• Buscar

• Productos ESET

• Síguenos en Twitter

• Categorías

  • actualizaciones (68)
  • adware (5)
  • Android (20)
  • Anuncios (40)
  • Apple (30)
  • backdoor (7)
  • BlackHat SEO (5)
  • Botnets (57)
  • Cálico Electrónico (48)
  • certificados (4)
  • Clickjacking (9)
  • Curiosidades (54)
  • Cyberwar (21)
  • datos (33)
  • DDoS (17)
  • Defacement (18)
  • Educación (115)
  • email (11)
  • entrevista (7)
  • Espionaje (42)
  • Estadísticas (20)
  • Estudio (17)
  • Eventos (28)
  • exploit (100)
  • Facebook (56)
  • Filtraciones (74)
  • General (150)
  • Hacking (96)
  • hacktivismo (47)
  • Herramientas (26)
  • Heurística (6)
  • Hoax (4)
  • Humor (29)
  • Infografías (7)
  • Informes (28)
  • Ingenieria social (122)
  • Java (21)
  • Juegos (19)
  • Linux (1)
  • Mac (23)
  • Malware (289)
  • Mensajería (1)
  • PDF (2)
  • Phishing (73)
  • Piratería (7)
  • Privacidad (72)
  • Productos (41)
  • ransomware (9)
  • redes sociales (108)
  • rogue (26)
  • rootkit (2)
  • Scada (7)
  • Scam (26)
  • scareware (3)
  • seguridad (123)
  • sorteos (4)
  • Spam (146)
  • spyware (6)
  • telefonía (55)
  • timos (9)
  • Troyanos (34)
  • Tutoriales (23)
  • Twitter (9)
  • Unix (5)
  • Vulnerabilidades (284)

• Archivos

  • mayo 2013 (16)
  • abril 2013 (31)
  • marzo 2013 (28)
  • febrero 2013 (41)
  • enero 2013 (38)
  • diciembre 2012 (36)
  • noviembre 2012 (32)
  • octubre 2012 (43)
  • septiembre 2012 (43)
  • agosto 2012 (30)
  • julio 2012 (33)
  • junio 2012 (29)
  • mayo 2012 (22)
  • abril 2012 (12)
  • marzo 2012 (22)
  • febrero 2012 (21)
  • enero 2012 (26)
  • diciembre 2011 (17)
  • noviembre 2011 (19)
  • octubre 2011 (20)
  • septiembre 2011 (23)
  • agosto 2011 (24)
  • julio 2011 (18)
  • junio 2011 (16)
  • mayo 2011 (18)
  • abril 2011 (11)
  • marzo 2011 (18)
  • febrero 2011 (17)
  • enero 2011 (19)
  • diciembre 2010 (20)
  • noviembre 2010 (22)
  • octubre 2010 (27)
  • septiembre 2010 (30)
  • agosto 2010 (24)
  • julio 2010 (36)
  • junio 2010 (43)
  • mayo 2010 (27)
  • abril 2010 (26)
  • marzo 2010 (14)
  • febrero 2010 (16)
  • enero 2010 (14)
  • diciembre 2009 (7)
  • noviembre 2009 (5)
  • octubre 2009 (3)
  • septiembre 2009 (3)
  • agosto 2009 (8)
  • julio 2009 (6)
  • junio 2009 (2)
  • mayo 2009 (4)
  • abril 2009 (6)
  • marzo 2009 (6)
  • febrero 2009 (3)
  • enero 2009 (3)
  • diciembre 2008 (5)
  • noviembre 2008 (5)
  • octubre 2008 (10)
  • septiembre 2008 (9)
  • agosto 2008 (7)
  • julio 2008 (8)
  • junio 2008 (10)
  • mayo 2008 (13)
  • abril 2008 (12)
  • marzo 2008 (7)
  • febrero 2008 (5)
  • enero 2008 (2)
  • diciembre 2007 (7)
  • noviembre 2007 (6)
  • octubre 2007 (7)
  • septiembre 2007 (9)
  • agosto 2007 (3)
RSS Artículos | RSS Comentarios

Nuevo gusano se propaga por Skype y Google Talk usando acortadores de enlaces

Durante el día de ayer, nuestros compañeros del laboratorio de ESET Latinoamérica lanzaron una alerta de seguridad informando de una amenaza que estaba propagándose rápidamente por sistemas de mensajería como Skype o Google Talk. Esta amenaza, detectada por las soluciones de seguridad de ESET como Win32/Gapz.E, está consiguiendo un alto índice de infecciones, especialmente en países de Latinoamérica y otros como Rusia, Estados Unidos o Alemania.

Por lo que respecta a la situación en España, hemos empezado a detectar también casos (pocos, por el momento) de usuarios de nuestro país que nos alertan de mensajes sospechosos enviados por algunos de sus contactos y que incluyen menciones a unas supuestas fotos junto con un enlace acortado para poder descargarlas. Veamos un ejemplo:

Tal y como alertaban ayer nuestros compañeros de ESET Latinoamérica, los acortadores de enlaces utilizados para propagar esta amenaza son varios e incluyen tanto el propio acortador de Google (goo.gl) como estos otros:

• bit.ly
• ow.ly
• urlq.d
• is.gd
• fur.ly

Aunque en principio se pensó que esta amenaza tan solo se propagaba usando Skype, como en anteriores ocasiones, también se observó cómo el sistema de mensajería Google Talk también era utilizado para propagar enlaces maliciosos. Esto parece indicar que los ciberdelincuentes detrás de esta campaña piensan utilizar todas las posibilidades para propagar sus amenazas al máximo número de usuarios posible.

Es importante destacar la rapidez con la que esta amenaza se está propagando por varios países. Si bien en España aún son pocos los casos detectados, el hecho de que el mensaje utilizado para convencernos de pulsar en un enlace malicioso se encuentre también en español puede facilitar la propagación de este malware en todos los países de habla hispana.

Nuestros compañeros apuntan a que ya son más de 300.000 los usuarios afectados en Latinoamérica, cifra que no nos extraña tras comprobar que algunos de los enlaces maliciosos propagados conseguían miles de visitas en poco tiempo.

Entre las muestras que hemos analizado propagándose también hemos detectado una serie de ficheros .HTA. Este tipo de ficheros están directamente relacionados con los ficheros .HTML, aunque la mayoría de navegadores no los reconocerá como algo que puedan mostrar y aparecerá un cuadro de diálogo preguntando qué deseamos hacer, tal y como vemos a continuación:

El problema con los ficheros .HTA es que también pueden ser abiertos como un fichero ejecutable .EXE, con todo el peligro que ello supone en un sistema que no cuente con las medidas de protección adecuadas.

De hecho, en alguna de las muestras de ficheros .HTA que hemos analizado, hemos detectado lo que parecería ser una recopilación de sistemas infectados por esta amenaza, insertados dentro del código del archivo en forma de comentarios. Además, dentro del código se observa cómo se intenta modificar el registro, cómo la amenaza intenta replicarse en el sistema si no está presente y otras funciones más que aún estamos analizando.

Es, en definitiva, una nueva amenaza que utiliza servicios de mensajería para propagarse y que está consiguiendo un elevado número de infecciones por varios países de todo el mundo. Si bien la técnica usada no es nada novedosa, la reciente desaparición del Messenger como sistema de mensajería puede que haya sido aprovechada por los ciberdelincuentes para pillar a usuarios desprevenidos de otros sistemas de mensajería.

Ante esta situación lo mejor es permanecer alerta, evitar pulsar sobre enlaces acortados no solicitados generados por sistemas de acortamiento de enlaces públicos (por mucho que vengan de contactos de confianza) y mantener nuestro antivirus actualizado para detectar cualquier nueva variante de malware que se intente propagar usando esta técnica.

Josep Albors

Datos del fichero analizado:

MD5 : 727172b7accdb144474dd1449a52d067

HASH SHA1: 6fb5334e1064aedbdf32dfef38b22115fe7d7597

Descubierto nuevo malware para Mac que captura la pantalla de la víctima

El malware para Mac sigue aumentando y, cada cierto tiempo, se descubren nuevas amenazas para los ordenadores de Apple. Una de las amenazas detectadas recientemente fue descubierta durante la celebración del Oslo Freedom Forum, un evento organizado precisamente para ayudar a protegerse a los activistas de varias organizaciones de espionaje gubernamental.

Fue en ese foro donde el investigador Jacob Appelbaum detectó algo sospechoso en el ordenador Mac de uno de los activistas, y que resultó ser una nueva amenaza para este sistema. Este malware tiene funciones de puerta trasera y está diseñado para robar información del ordenador infectado. Se instala en el sistema como una aplicación de nombre “macs.app” que se ejecuta automáticamente después de que el usuario se haya registrado en el sistema.

Un dato importante es que este malware se encuentra firmado con un identificador de desarrollador de Apple, algo que permitiría a esta amenaza sobrepasar algunas medidas de protección de Mac como la prevención de ejecución de ficheros conocida como Gatekeeper.

Nuestros compañeros de F-Secure han estado echando un ojo a esta amenaza y han descubierto algunos datos curiosos, como que el malware realiza capturas de pantalla periódicamente y las guarda en una carpeta del sistema de nombre MacApp.

A pesar de que este malware no se encuentra, ni mucho menos, extendido y su eliminación es relativamente fácil, demuestra el interés creciente de algunos ciberdelincuentes (o incluso gobiernos) por infectar a usuarios de Mac. Es importante aplicar las medidas de seguridad básicas independientemente del sistema operativo que estemos usando, medidas que incluyen utilizar el sistema con privilegios limitados, actualizar periódicamente el sistema y las aplicaciones instaladas, no descargar aplicaciones de sitios que no inspiren confianza, contar con una solución antimalware con cortafuegos y, sobre todo, aplicar el sentido común.

Josep Albors

 

Utilizan un servicio de juego online para infectar a jugadores y conseguir bitcoins

La popularidad que está teniendo la moneda virtual Bitcoin en las últimas semanas ha hecho que deje de ser considerada como algo anecdótico y experimental a ser considerada por muchos como una alternativa de inversión en los tiempos difíciles que corren. No hay más que ver las constantes fluctuaciones de su cotización para entender porque hay tanta gente interesada en invertir en esta moneda.

Sabemos de sobra por experiencias anteriores que, allí donde haya posibilidad de hacer negocio acudirán los ciberdelincuentes. En este blog, sin ir más lejos, venimos informando desde hace años de diferentes tipos de malware cuya finalidad es obtener el mayor número posible de estas monedas, bien sea robándola a los usuarios o aprovechando los recursos de sus ordenadores para generarlas.

Debido a la elevada potencia de cálculo necesaria para generar bitcoins, uno de los objetivos favoritos de los ciberdelincuentes son los jugones. Esto tiene una explicación muy sencilla y es que las tarjetas gráficas de gama alta son ideales para realizar los millones de cálculos computacionales que se necesitan para obtener una de estas monedas.

En esta ocasión nos hacemos eco de la utilización maliciosa del software de ESEA, una importante comunidad de juegos online entre los que encontramos algunos tan conocidos como Counter Strike, League of Legends o Team Fortress 2. Uno de los empleados consiguió modificar el software cliente anti-trampas de esta empresa para incluir una opción que se encargaba de utilizar los recursos del ordenador para minar bitcoins, algo que la propia empresa había estado probando de forma interna pero que terminó descartando.

Si bien la cantidad obtenida no ha sido especialmente elevada (alrededor de  3700 dólares desde el pasado 14 de abril), este incidente es bastante significativo por aprovechar el software de una empresa con buena reputación y dirigirse específicamente a un objetivo como son los jugadores online.

Fueron precisamente algunos de estos jugadores con este software instalado los que dieron la voz de alarma al notar que el uso de su tarjeta gráfica sobrepasaba el 90% aun cuando el ordenador se encontraba en reposo. Además este uso continuo de la GPU hace que esta se caliente en exceso y, en algunos casos, llegue incluso a averiarse por sobrecalentamiento.

En la web de esta comunidad de jugadores se ha colgado un aviso relatando los hechos y anunciando que, en compensación por las molestias ocasionadas, ofrecerá un mes de subscripción Premium a su servicio. Además, la cantidad de dinero obtenida de esta forma será donada a una asociación de lucha contra el cáncer.

Hace tiempo que los ciberdelincuentes aprovechan al máximo los recursos de los ordenadores que infecta. No hace falta que seamos una empresa o alguien importante para robarnos información confidencial. Cualquier dispositivo infectado y conectado a Internet, por modesto que sea, puede aportar beneficios a un ciberdelincuente de varias formas diferentes y eso es algo que debemos tener muy en cuenta.

Josep Albors

Linux/Cdorked.A: nuevo backdoor para Apache que se está usando para propagar el malware Blackhole

El siguiente articulo es una adaptación del post publicado en el blog We Live Security de ESET por nuestro compañero Pierre-Marc Bureau.

La semana pasada, nuestros amigos de Sucuri nos enviaron una versión modificada  de un servidor web Apache que redirigía algunas de sus peticiones al infame kit de exploits Blackhole. Sucuri ha publicado un artículo en su blog hablando de este ataque.

Nuestro análisis de este malware, bautizado como Linux/Cdorked.A, revela que estamos ante un backdoor sofisticado y que sabe ocultarse, diseñado para dirigir el tráfico a sitios webs maliciosos. Instamos a los administradores de sistemas a que revisen sus servidores y verifiquen que no se encuentran afectados por esta amenaza. Más adelante veremos los pasos a realizar para realizar esta revisión (se puede encontrar más información acerca de Blackhole en el siguiente enlace).

De hecho, Linux/Cdorked.A es uno de los backdoors de Apache más sofisticados con los que nos hemos topado hasta ahora. A pesar de que aún nos encontramos procesando los datos, nuestro sistema Livegrid informa de cientos de servidores comprometidos. El backdoor no deja rastro de los hosts comprometidos en el disco duro, más allá del binario httpd, lo que complica el análisis forense. Toda la información relacionada con el backdoor se almacena en la memoria compartida. El atacante lanza la configuración a través de peticiones HTTP ofuscadas que no son registradas en los logs normales de Apache. Esto significa que no se almacena ninguna información en el sistema sobre centros de mando y control.

Análisis técnico de Linux/Cdorked

A continuación mostramos el primer análisis técnico de Linux/Cdorked, que parece estar afectando a cientos de servidores web en estos momentos. En el binario de Linux/Cdorked encontramos todas las cadenas sospechosas cifradas. Tal y como se muestra en la siguiente imagen, una función es responsable de descifrar las cadenas a petición con una clave XOR estática.

La versión de Linux/Cdorked que hemos analizado contiene un total de 70 cadenas que se encuentran codificadas de esta manera. Tal y como se muestra en la siguiente captura de pantalla, la clave usada para cifrar los datos es: 27A4E2DADAF183B51E3DA7F6C9E6239CDFC8A2E50A60E05F

Como hemos mencionado anteriormente, Linux/Cdorked no guarda ningún fichero en el disco. En su lugar, reserva alrededor de seis megabytes de memoria compartida para mantener la información de su estado y configuración. Este bloqueo de memoria, una región POSIX de memoria compartida (shm), se usa para todos los subprocesos de Apache, pero también puede ser accedida por otros procesos, ya que los autores de este malware no limitaron sus permisos. La siguiente captura de pantalla muestra los permisos (lectura, escritura para todos) asignados a la región de la memoria compartida.

Hay dos formas que el atacante puede utilizar para controlar el comportamiento de un servidor infectado: a través de una shell de conexión inversa o a través de comandos especiales, todos los cuales son activados vía peticiones HTTP.

El backdoor Linux/Cdorked.A

El servidor HTTP está equipado con un backdoor de conexión inversa que puede ser activado mediante una petición HTTP GET especial. Se le invoca cuando una petición a una ruta especial se realiza con una cadena de búsqueda en un formato en particular, conteniendo el nombre del host y el puerto al que se va a conectar. La dirección IP de un dialogo HTTP se usa como clave para descifrar la cadena de búsqueda como una clave XOR de 4 bytes. Adicionalmente, la IP especificada en las cabeceras X-Real-IP o X-Forwarded-For sobreescribirá tanto la IP del cliente como la clave XOR. Esto significa que podemos crear una cabecera X-Real-IP que será una clave “\x00\x00\x00\x00”. La cadena de búsqueda también necesita estar codificada en hexadecimal antes de enviarse.

Mientras que la shell es usada por el atacante, la conexión HTTP se cuelga (el código del backdoor no implementa la posibilidad de realizar un fork). Esto significa que las shells maliciosas pueden ser encontradas si se tiene acceso al servidor y se buscan conexiones HTTP de larga duración. Por otro lado, las peticiones HTTP no aparecen en el fichero de registro de Apache debido a la manera en la que este código malicioso se ancla en Apache.

Redirección en Linux/Cdorked.A

Cuando se redirecciona a un cliente, el malware añade una cadena codificada en base64 a la búsqueda que contiene información como la URL visitada inicialmente y si la petición fue o no originalmente un archivo javascript para que el servidor pueda descargar el malware adecuado.

Un ejemplo de redirección tiene este aspecto:

Location:hxxp://dcb84fc82e1f7b01.xxxxxxgsm.be/index.php?j=anM9MSZudmNiaW11Zj1jY3Zja3FqdSZ0aW1lPTEzMDQxNjE4M

jctMzYwNDUzNjUwJnNyYz0yMzImc3VybD13d3cuaW5mZWN0ZWRzZXJ2ZXIu

Y29tJnNwb3J0PTgwJmtleT0xM0Q5MDk1MCZzdXJpPS9mb3J1bS93Y2YvanMv

M3JkUGFydHkvcHJvdG9hY3Vsb3VzLjEuOC4yLm1pbi5qcw==

Tras descifrarlo, aparecen los siguientes parámetros:

js=1&nvcbimuf=ccvckqju&time=1304161827-360453650&src=232&surl=www.infectedserver.com&sport=80&key=13D90950&suri=/forum/wcf/js/3rdParty/protoaculous.1.8.2.min.js

El parámetro “surl” muestra el host infectado mientras que el “suri” indica cuál fue el recurso originalmente solicitado.

Tras la redirección, una cookie se establece en el cliente para que no sea redireccionado de nuevo. Esta cookie también se establece si se realiza una petición para una página que se parezca a una página de administración. El backdoor revisará si la URL, el nombre del servidor o el referrer coincide con alguna de las siguientes cadenas de texto: ‘*adm*’, ‘*webmaster*’, ‘*submit*’, ‘*stat*’, ‘*mrtg*’, ‘*webmin*’, ‘*cpanel*’, ‘*memb*’, ‘*bucks*’, ‘*bill*’, ‘*host*’, ‘*secur*’, ‘*support*’. Esto se realiza probablemente para evitar enviar contenido malicioso a los administradores del sitio web, haciendo que la infección sea más difícil de detectar. La siguiente captura de pantalla muestra parte del código responsable de manejar la cookie de la web.

Han de cumplirse unas cuantas condiciones adicionales antes de que se produzca la redirección. Por ejemplo, se busca la presencia de cabeceras Accept-Language, Accept-Encoding y Referrer.

Otros comandos de Linux/Cdorked.A

Encontramos 23 comandos en Linux/Cdorked.A que pueden enviarse al servidor vía POST a una URL especialmente diseñada. Esta petición debe contener una cabecera de la cookie que empiece por “SECID=”. El valor de la cadena de búsqueda debe contener 2 bytes codificados en hex que se encuentran cifrados con la IP del cliente, usando la misma técnica que la Shell. Los datos de la cookie SECID se usarán como argumentos para algunos de los comandos. Creemos que las URL para redireccionar a los clientes se envían al backdoor usando este método. La información de redirección se almacenará de forma cifrada en la región reservada de la memoria compartida. También creemos que las condiciones para la redirección se configuran de esta forma para, por ejemplo, preconfigurar una lista blanca de user agents para redireccionarlos y establecer una lista negra de IPS para evitar esta redirección.

Esta es la lista completa de comandos encontrados en el binario que hemos analizado: ‘DU’, ‘ST’, ‘T1′, ‘L1′, ‘D1′, ‘L2′, ‘D2′, ‘L3′, ‘D3′, ‘L4′, ‘D4′, ‘L5′, ‘D5′, ‘L6′, ‘D6′, ‘L7′, ‘D7′, ‘L8′, ‘D8′, ‘L9′, ‘D9′, ‘LA’, ‘DA’.

Finalmente, se envía información acerca del estado del backdoor de vuelta usando la cabecera ETag HTTP, tal y como se muestra en la captura de pantalla más abajo. Seguimos investigando el propósito de cada uno de los comandos y publicaremos nuestros resultados tan pronto como finalice el análisis. En resumen, todos ellos añaden contenido a, o lo eliminan de, la configuración en la región de la memoria compartida.

Eliminación de Linux/Cdorked.A

Tal y como hemos mencionado anteriormente, los permisos en la asignación de la memoria compartida son bastante vagos. Esto permite que otros procesos puedan acceder a la memoria. Hemos desarrollado una herramienta gratuita para permitir a los administradores de sistemas comprobar la presencia de la región en la memoria compartida y volcar su contenido a un archivo.

También recomendamos usar debsums para sistemas Debian y Ubuntu y rpm-verify para sistemas basados en RPM, para así comprobar la integridad de la instalación de su servidor Apache. No obstante, recordad aplicar esta medida con precaución puesto que el paquete puede haber sido alterado por un atacante.

Buscar por la presencia de este malware en la memoria compartida es el método recomendado para asegurarnos de que no estamos infectados. Asimismo, estamos interesados en recibir cualquier volcado de memoria para su análisis.

En el momento de escribir este artículo, el sistema de monitorización Livegrid de ESET muestra cientos de servidores web que parecen estar afectados por este backdoor, con miles de visitantes siendo redireccionados a contenido malicioso. Publicaremos más información acerca de la escala y complejidad de esta operación en los próximos días.

SHA1 del binario analizado: 24e3ebc0c5a28ba433dfa69c169a8dd90e05c429

Traducido y adaptado por Josep Albors

Contactos de Skype propagan enlaces con malware

Durante las últimas horas hemos venido observando cómo un nuevo malware está usando de nuevo el popular sistema de mensajería y videollamadas Skype para propagarse. Esta nueva amenaza utiliza el conocido truco de envío de enlaces junto a un texto que provoca la curiosidad del usuario y hace que este se sienta tentado de hacer clic. El hecho de que el remitente de este mensaje sea un contacto también ayuda a que los usuarios bajen la guardia.

Según podemos observar en la siguiente captura de pantalla obtenida por nuestros compañeros de Segu-Info, el mensaje se encuentra en español e invita a pulsar sobre un enlace acortado que utiliza los servicios de goo.gl y bit.ly. De esta forma, el usuario desconoce qué se encuentra detrás de ese enlace y será más propenso a pulsar sobre él.

Imagen cortesía de Segu-Info

Existe una variante similar de este enlace malicioso que se ha estado propagando utilizando mensajes en inglés y que, según nuestros compañeros de Kaspersky, hace mención a un fichero de imagen:

i don’t think i will ever sleep again after seeing this photo http://www.goo.gl/XXXXX?image=IMG0540250-JPG

Si nos fijamos, también utilizan acortadores de URL, pero el supuesto archivo con extensión JPG no es tal, puesto que utilizan un guion en lugar de un punto para separar el nombre de la imagen de su extensión.

El archivo descargado en realidad es un fichero comprimido de nombre skype-img-04_04-2013.zip o similar y que las soluciones de seguridad de ESET detectan como una variante de Win32/Kryptik.AYAB. Este malware descarga al ejecutarse otro fichero que tiene como finalidad conectarse con uno o varios centros de control.

Según indican los análisis realizados hasta el momento, parece que la finalidad del malware es integrar los sistemas que infecta como parte de una botnet cuya principal utilidad parece ser obtener monedas virtuales Bitcoin, utilizando para ello la potencia de cálculo de los ordenadores infectados.

El mejor consejo que podemos dar para evitar que esta amenaza infecte nuestro sistema es no pulsar sobre enlaces acortados, aunque estos provengan de contactos de confianza. Si nuestro sistema ya ha sido afectado podemos, además de analizarlo con un antivirus actualizado, seguir los pasos que comentan desde InfoSpyware para eliminar todo rastro de este malware y evitar que siga usando nuestra cuenta de Skype para propagarse entre nuestros contactos.

Para ello deberemos acceder al menú de “Herramientas” > “Opciones” y, una vez allí, pulsar sobre la opción “Administrar el acceso de otros programas a Skype”.

Imagen cortesía de InfoSpyware

Una vez en esa sección deberemos buscar cualquier aplicación desconocida que no hayamos instalado y eliminarla. Muy probablemente, el fichero malicioso tenga un nombre generado por caracteres aleatorios, lo que hará más sencilla su identificación.

Imagen cortesía de InfoSpyware

Como vemos, hay tácticas de propagación de malware que siguen usándose y obteniendo un notable éxito a pesar de que sean conocidas desde hace varios años. Esta amenaza tan solo cambia el prácticamente extinto Messenger por Skype como vector de difusión, algo lógico sabiendo que los usuarios del primero han tenido que ir migrando al segundo por la retirada de Messenger del mercado por parte de Microsoft.

De cualquier forma, el método para evitar infectarse es el mismo que se ha venido usando durante los últimos años: desconfiar de mensajes con enlaces acortados aunque hayan sido enviados por nuestros contactos. De esta sencilla forma nos evitamos que nuestro sistema quede infectado y tener que proceder a la siempre molesta tarea de limpiarlo.

Josep Albors

Analizando quién está detrás del ¿ciberataque? a TVs y bancos de Corea del Sur

Las redacciones de muchos periódicos y agencias de noticias están que echan humo desde que esta madrugada (06:00 en España y 14:00 en Corea del Sur) se supo  que las redes informáticas de al menos tres estaciones de televisión surcoreanas y dos de sus bancos más importantes habían sufrido interrupciones en su servicio.

Inmediatamente se encendieron las alarmas, algo comprensible en un país con una relación tan tensa con su vecino Corea del Norte, y más aún desde que este último acusara a sus enemigos de haber lanzado un ataque informático contra sus instalaciones. No han sido pocos los medios que han acusado al régimen norcoreano de estar detrás de estos incidentes, pero eso, como en el caso de los supuestos ciberataques realizados desde China, es ir a por los sospechosos habituales sin prueba alguna.

Aunque las noticias que nos han llegado desde Corea del Sur son confusas, desde el laboratorio de ESET en Ontinet.com hemos tratado de recopilar el máximo de información posible para analizar este caso con calma e intentar averiguar quién se esconde detrás de este suceso.

El grueso del incidente fue producido por la súbita caída de las redes de varias estaciones de televisión y bancos, algo que más de un gobierno podría considerar infraestructuras críticas y que hizo que el ejército surcoreano se pusiera en estado de máxima alerta. No obstante, si nos fijamos en los detalles, varios medios también indicaron que algunos ordenadores se colgaron y no pudieron ser reiniciados, mostrando mensajes de error en la pantalla.

Algunos de los servicios de los bancos atacados también se vieron afectados, como la banca electrónica y los cajeros automáticos, aunque fueron reestablecidos poco después. Asimismo, el proveedor de Internet surcoreano LG Uplus también mostró sus sospechas de que su red se hubiese visto comprometida al descubrirse una web comprometida  por un grupo autodenominado “Whois team” y que dejó el siguiente mensaje:

Hasta aquí, y de ser cierta toda la información que se ha publicado, parece que se ha generado mucho ruido, demasiado para ser un ciberataque entre países, ya que estos se caracterizan por pasar desapercibidos durante largos periodos de tiempo. Es más, a las pocas horas de ocurrir este incidente, una compañía de seguridad local analizaba lo que parecía ser una muestra del malware usado en este incidente.

Tras este análisis, se ha podido comprobar que este malware sobrescribía el MBR de la máquina infectada, lo que explicaría por qué algunos sistemas no podían reiniciarse. Además, se han encontrado dos cadenas de texto en el código del malware: PRINCPES y HASTATI. Desconocemos el significado de la primera, pero Hastati parece hacer referencia a los Asteros o soldados de infantería ligera de los ejércitos de la República Romana. Puede que los perpetradores de este ataque los hayan tomado como símbolo o puede ser una mera casualidad.

Lo que parece confirmarse si analizamos casos anteriores, es que este incidente parece más obra de un grupo de ciberterroristas o incluso de un grupo que solo quería ganar popularidad que de un ataque organizado por otro país. Si bien las infraestructuras atacadas pueden considerarse críticas, el modus operandi responde al de las amenazas de la vieja escuela, con un grupo de gente que quiere ganar notoriedad mostrando el nombre de su grupo, realizando defacements y utilizando malware para causar daño inmediato a los sistemas infectados.

Aún es pronto para lanzar acusaciones e igual nuestras conjeturas están equivocadas, pero es muy sospechoso que, pudiendo realizar una labor de espionaje como suele ser común en los ciberataques entre países, se decida dañar sistemas e intentar ganar notoriedad. Seguiremos alerta por si se producen nuevas noticias sobre este tema para informar a nuestros lectores.

Josep Albors

La plataforma de juegos Origin podría ser usada como vector de ataque

Aquellos lectores que nos siguen desde hace tiempo sabrán de nuestra pasión por los videojuegos y por las noticias de seguridad relacionadas con ellos. En este blog hemos tratado todo tipo de ataques y vulnerabilidades relacionados con algunos de los juegos más populares como World of Warcraft o Call of Duty, juegos que cuentan con millones de usuarios, lo que seguramente habrá atraído la atención de los ciberdelincuentes.

Además de descubrirse vulnerabilidades en los propios juegos, las plataformas de distribución digital de videojuegos como Steam también se han visto afectadas. No hace mucho comentábamos cómo se podría aprovechar una vulnerabilidad en Steam donde un atacante podría aprovecharse de la forma en la que el cliente de esta plataforma manejaba las peticiones a los buscadores.

Los mismos investigadores de la empresa Revuln que descubrieron esta vulnerabilidad vuelven a la carga con una investigación similar, pero en otra de las plataformas de distribución digital de videojuegos, Origin. La vulnerabilidad es muy similar a la que ya descubrieron en Steam y también tiene como protagonistas a los enlaces utilizados para lanzar los juegos y que, en este caso, tienen la siguiente nomenclatura: “origin://”.

De esta forma, un atacante tan solo tendría que preparar un enlace de este tipo e incluirlo en una web maliciosa, distribuirlo por correo o incluso por redes sociales. A partir de ahí, un usuario desprevenido podría pulsar sobre ese enlace creyendo que se trata de algo relacionado con su plataforma de distribución digital de videojuegos, pero que en realidad está ejecutando malware.

Se puede incluso utilizar una función denominada OpenAutomate y crear un enlace malicioso que, además de arrancar el juego, ejecutaría el malware desde la dirección IP definida por el atacante. Podemos observar un ejemplo de este tipo de enlace malicioso en la siguiente imagen, así como un vídeo preparado por los investigadores:

La solución temporal, al menos hasta que se solucione por parte de Origin, pasa por utilizar el protocolo “origin://” solo desde la propia plataforma de distribución digital, evitando o desactivando su ejecución en el sistema y (sobre todo) en el navegador.

De nuevo vemos otro ejemplo de cómo los más jugones también deben preocuparse por su protección. Aun hoy, muchos usuarios desactivan su protección antivirus mientras juegan, quedando expuestos durante tiempo más que suficiente para resultar infectados. Se puede jugar y contar con una solución antivirus sin que esta afecte al rendimiento del sistema, evitándonos así más de un desagradable disgusto.

Josep Albors

22 años después: recordando el virus Michelangelo

Sicilia, 1921…

Solamente los más viejos recordarán a Sophie, de la serie Las chicas de oro, diciendo esas palabras. Pues hoy me he visto como ella, recordando un 6 de marzo de hace más de 20 años. Debo de estar haciéndome viejo cuando Josep Albors me pica para que hable del virus Michelangelo, descubierto hace 22 años.

El virus, en sí, no era gran cosa si lo miramos desde la perspectiva del año 2013. Un virus que infectaba el sector de arranque de los discos duros de aquella época, tan pequeños que serían incapaces de almacenar una fotografía sacada con un móvil actual. Su “payload” (cuánto tiempo sin oír este concepto) consistía en borrar los discos duros el 6 de marzo de cada año. ¿Qué beneficio obtenía el creador del virus? Ninguno. Simple placer destructivo, el mismo placer que debe de sentir un gamberro cuando pega una patada a una papelera en la calle y la rompe.

El virus fue un auténtico notición. Durante bastante tiempo se estuvo especulando acerca de la cantidad de ordenadores infectados. Se habló de miles, hasta de millones. Los medios alertaban sobre la debacle informática que se avecinaba al perderse el contenido de millones de discos duros de los que, por supuesto, no se había hecho copia de seguridad.

El desconocimiento en aquellos días acerca de los códigos maliciosos propició una especie de pánico que los medios aprovecharon para llenar páginas de tabloides, minutos de radio y telediarios. La información era escasa y llegaba con cuentagotas, maximizada y lo peor: deformada.

Se decía que bastaba con conectarse a Compuserve para resultar infectado, que había que mantener el ordenador encendido desde el día 5 para no verse afectado… Todo el mundo tenía una solución, a cuál más peregrina. Y cuántas personas evitarían acercarse al PC para no contagiarse.

Y llegó el 6 de marzo de 1991. Y el mundo no se acabó. Y de los millones de ordenadores infectados, no supo nadie nada. Para muestra, un botón: un grande estadounidense, At&T, informó que de todo su parque de ordenadores (y no serían pocos), solamente se infectaron dos.

La industria antivirus aprendió, y mucho. Primero, a no asustar. La seguridad y la prevención de infecciones no debe basarse en el miedo, sino en la información y la educación, y eso en Ontinet lo llevamos muy a pecho. Y segundo, se crearon por primera vez las “herramientas gratuitas de desinfección”, para que los usuarios que estuvieran infectados pudieran limpiar sus sistemas. Y no es que no tuvieran un antivirus instalado, es que hoy es muy fácil actualizar un antivirus, pero en 1991 era bastante complicado hacer actualizaciones. Los usuarios actualizaban una vez… ¡al mes!

Si este virus intentara infectar hoy en día, estaría condenado a la extinción antes siquiera de poder abrir los ojos. Cualquier sistema antivirus con una mínima calidad (sé que pido mucho, lo siento) lo detectaría sin despeinarse simplemente con un análisis de comportamiento. Y si encima le añadimos un sistema heurístico avanzado, detección genética y análisis potenciado en la nube, significa que estamos hablando de ESET NOD32 y que no tienen posibilidad de acercarse ni un solo bit a nuestro ordenador.

Fernando de la Cuadra

Nuevas variantes del “Virus de la Policía” incluyen países de Latinoamérica

Cuando comentamos la noticia de la detención de un grupo de delincuentes que utilizaban el ransomware conocido popularmente como “Virus de la Policía”, ya avisábamos de que, a pesar del notable esfuerzo realizado por la Brigada de Investigación Tecnológica de la Policía Nacional, la operación tan solo había terminado con uno de los numerosos grupos que utilizan esta técnica para conseguir importantes cantidades de dinero.

La detención de uno de estos grupos no ha afectado a aquellos que realmente se encargan de innovar sacando nuevas variantes con funcionalidades mejoradas. Un ejemplo de ello es esta captura de una de las variantes más recientes que afecta a usuarios españoles.

Entre las novedades más importantes de esta nueva variante destacamos (gracias a la información proporcionada desde el blog del investigador Kafeine) la descarga desde el centro de mando y control del diseño personalizado dependiendo del país desde donde se conecte el usuario, en lugar de estar incluido en el código malicioso que causa la infección.

Vemos también cómo se siguen usando métodos de pago que son difíciles de rastrear como Ukash o PaySafeCard, indicando a los usuarios dónde pueden adquirirlos. Esta ha sido una constante prácticamente desde el principio de la aparición de este ransomware, que ha evitado utilizar la tarjeta de crédito de la víctima como método de pago, muy probablemente para evitar su rastreo y la utilización de muleros.

Pero si hay algo que nos ha llamado especialmente la atención ha sido la utilización, por primera vez, del nombre de las fuerzas de seguridad de varios países de Latinoamérica, entre los que encontramos Argentina, Bolivia, Ecuador y México.

Los métodos de pago siguen siendo los mismos pero varía la cantidad a ingresar dependiendo del país de la víctima. Estas cantidades varían entre los 200 pesos argentinos (o 50 dólares) que piden a usuarios de Argentina, a los 2000 pesos mexicanos (alrededor de 150 dólares) que piden a los usuarios de México.

Es muy probable que este intento de sacar dinero a usuarios de Latinoamérica sea una prueba para ver cómo de rentable es incluir a estos países en la lista de objetivos. Sabiendo que las víctimas potenciales suman decenas de millones de usuarios y el importante crecimiento económico experimentado en los últimos años por algunos países de la región, no nos extrañaríamos de ver próximamente nuevas variantes que incluyeran a más países de esa zona.

Sea como sea, el “Virus de la Policía” sigue más activo que nunca y lo seguirá estando mientras reporte beneficios a todas las bandas de cibercriminales que lo utilizan para extorsionar a los usuarios. Está en nuestras manos evitar infectarnos utilizando una solución de seguridad y actualizando o desinstalando programas como Java  que son usados por muchas variantes de este malware como vector de infección.

Josep Albors

Microsoft también cae víctima de un ciberataque

El viernes a última hora Microsoft anunció que algunos de sus equipos se habían visto comprometidos al igual que anteriormente sucedió con Facebook y Apple. Según esta empresa, el ataque presenta muchas similitudes con estos casos anteriores, entre los que incluiríamos también los sufridos por Twitter y varios prestigiosos periódicos estadounidenses.

Según el anuncio de Microsoft, se encontró un pequeño número de ordenadores afectados, entre los que se encuentran algunos incluidos dentro de la división de negocios para Mac. No obstante, la empresa anunció que no se habían visto comprometidos datos de los usuarios, aunque la investigación continua adelante.

Este tipo de ataques han sido la tónica general en las últimas semanas, afectando a grandes empresas como las ya mencionadas pero también a otras que aún no han reconocido esta intrusión, y entre las que posiblemente encontremos algunas relacionadas con sectores críticos como el energético o la defensa.

Aunque algunos medios generalistas (y alguno de los afectados también) hable de ataques muy sofisticados provenientes de China, la realidad es que la técnica usada para comprometer tantos ordenadores en tantas empresas importantes no es especialmente avanzada.

La utilización de vulnerabilidades en Java para propagar amenazas es algo que venimos observando desde hace años. El problema no es tanto el aprovechamiento de estas vulnerabilidades, sino la política de gestión y actualización de estos agujeros de seguridad que la mayoría de empresas aún aplican y que resultan inefectivas.

Entendemos que para los usuarios de una empresa no es fácil desprenderse de una tecnología como Java que es usada de forma muy importante. No obstante, solo con que se deshabilitase Java en el navegador ya se hubieran mitigado la mayoría de estos incidentes.

La industria de la seguridad también tiene parte de responsabilidad en este aspecto, puesto que las medidas de seguridad que se han venido recomendando desde hace años son insuficientes para detener este tipo de amenazas, más si el usuario hace caso omiso a las actualizaciones del sistema y de productos de terceros como los de Java o Adobe.

Es por ello que se hace necesario aplicar una estrategia de concienciación y educación por parte de todas las partes implicadas. Se ha de conocer el sistema operativo que se usa, con sus puntos fuertes y débiles, y reconocer todos los vectores de ataque que se pueden usar para atacar nuestros sistemas, haciendo hincapié en la formación del eslabón más débil, que suele ser el usuario.

Una vez hecho esto, podremos empezar a preparar una estrategia de defensa eficaz, siempre teniendo en cuenta que la seguridad absoluta no existe, pero podemos mitigar la mayoría de ataques o recuperarnos de uno rápidamente si hemos preparado y aplicado un plan de contingencia eficaz.

Josep Albors

Artículos Anteriores »