lanzar los juegos y que, en este caso, tienen la siguiente nomenclatura: “origin://”.

De esta forma, un atacante tan solo tendría que preparar un enlace de este tipo e incluirlo en una web maliciosa, distribuirlo por correo o incluso por redes sociales. A partir de ahí, un usuario desprevenido podría pulsar sobre ese enlace creyendo que se trata de algo relacionado con su plataforma de distribución digital de videojuegos, pero que en realidad está ejecutando malware.

Se puede incluso utilizar una función denominada OpenAutomate y crear un enlace malicioso que, además de arrancar el juego, ejecutaría el malware desde la dirección IP definida por el atacante. Podemos observar un ejemplo de este tipo de enlace malicioso en la siguiente imagen, así como un vídeo preparado por los investigadores:

La solución temporal, al menos hasta que se solucione por parte de Origin, pasa por utilizar el protocolo “origin://” solo desde la propia plataforma de distribución digital, evitando o desactivando su ejecución en el sistema y (sobre todo) en el navegador.

De nuevo vemos otro ejemplo de cómo los más jugones también deben preocuparse por su protección. Aun hoy, muchos usuarios desactivan su protección antivirus mientras juegan, quedando expuestos durante tiempo más que suficiente para resultar infectados. Se puede jugar y contar con una solución antivirus sin que esta afecte al rendimiento del sistema, evitándonos así más de un desagradable disgusto.

Josep Albors

Aprovechan el lanzamiento de Crysis 3 para propagar malware en forma de crack

Nuestro compañero André Goujon de ESET Latinoamérica ha descubierto varios archivos maliciosos que se hacen pasar por cracks para el videojuego Crysis 3 de la empresa Crytek (que grandes) que ha sido lanzado al mercado hoy mismo. A continuación publicamos una adptación de su post.

El videojuego de disparos en primera persona (FPS por sus siglas en inglés) Crysis 3 es uno de los títulos más esperados de 2013 por los más jugones, motivo por el cual los cibercriminales ya han empezado a desarrollar códigos maliciosos diseñados para aprovechar la ansiedad de los fanáticos por acceder a la nueva versión que no quieren pasar por caja. Las muestras analizadas en este post son detectadas por ESET como Win32/Ainslot y Win32/TrojanDownloader.Wauchos.

Como hemos mencionado en ocasiones anteriores, una de las estrategias de propagación de amenazas más habitual es la aplicación de  técnicas de Ingeniería Social adaptadas especialmente para explotar diversas temáticas de actualidad y apelar a intereses específicos de ciertos usuarios- en este caso, jugadores. De acuerdo a investigaciones del Laboratorio de ESET Latinoamérica, se ha descubierto la publicación de falsos cracks (parches que permiten modificar el software original para, por ejemplo, ser utilizado sin haber comprado una licencia) del programa cuyo objetivo es infectar al equipo y abrir una puerta trasera a la espera de que el atacante envíe comandos remotos. El sistema infectado puede ser utilizado por los cibercriminales para descargar nuevas variantes de la amenaza, lanzar ataques DoS contra de otros equipos o servicios online, registrar lo que teclea el usuario (keylogger), o realizar capturas de la cámara web, entre otras operaciones.

Los falsos cracks han sido desarrollados como archivos de gran tamaño que van desde los 7 MB hasta los 33 MB. Es probable que esto se deba a que, frente a un supuesto archivo de bajo peso, algunas personas podrían sospechar que se trata de algo malicioso o falso. Con el fin de añadir credibilidad al engaño, el icono de la amenaza es otro aspecto que los atacantes suelen considerar a la hora de propagar programas falsos. En este caso, los iconos son idénticos a los del ejecutable del juego original. En otras ocasiones, incluso recurren a la creación de uno nuevo en base al diseño del videojuego. Por otro lado, muchas de estas amenazas muestran en el momento de ejecutarse, errores falsos que informan al usuario que el juego no ha podido ser “crackeado” o incluso, copian el crack “funcional” mientras realizan acciones maliciosas- como el caso del malware que afectó a usuarios del juego Prototype 2.

El falso crack de Crysis 3 viene en el interior de un ZIP o RAR cuyo nombre suele ser “Crysis 3 crack” o similar. Dentro del archivo comprimido es posible encontrar tanto el ejecutable malicioso como un fichero de texto que muestra las supuestas instrucciones y la descripción del juego. A continuación, se muestra una captura del icono utilizado en las variantes de malware analizadas en este post. Destaca el uso de un icono de alta resolución para engañar a la potencial víctima:

Si la víctima ejecuta el archivo (Win32/Ainslot), este procede a copiarse en la carpeta temporal de ese usuario de Windows como biocredprov.exe. Posteriormente, muestra dos mensajes falsos de error. El primero indica que el archivo “Activation.dll” no ha podido ser cargado y el segundo menciona que el sistema no cuenta con la memoria suficiente. A continuación se muestra una captura de ambos mensajes:

Seguidamente, el código malicioso abre una puerta trasera (backdoor) en el sistema infectado y espera a que un atacante envíe comandos remotos. La lista completa de acciones maliciosas puede ser consultada en la descripción de Win32/Ainslot disponible en Virus Radar. En los casos analizados, tanto el tamaño como el icono son adecuados al contexto. Pese a todos los detalles, de todas las variantes analizadas, solo una incluye información relacionada al juego dentro de las propiedades del ejecutable. La siguiente captura muestra las propiedades de dos variantes, una con información incoherente y otra con los datos “correctos”:

En la captura 1 es posible ver cómo la información (descripción, nombre de producto y copyright) que se proporciona no corresponde con Crysis 3, no obstante, en la otra muestra analizada, los cibercriminales mejoraron este detalle, tal y como se observa en la imagen 2. Al respecto, es importante aclarar que esos campos no son una forma fiable de comprobar si un ejecutable es legítimo o no. En el caso de la imagen 2 la información es correcta, sin embargo, son datos que los mismos cibercriminales insertan y no tiene relación con el desarrollador del juego.

Como se puede observar, los cibercriminales se aprovechan de esta situación para conseguir nuevas víctimas y de ese modo, obtener ganancias ilícitas. Implementar una solución de seguridad como ESET Smart Security permite proteger un ordenador de esta y otras amenazas. Por otro lado, le recomendamos a los jugadores configurar el “modo de juego” disponible en los productos ESET. De este modo, se disminuye el consumo de recursos y se evita que se muestre algún mensaje que pueda interrumpir la experiencia del juego.

Escrito por André Goujon
Adaptado por Josep Albors

PokerAgent y el robo de 16.000 contraseñas de Facebook

El siguiente post es una traducción y adaptación de “PokerAgent botnet stealing over 16,000 Facebook credentials” publicado en el blog de ESET Norteamérica por nuestro compañero Robert Lipovsky.

La red de “bots” llamada “PokerAgent”, a la que le seguimos la pista desde 2012, fue diseñada para conseguir datos de acceso a Facebook. También recogía datos de las tarjetas de crédito ligadas a cuentas de Facebook y estadísticas de los jugadores de “Zynga Poker”, supuestamente con la intención de estafar a las víctimas. Israel ha sido el país donde la amenaza ha sido más activa, con 800 ordenadores infectados y más de 16.000 credenciales de Facebook robadas.

Introducción

Hace aproximadamente un año, el laboratorio de investigación de ESET descubrió un troyano que le llamó la atención. Todo parecía indicar que había algo interesante: referencias a Facebook y a la aplicación Zynga Poker (que aparecían en cadenas de texto dentro del código), el código ejecutable “PokerAgent” y características de botnet, ya que el troyano contactaba con una red de control remoto.

ESET ha estado detectando diferentes variantes del troyano, denominado genéricamente MSIL/Agent.NKY. Tras el descubrimiento inicial, fuimos capaces de encontrar otras variantes del troyano, unas más antiguas y otras más modernas. También se consiguieron estadísticas de detección, que revelaron a Israel como el país con mayor actividad del código malicioso.

Hemos llevado a cabo un análisis profundo del código del troyano (tarea fácil, ya que estaba programado con C#, muy fácil de descompilar) e iniciamos la monitorización de la botnet. Los resultados se presentan a continuación y se encuentran ampliados en el whitepaper que analiza esta amenaza.

Funciones del malware

El autor del malware tiene una gran base de datos con credenciales de Facebook robadas (nombres de usuario y contraseñas). Al principio, no sabíamos cómo las había conseguido, pero al continuar la investigación se aclaró. Cuando el bot se conecta al centro de mando y control, le solicita tareas para llevar a cabo. Una de esas tareas equivale a un usuario de Facebook. El troyano está programado para iniciar sesión en una cuenta de Facebook y conseguir la siguiente información:

1. Estadísticas de Zynga Poker de la cuenta de Facebook en cuestión
2. Número de métodos de pago (p.ej. tarjetas de crédito) almacenadas en la cuenta de Facebook.

Las estadísticas del usuario en Zinga Poker se consiguen pasando la respuesta de la URL http://facebook2.poker.zynga.com/poker/inc/ajax/profile_popup.php?zid=1:%_FACEBOOK_ID%&signed_request=%_SIGNATURE% &platform=1.

Los datos devueltos se asemejan mucho a los mostrados más abajo, y tienen  información sobre el usuario, como su nombre, género, imagen del perfil de la cuenta, clasificación y puntos en Zynga Poker, número de amigos y estadísticas sobre cada mano jugada.

Al troyano solamente le interesa el género del usuario, sus puntos y su clasificación. Esta información se envía de vuelta al centro de mando y control.

Hay que tener en cuenta que para hacer la consulta el atacante solo necesita el identificador numérico de la cuenta de Facebook y un parámetro válido firmado por la aplicación Zynga Poker. En diferentes versiones del bot hemos detectado que se usaban diferentes parámetros.

Se puede encontrar más información sobre el popular juego Zynga Poker  aquí.

Con el fin de determinar el número de formas de pago vinculadas a la cuenta de Facebook, el bot primero tiene que entrar en esa cuenta, utilizando el nombre de usuario y contraseña que ya están en poder del atacante. Entonces, el troyano busca en https://secure.facebook.com/settings?tab=payments&section=methods y simplemente consigue el número que hay entre las etiquetas HTML en la cadena “You have <strong>X</strong> payment methods saved.” que se devuelve en HTML.

Siempre recomendamos que se sea muy cauteloso a la hora de almacenar datos de tarjetas de crédito en una aplicación, no solo en Facebook. De nuevo, toda la información se manda al centro de mando y control para actualizar la base de datos de víctimas.

El sistema infectado puede llevar a cabo diversas tareas en nombre de una víctima de Facebook:

1. Publicar enlaces en el muro del usuario de Facebook.

El propósito de esta función es llevar a otros usuarios de Facebook (por ejemplo, amigos de los usuarios a los que se les ha robado las credenciales de acceso) a una página falsa de acceso a Facebook, para robarles también a ellos su nombre de usuario y contraseña.

La tarea mandada al bot, aparte de un nombre de usuario y contraseña de Facebook, también contiene una URL (mandada de manera cifrada) y posiblemente algún texto de acompañamiento para publicarla (aunque no hemos visto que esta característica la use la botnet). El troyano, una vez iniciada sesión en Facebook, publica el link descifrado en el muro del usuario.

Aquí pueden verse unos cuantos ejemplos.

El enlace apuntará a una página web similar a la que aparece en la imagen más abajo. Durante la monitorización del botnet, hemos visto que redirecciona a diferentes páginas web. Tanto desde nuestra telemetría como desde el texto de las páginas web, podemos ver que los ataques están dirigidos mayormente a usuarios de Israel. Las páginas ofrecen noticias de prensa amarillista, que el usuario puede sentir curiosidad por ver.

Independientemente del tema de la página a la que redirigen, todas tienen un factor común: cada imagen tiene un enlace HTML a una página falsa de Facebook en la que iniciar sesión, como se puede ver más abajo. De nuevo, se han ido usando diferentes URL a lo largo del tiempo.

Como cabría esperar, cuando una víctima rellena sus datos en esta página falsa de Facebook, sus datos son mandados al atacante.

El análisis del código también revela una interesante característica de la lógica de programación del troyano. El código contiene una función llamada “ShouldPublish”, que determina si los enlaces a las páginas de phishing deben ser publicados en el muro del usuario. Esto dependerá de si la víctima tiene alguna tarjeta de crédito vinculada a su cuenta y su clasificación en Zynga Poker. Aparentemente, si se cumple una de las condiciones, el atacante lo considera un éxito, y, si no (no hay tarjetas y tiene una clasificación baja), el troyano buscará otras víctimas.

¿Cómo funciona el ataque?

Hay que aclarar que, a diferencia de otros troyanos que hemos visto propagarse frecuentemente por Facebook, este no intenta entrar ni interferir con la cuenta de Facebook del usuario que está infectado (de hecho, podría no tener una cuenta en Facebook). La botnet sirve más bien como un proxy, por lo que las actividades ilegales (las tareas ordenadas a los bots) no se ejecutan fuera del ordenador infectado.

Una vez dicho esto, todo lo anterior nos lleva a la conclusión de que el propósito de la botnet es:

1. Aumentar el tamaño de la base de datos de usuarios y contraseñas robados de Facebook.
2. Actualizar la base de datos: comparar los datos de los usuarios de Facebook con las estadísticas de Zynga Poker y las tarjetas de crédito almacenadas.

Solo nos cabe especular acerca de cómo el atacante emplea los datos robados. El código sugiere que el atacante busca usuarios de Facebook con cosas de valor que merezcan la pena robar, determinándolo por las estadísticas del juego de poker y los datos de la tarjeta de crédito almacenados en su cuenta de Facebook. Posteriormente, el cibercriminal puede usar para sí los datos de la tarjeta de crédito o quizá vender la base de datos a otros delincuentes.

Vector de propagación

Antes hemos visto la página falsa de Facebook que el atacante emplea para hacer que las víctimas le den sus datos de Facebook. Por lo que se refiere a la distribución del troyano “PokerAgent”, no hemos tenido la suerte necesaria para pillarle “con las manos en la masa”. Cuando monitorizamos la botnet en marzo de 2012, esta no seguía propagándose activamente. Lo que sí sabemos, sin embargo, es que el troyano se descarga en el sistema por algún otro componente (de los que hemos visto varias versiones). Este componente de descarga fue visto en la web, (en varias URL que cambiaban dinámicamente) y las víctimas han sido engañadas para descargarlo.

Por las técnicas que utiliza el troyano, es lógico suponer que el downloader también se distribuyó por Facebook, haciendo también uso de técnicas de ingeniería social.

Escala de los ataques y acciones llevadas a cabo

Hemos estado detectado el troyano MSIL/Agent.NKY desde el 3 de diciembre de 2011. Poco después nos dimos cuenta de que era algo que requería más atención y llevamos a cabo un análisis a fondo del código. Así, iniciamos el seguimiento de la amenaza y tras analizar el protocolo de su centro de mando y control, empezamos la monitorización de la botnet.

Gracias a nuestra detección genérica, pudimos conseguir tanto versiones iniciales como más modernas del troyano. En total encontramos 36 versiones distintas de “PokerAgent” con fechas de compilación comprendidas entre septiembre de 2011 y marzo de 2012. Los “hashes” MD5 se pueden encontrar al final del documento. Por tanto, comprobamos cómo el creador del malware estaba desarrollando activamente su proyecto.

El seguimiento de la botnet reveló que al menos 800 ordenadores habían sido infectados con el troyano, y el atacante tenía al menos 16.194 entradas únicas en su base de datos de credenciales de Facebook el 20 de marzo de 2012. Estos números no se corresponden exactamente con el número de credenciales válidas robadas, ya que puede haber muchas más que no hemos visto. Sin embargo, por lo que comprobamos, no todas las entradas eran válidas, y muchos usuarios que intentaron ser engañados introdujeron nombres de usuario y contraseñas visiblemente falsos.

Tal y como muestra la evolución de detecciones en nuestro ESET LiveGrid®, el autor del malware dejó la propagación activa del troyano a mediados de febrero de 2012.

Los ataques se concentran en un solo país. Nuestra telemetría indica que precisamente el 99% de todas las detecciones de MSIL/Agent.NKY de los productos de seguridad de ESET provienen de Israel.

En cuanto conseguimos información fidedigna de estas actividades delictivas, cooperamos tanto con el CERT de Israel como con la Policía. Los detalles de la investigación no pueden ser hechos públicos por razones de confidencialidad.

También hemos avisado a Facebook, y ha llevado a cabo tareas de prevención para frustrar futuros ataques en las cuentas robadas.

Conclusión

El caso “PokerAgent” representa un ataque con éxito a los usuarios de la red social más grande del mundo y a los jugadores del mayor sitio de Poker del mundo. Hay, sin embargo, varias prácticas de seguridad, además de la obvia recomendación de utilizar un antivirus actualizado, que habrían evitado que los atacantes tuvieran tanta suerte.

• No solo son necesarias medidas técnicas, sino que también la vigilancia del usuario es una protección contra todos los ataques que emplean ingeniería social. Aunque a simple vista la página falsa de Facebook es una copia perfecta de la auténtica, el usuario puede reconocerla como una copia si comprueba la barra de direcciones, aunque la mayoría de las víctimas fueron engañadas por la página.
• Facebook ha implementado varios mecanismos para mejorar la seguridad de sus usuarios. En concreto, el doble factor de autentificación podría haber evitado que los bots entraran en las cuentas de Facebook de las víctimas.
• Queremos insistir en que hay que ser cauteloso antes de permitir a los navegadores “recordar” contraseñas de servicios importantes, y mucho más si se están almacenando los datos de la tarjeta de crédito en cualquier aplicación, no solo en Facebook.

Con las redes sociales más populares siendo atacadas por malware, spam, phishing y otros propósitos nefastos, es muy recomendable asegurarse de que estamos protegidos de estos vectores de ataque también. Para mantener la cuenta de Facebook limpia, ESET ha presentado la aplicación ESET Social Media scanner.

Traducido y adaptdo por Yolanda Ruiz, Fernando de la Cuadra y Josep Albors

 

Resumen anual de seguridad informática: Facebook y Twitter protagonizaron incidentes de seguridad durante todos los meses de 2012

¡Madre mía qué mal lo hemos pasado este año haciendo el resumen! Hay que reconocer que la práctica ayuda, pero cuando tienes que seleccionar entre los 350 artículos que hemos publicado este año, todos ellos referentes a temas de seguridad y/o privacidad, el ejercicio es arduo. Siempre se queda algo fuera, y seguro que importante, pero al menos está todo lo que es más relevante a nivel internacional.

El pasado año ha seguido la estela de actividad en cuanto a seguridad informática se refiere, ya que todos los meses han sucedido hechos internacionales que han tenido sus efectos y una gran repercusión mediática. Si echamos un vistazo al Resumen Anual de Seguridad 2012 que nos hemos currado, veremos que hay nombres propios que se repiten a lo largo de cada uno de los meses y que protagonizan repetitivos incidentes de seguridad de forma reincidente.

En el capítulo de hacktivismo, Anonymous se ha mostrado especialmente activo este año operando en el frente tanto nacional como internacional. A nivel local, los miembros de este colectivo han publicado los datos privados de los responsables de la Ley Sinde a principios de año, han aprovechado los premios Goya para introducirse en los servidores de la Academia del Cine y obtener multitud de datos profesionales y personales, han protestado junto al colectivo sanitario por los recortes en Sanidad y han atacado, también en señal de queja por la situación económica, varias webs de partidos políticos.

Con respecto a actuaciones internacionales e intrusiones no autorizadas, numerosos organismos, instituciones y grandes empresas privadas han visto su seguridad e integridad vulneradas por una razón u otra. La realidad es que la NASA, varias universidades, entidades gubernamentales americanas, Sony, Amazon.com, T-Mobile, Nissan y VMWare, por solo citar unos ejemplos, se han convertido en blanco durante el pasado año de los cibercriminales.

Respecto a la aparición de nuevas amenazas informáticas, tanto la plataforma Mac como Android se han llevado la palma, sin desmerecer para nada a Windows, que sigue ostentando la gran cifra récord de 250.000 nuevos ejemplares mensuales. Otro dispositivo, como el eReader Kindle Touch, también ha tenido algún susto.

En cuanto a las técnicas de ingeniería social utilizadas para la distribución de spam o phishing, también hemos visto cómo se han seguido utilizando los hechos más internacionales y representativos, como los Juegos Olímpicos y la Supercopa, pero también han hecho mella otros ganchos como el de Michel Teló y su éxito del verano, servicios como SkyDrive de Microsoft o relacionados con juegos muy conocidos como League of Legends.

También 2012 ha sido el año en el que se han descubierto varias redes de botnets, algunas relacionadas con el espionaje internacional y con ataques dirigidos, como es el caso de Medre o de Flashback. A lo que se añaden las múltiples vulnerabilidades críticas en los programas habituales, como Adobe, Java y Windows.

Los problemas de privacidad derivados del uso de plataformas online especialmente diseñadas para enriquecerse a costa de los datos del usuario han dado mucho de qué hablar durante el pasado año, y hemos visto cómo prácticamente todos los grandes han tenido problemas en uno u otro sentido al enfrententarse a quejas y demandas justificadas que luchan por mantener la intimidad de la información personal de los usuarios compartida a través de este tipo de portales.

Pero ha habido más… Noviembre ha marcado un antes y un después en cuanto a actualidad mediática relacionada con la seguridad de la información, ya que el robo de la agenda de Pipi Estrada y su posterior publicación online puso a muchos famosos en jaque durante varios días. Igualmente, el supuesto bulo de las fotos eróticas de las chicas de Deusto puso en duda la integridad de la conocida universidad, aunque todo pareció más un invento que otra cosa.

Un año en el que hemos tenido prácticamente de todo y cuya información se encuentra resumida, mes a mes, en nuestro Informe Anual de Seguridad 2012.

¡Que la seguridad nos acompañe en 2013!

 

Yolanda Ruiz Hervás

 

Josep Albors

 

 

Denegación de servicio a servidores de Modern Warfare 3

Últimamente parece que algunos investigadores han puesto el punto de mira a descubrir vulnerabilidades en videojuegos populares, tanto en el videojuego en sí como en los servidores que se usan, por ejemplo, para el juego online. Este verano, sin ir más lejos, tuvimos la oportunidad de asistir a una de las charlas de la Defcon 20 donde se analizaron diferentes vulnerabilidades en varios juegos online.

También, hace unas semanas, analizamos en nuestro blog vulnerabilidades en Steam, el popular sistema de distribución digital de videojuegos. Los mismos investigadores de la empresa Revuln que se hicieron eco de este agujero de seguridad anuncian ahora una vulnerabilidad en el popular videojuego Call of Duty: Modern Warfare 3, agujero que podría llegar a causar una denegación de servicio en los servidores usados en el modo online.

El hecho de que esta vulnerabilidad afecte a uno de los principales exponentes del género de juegos de disparos en primera persona es preocupante, puesto que un atacante podría dejar sin posibilidad de usar el modo multijugador a millones de jugadores.

Según un informe que han elaborado estos investigadores, un error existente en el lado del servidor encargado de gestionar el juego online podría provocar un bloqueo de dicho servidor, impidiendo el acceso a este por parte de los jugadores y causando una denegación de servicio.

El problema se agrava al conocer que este problema se encuentra presente tanto en servidores públicos como privados. Si a esto unimos que es fácil conocer los servidores maestros que se encuentran actualmente conectados, nos encontramos en una situación en la que un atacante podría generar un ataque simultáneo a todos estos servidores dejando sin juego online a todos los jugadores de este videjuego.

El interés de los ciberdelincuentes en el mundo de los videojuegos no es algo casual. Se trata de una industria que, en algunos países como España, genera más ingresos que otras formas de ocio como el cine o la música. Y el mundo de los juegos online maneja unas cifras que muchas multinacionales quisieran para ellas mismas.

No es de extrañar, pues, que de un tiempo a esta parte hayamos visto una amplia variedad de amenazas orientadas a los jugones. Desde malware pensado para robar cuentas de juegos de rol multijugador como World of Warcraft a falsas aplicaciones maliciosas que se hacen pasar por el juego casual de moda, como pueda ser Angry Birds.

Desde el laboratorio de ESET en Ontinet.com creemos que las amenazas orientadas a jugones van a seguir creciendo, puesto que es un mercado muy suculento como para que los ciberdelincuentes lo dejen pasar. Es por eso que recomendamos precaución aunque vayamos a pasar un rato entretenido jugando a nuestro videojuego favorito.

Josep Albors

Esto no es un juego: aprovechando vulnerabilidades en Steam

Steam, la popular plataforma de distribución digital de videojuegos y contenido multimedia (y la culpable de que muchos de los integrantes del laboratorio nos dejemos en ella nuestros ahorros y nuestras horas libres :p) cuenta con más de 50 millones de usuarios en todo el mundo. Esta cifra es muy interesante para los ciberdelincuentes y en este mismo blog ya hemos comentado varios casos de phishing que se aprovechaban de su fama.

En esta ocasión, no obstante, vamos a comentar una serie de graves vulnerabilidades descubiertas por los investigadores Luigi Auriemma y Donato Ferrante de la empresa ReVuln, quienes han publicado un más que interesante informe donde explican cómo un atacante podría aprovecharse de la forma en que el cliente de Steam maneja las peticiones a buscadores.

Sin entrar en excesivos detalles técnicos por nuestra parte, en ese informe se detalla cómo aprovecharse del protocolo URL steam://, usado para conectarse a los servidores de los diferentes juegos, realizar copias de seguridad, ejecutar juegos o cargar noticias u otro tipo de contenido ofrecido por Valve, la empresa propietaria de esta plataforma. Aprovechándose de las vulnerabilidades descritas por estos investigadores, un atacante podría lanzar comandos usando direcciones steam:// y ejecutar código malicioso en el sistema del usuario.

En el siguiente gráfico obtenido del informe se explica de una forma visual y fácil de comprender cómo se pueden interceptar las peticiones de direcciones web realizadas a través de Steam y cargar código malicioso:

Una buena parte del problema se debe a que muchos navegadores no piden permiso al usuario antes de interactuar con el cliente de Steam y aquellos que lo hacen no avisan de posibles problemas de seguridad. De esta forma, y siempre según el informe, se podría engañar a un usuario para que pulse en una dirección del tipo steam:// o redirigirlo a un enlace malicioso desde donde descargar malware.

Además de esta vulnerabilidad, los investigadores advierten de otras que no se encuentran en el cliente de Steam, sino en varios juegos que usan motores Source o Unreal. Entre ellos se encuentran algunos de los más populares (y a las que más horas de vicio dedicamos), como pueden ser el inmortal Counter Strike, Half Life 2, Team Fortress 2 o Left 4 Dead.

Una vez hechas públicas estas vulnerabilidades es cuestión de tiempo que empiecen a ser aprovechadas por gente con pocos escrúpulos. Ahora mismo y hasta que el equipo de Valve publique un parche (lo cual esperamos que sea en un periodo de tiempo inferior al que queda para que lancen Half Life 3) la única solución para protegerse de estos posibles ataques pasa por deshabilitar el controlador de direcciones steam:// o usando un navegador que no permita la ejecución directa del protocolo de navegación de Steam.

Por nuestra parte no vamos a dejar de seguir dedicando el poco tiempo libre que nos deja el análisis de nuevas amenazas a conseguir headshots en DE_dust, acabar con la amenaza zombi junto a nuestros compañeros supervivientes, ir saltando de portal en portal en busca de la tarta prometida o terminar con la amenaza de otra dimensión a base de golpes de palanca. Eso sí, iremos con más cuidado a la hora de pulsar en enlaces dentro de Steam.

Josep Albors

Cuidado con los “cerdos malos”

Tranquilos, no se trata de un insulto hacia nadie, sino de la traducción en castellano de “Bad Piggies”, el último juego de Rovio, continuación de la saga ya por casi todos conocida Angry Birds. Y es que cuando los “malos” pasan a ser protagonistas en este caso de un juego, te puedes esperar casi cualquier cosa, como que sea una versión totalmente falsa que infecte tu ordenador y llene tus pantallas de publicidad indeseada…

Y es que esto es precisamente lo que ha sucedido: el pasado 27 de septiembre, Rovio lanzó una versión del popular juego teniendo como protagonistas a los cerdos verdes. Este juego se presentó para iOS, Android, Windows y Mac, y en pocos días ya había acumulado miles de descargas de fans de la saga que corrían para probar su última versión. En apariencia, todo parecía ser totalmente legítimo: se vendía por 1$ en el App Store para iPhone y por 3$ para iPad. Pero aparecieron varias versiones totalmente gratuitas en Google Play para jugar online.

Hasta aquí nada hacía sospechar, salvo por el simple detalle de que Rovio no lanzó exactamente todas las versiones gratuitas: alguien lo hizo por ellos aprovechando el tirón del lanzamiento y más de 80.000 usuarios de Chrome fueron víctimas de la instalación del regalito que venía con el juego. Y es que al jugar online, este instalaba un plug-in en el popular navegador que, automáticamente, infectaba el ordenador del usuario con un ejemplar de adware con la intención de recolectar sus datos y mostrar publicidad no deseada en la pantalla navegaran por donde fuera.

Y es que a poco que hagas búsquedas en Google Play, verás que hay varias versiones del juego, muchas de ellas sin firma de Rovio, su desarrollador. Por eso, desde ESET España siempre hacemos hincapié en la necesidad de extremar las precauciones a la hora de descargar aplicaciones o utilizarlas desde estos sitios y de asegurarnos de que estas son legítimas y están oficialmente firmadas y verificadas por el fabricante.

Como vemos en la imagen, sigue habiendo varias versiones en Google Play, pero no todas ellas están firmadas por Rovio:

Esperamos que no seas uno de los afectados, aunque si quieres quedarte totalmente tranquilo porque no has podido resistirte a este juego que nos engancha a todos, te recomendamos que hagas un análisis de tu ordenador en busca de cualquier rastro de adware con un buen programa de seguridad. Y si no lo tienes, o quieres una segunda opinión, recuerda que siempre tienes a tu alcance ESET Online Scanner, que analiza y desinfecta de forma totalmente gratuita y sin ningún tipo de registro previo.

Y dejando aparte estas precauciones, si no has probado el juego todavía, te recomiendo que lo hagas. Ahora, te advierto: ¡te va a enganchar!

Feliz partida con los “pájaros cabreaos” .

Yolanda Ruiz

Aprovechan un exploit para “matar” instantáneamente a personajes en World of Warcraft

Esta es el tipo de noticias que más atención despierta a los que somos jugones. Podemos pasarnos semanas hablando de vulnerabilidades en sistemas operativos, navegadores o dispositivos móviles, pero cuando nos tocan lo más sagrado saltamos como liebres, y si se trata de algo tan importante para algunos como el World of Warcraft, más aún.

Por lo visto alguien se está aprovechando de un fallo en el sistema de juego para hacer “travesuras” mientras juega. La llegada de la nueva expansión “Mists of Pandaria” hace un par de semanas ha hecho que muchos nuevos jugadores y veteranos que tenían su cuenta abandonada desde hace meses vuelvan a conectarse para revisar las novedades que Blizzard ha incluido en esta nueva expansión.

Pero parece que alguien ha estado rebuscando en el código del juego para diseñar un hack que permite obtener ciertas ventajas con respecto a los otros usuarios. Así pues, desde hace unos días se viene informando de sucesos extraños en localizaciones del mundo del WoW como Stormwind, Ogrimmar o Draenor, entre otros. Estas extrañas situaciones se estarían produciendo en servidores americanos y europeos, aunque no sería de extrañar que en otros servidores también hubiese sucedido.

Al parecer, el suceso que más revuelo ha estado causado han sido las muertes instantáneas de miles de personajes en kilómetros virtuales a la redonda de una de estas localizaciones. Estos incidentes se producían normalmente en lugares con gran concentración de jugadores y afectaba incluso a los PNJ (personajes no jugadores). En el vídeo que mostramos a continuación se ve cómo un usuario accede a un menú con varios comandos que no pertenece a la interfaz del juego.

Si nos fijamos bien en el vídeo, la herramienta que se aprovecha de estas vulnerabilidades tiene por nombre WoWPlus. Con solo una rápida búsqueda descubrimos que se trata de una herramienta que empezó a difundirse hace apenas tres meses y que permite a aquellos usuarios más tramposos obtener una ventaja sobre los demás. Como muestra, aquí tenemos una captura de la interfaz que añade a la propia del juego con las opciones adicionales:

En uno de los enlaces desde donde se promociona la herramienta vemos que hay una tabla de precios que varían dependiendo del número de sesiones a las que queremos aplicar el hack y el periodo de tiempo contratado. Todo un negocio montado a partir de trampas o cheats en el juego online más jugado actualmente y que ve cómo, cada cierto tiempo, sus jugadores son objeto de todo tipo de ataques.

La verdad es que este tipo de cheats, trucos o pokes (como los llamábamos en nuestra infancia) no es algo nuevo. Hace 30 años no éramos pocos los que copiábamos cientos de líneas de código en nuestros microordenadores de 8 bits como el Spectrum, MSX o Commodore para obtener ventajas adicionales con las que vencer a la máquina. La diferencia ahora radica en que nuestros adversarios son humanos y este tipo de tramposos no son nada bien vistos por la comunidad de jugadores (y si no, que se lo pregunten a los que usan aimbot en el Counter Strike).

Por suerte, esta vez no se ha visto comprometida la seguridad de las cuentas ni de los bienes virtuales de los jugadores y Blizzard se ha dado prisa en solucionar el problema anunciando a través de los foros y de comunicados oficiales que el fallo ya ha sido resuelto mediante un parche de emergencia y que ya no deberían volver a producirse este tipo de sucesos.

Por nuestra parte, desde el laboratorio de ESET en Ontinet.com, nos alegramos de que se combata la lacra de los tramposos en los juegos online con eficiencia. De esta forma, cuando terminamos de analizar malware podemos quedar con nuestros compañeros para hacer raids por Pandaria y acabar vía headshots con unos cuantos n00bs en de_dust :p

Josep Albors

Comprometida la seguridad de 11.000 cuentas de Guild Wars 2

El negocio de los juegos online sigue siendo una de las fuentes de ingresos más importante en la industria del ocio electrónico. Millones de jugadores se conectan cada día a los servidores de sus juegos favoritos para reunirse con sus clanes o grupos de amigos y divertirse durante unas horas. No obstante, como ya hemos comentado en anteriores ocasiones, los creadores de malware hace tiempo que fijaron como objetivo a este grupo de usuarios y cada cierto tiempo vemos ataques orientados a ellos.

En esta ocasión, la víctima ha sido la comunidad online de Guild Wars 2, un conocido MMORPG (juego de rol multijugador online), que se une a casos parecidos sufridos por usuarios de League of Legends, Blizzard Entertainment (desarrolladora de juegos tan conocidos como World of Warcraft y Diablo III) o incluso la plataforma online de distribución de videojuegos Steam.

Según informan en el propio wiki oficial de este juego, hay atacantes que han llevado a cabo la acción a partir de direcciones de correo y contraseñas obtenidos de otras filtraciones de otros juegos o sitios web. El sistema para robar cuentas de usuarios era simple pero efectivo. Tan solo se debe ir probando si alguno de los correos y contraseñas obtenidos con anterioridad coincide con los datos de acceso de usuarios de Guild Wars 2. De esta forma tan sencilla se calcula que han podido acceder a cerca de 11.000 cuentas.

Desde la propia web del juego dan una serie de consejos tan básicos como usar un usuario y contraseña únicos para registrarse y poder jugar a Guild Wars 2. Algo tan simple como eso, aplicado a los varios servicios online que usamos a diario, nos ahorraría muchos dolores de cabeza, puesto que evitaríamos comprometer varios servicios que no tienen relación entre ellos si uno sufre un ataque y se filtran los datos de acceso de los usuarios.

Mientras sigamos usando los mismos datos de acceso en diferentes servicios, nuestra seguridad será tan robusta como el eslabón más débil. Es por eso que tanto el uso de contraseñas robustas como el evitar repetir las mismas varias veces se hace esencial para poder gestionar nuestra presencia online con una seguridad aceptable, sin olvidar otros aspectos como evitar caer en la trampa del phishing con enlaces maliciosos.

Josep Albors

@JosepAlbors

Artículos Anteriores »