• Buscar

• Síguenos en Twitter

• Categorías

  • actualizaciones (24)
  • adware (3)
  • Anuncios (13)
  • Botnets (12)
  • Clickjacking (2)
  • Curiosidades (21)
  • Defacement (2)
  • Educación (50)
  • Estadísticas (3)
  • Eventos (11)
  • exploit (31)
  • General (18)
  • Hacking (23)
  • Herramientas (12)
  • Heurística (5)
  • Hoax (2)
  • Informes (6)
  • Ingenieria social (49)
  • Malware (147)
  • Phishing (31)
  • Piratería (4)
  • Productos (27)
  • redes sociales (26)
  • rogue (13)
  • Scam (1)
  • scareware (2)
  • seguridad (19)
  • Spam (63)
  • telefonía (2)
  • Tutoriales (18)
  • Vulnerabilidades (113)

• Archivos

  • Julio 2010 (36)
  • Junio 2010 (43)
  • Mayo 2010 (27)
  • Abril 2010 (26)
  • Marzo 2010 (14)
  • Febrero 2010 (16)
  • Enero 2010 (14)
  • Diciembre 2009 (7)
  • Noviembre 2009 (5)
  • Octubre 2009 (3)
  • Septiembre 2009 (3)
  • Agosto 2009 (8)
  • Julio 2009 (6)
  • Junio 2009 (2)
  • Mayo 2009 (4)
  • Abril 2009 (6)
  • Marzo 2009 (6)
  • Febrero 2009 (3)
  • Enero 2009 (3)
  • Diciembre 2008 (5)
  • Noviembre 2008 (5)
  • Octubre 2008 (10)
  • Septiembre 2008 (9)
  • Agosto 2008 (7)
  • Julio 2008 (8)
  • Junio 2008 (10)
  • Mayo 2008 (13)
  • Abril 2008 (12)
  • Marzo 2008 (7)
  • Febrero 2008 (5)
  • Enero 2008 (2)
  • Diciembre 2007 (7)
  • Noviembre 2007 (6)
  • Octubre 2007 (7)
  • Septiembre 2007 (9)
  • Agosto 2007 (3)
RSS Artículos | RSS Comentarios

Troyano brasileño con vector de ataque mejorado

Las técnicas usadas por muchos creadores de malware latinoamericanos (y especialmente los brasileños) para lograr infectar a los usuarios, se han basado tradicionalmente en la ingeniería social y no ha sufrido grandes cambios en los últimos años. Lo habitual es que se incluya un archivo adjunto o un enlace a una dirección web maliciosa concreta donde se encuentra el código malicioso y, en la mayoría de ocasiones, este malware es un troyano bancario.

No obstante, en las últimas semanas hemos visto como se ha ido evolucionando de un simple correo con adjunto o enlace a algo más elaborado. En este mismo blog hemos comentado algunos casos de la evolución de los métodos de propagación de este tipo de malware y en los últimos días, hemos analizado otra más.

En esta ocasión nos encontramos con un correo de una supuesta empresa de transportes que solicita que rellenemos un formulario.

Aparentemente, no se observa ninguna novedad con respecto a otros casos similares. Si pulsamos sobre el enlace para descargar el archivo .pdf se nos mostrará una ventana de descarga indicando que vamos a proceder a descargar el fichero Arquivo_DSCF3197.cpl.

Aquí observamos una diferencia con respecto a los casos de infección clásicos de este tipo de troyanos. Normalmente se procede a descargar un archivo ejecutable .exe o un documento .pdf modificado para aprovechar alguna vulnerabilidad. No obstante, en esta ocasión se usa un archivo .cpl, utilizados por Windows para representar las herramientas del panel de control.

Asimismo, la dirección web que se usa para realizar la descarga pertenece a un club de artes marciales brasileño que nada tiene que ver con la propagación de esta amenaza. Recientemente hemos visto muchas páginas webs legitimas usadas para propagar malware por lo que debemos extremar las precauciones. Está también es una novedad en este tipo de ataques ya que lo normal era preparar una dirección web concreta y no utilizar una web legítima.

La utilización de los archivos con extensión .cpl para propagar malware no es habitual y puede que esta sea una de las causa por las que, en el momento de escribir este artículo, aun pocos motores antivirus detectaban esta amenaza. Tanto ESET NOD32 Antivirus como ESET Smart Security detectan este código malicioso como el troyano Win32/TrojanDownloader.Banload.PNO.

Cabe recordar que este tipo de amenazas sigue dependiendo en gran medida de las técnicas de ingeniería social para poder propagarse. Es por eso que, desde el laboratorio de ESET en Ontinet.com recomendamos extremar las precauciones a la hora de abrir correos no solicitados y contar con la protección de un antivirus actualizado capaz de detectar este tipo de amenazas.

Josep Albors

Falso correo de Imageshack usado para propagar malware

La suplantación de empresas o individuos es una práctica habitual usada por los creadores de malware para engañar a los usuarios y conseguir que ejecuten sus creaciones o accedan a enlaces preparados para descargar malware. En este blog ya hemos informado sobre estrategias de engaño que han usado el nombre de empresas como Microsoft, Amazon, entidades bancarias varias, etc.

En esta ocasión se ha suplantado la identidad de Imageshack, empresa legítima bastante usada para el almacenamiento de imágenes en sus servidores. Como si de un correo de esta empresa se tratase, recibimos en nuestro buzón un mensaje similar a este:

En el correo se nos indica que hemos conseguido registrar una cuenta en Imageshack y se nos proporcionan los datos de acceso y un enlace para acceder a la misma. Si pulsamos sobre el enlace veremos cómo accedemos a una web donde se nos intentará mostrar un supuesto vídeo y solicitará la descarga de un archivo ejecutable (adobe_flash_install.exe) camuflado de codec flash.

Si contamos con un antivirus capaz de detectar esta amenaza, la bloqueará y eliminará, evitando que ejecutemos el archivo e infectemos nuestro sistema. Los productos de seguridad de ESET detectan esta amenaza como un troyano Win32/Spy.Zbot.YW, malware con funciones de software espía que se encarga de recolectar información cuando el usuario navega por determinados sitios webs.

Este tipo de amenazas suelen ser bastante frecuentes y se aprovechan de la confianza del usuario en el remitente del mensaje para poder propagarse con más facilidad. Desde el laboratorio de ESET en Ontinet.com aconsejamos desconfiar de este tipo de mensajes aunque el remitente nos inspire confianza, así como descargar e instalar un antivirus que permita detectar las amenazas que se esconden tras los enlaces maliciosos.

Josep Albors.

Más información acerca de la vulnerabilidad CVE-2010-2568

Según pasan los días vamos conociendo nuevos detalles sobre la grave vulnerabilidad CVE-2010-2568 que afecta a los sistemas Windows y que permite la ejecución de código a través de archivos .LNK (accesos directos) maliciosos. Pierre-Marc Bureau, uno de los investigadores más destacables de ESET, informa acerca del descubrimiento de dos nuevas familias de malware que explotan esta vulnerabilidad.

Por una parte tenemos a una nueva familia de malware identificada como Win32/Trojan.Downloader.Chymine.A. Este malware instala un keylogger (registro de las pulsaciones en un teclado) detectado como un troyano de nombre Win32/Spy.Agent.NSO. Según los estudios realizados por los investigadores de ESET, el servidor usado para albergar y servir estos componentes se encuentra ubicado en los Estados Unidos pero la IP está asignada a un usuario de China.

La otra amenaza detectada que utiliza esta grave vulnerabilidad es una vieja conocida como Win32/Autorun.VB.RP, que ha sido actualizada para incluir el exploit como nuevo vector de propagación. Al parecer, esta actualización de la amenaza ya existente, descarga e instala componentes adicionales en máquinas ya infectadas.

Estos casos responden a la evolución típica del malware, que evoluciona para aprovechar las vulnerabilidades que vayan apareciendo para, de esta forma, aumentar sus vectores de ataque. Sabiendo que aun no existe parche que solucione esta vulnerabilidad y basándonos en experiencias pasadas, es más que probable que en las próximas semanas e incluso meses veamos más casos de malware “tradicional” que es modificado para aprovechar al máximo este agujero de seguridad.

Tras analizar estas dos nuevas familias de malware, los investigadores de ESET han comprobado que se trata de ejemplares menos sofisticados que el malware Win32/Stuxnet detectado originalmente. Cabe destacar que, mientras Win32/Trojan.Downloader.Chymine.A no genera archivos .LNK maliciosos ni se propaga de forma automática, la nueva versión de Win32/Autorun.VB.RP sí que genera archivos .LNK que explotan la vulnerabilidad existente para facilitar su propagación.

Así las cosas y viendo que estamos tan solo en el principio de lo que parece ser un nuevo vector de ataque que va a ser usado masivamente de forma inminente, desde el laboratorio de ESET en Ontinet.com recomendamos seguir atentos a las noticias publicadas por Microsoft acerca de esta vulnerabilidad para, de esta forma, instalar el parche de seguridad tan pronto como este se encuentre disponible. Asimismo la aplicación de medidas paliativas como el Fix it publicado recientemente y la instalación de un antivirus capaz de detectar las amenazas que se aprovechan de esta vulnerabilidad son medidas básicas de protección para tener nuestros sistemas protegidos.

Josep Albors

¿Malware?, ¿en mi placa base?

Cuando hablamos de vectores de ataque del malware, lo normal es pensar en mensajes de correo electrónico con adjuntos infectados, enlaces a webs comprometidas, dispositivos usb infectados que contagian a nuestro sistema o cualquier otro sistema usado masivamente. Lo último que nos esperamos es que un componente hardware de nuestro equipo se encuentre infectado desde que sale de las instalaciones del fabricante.

Eso parece haber sucedido a ciertos modelos de placas base del fabricante Dell y que están destinadas a servir de repuesto a equipos servidores. Los modelos afectados, según ha informado Dell en un reciente comunicado son: PowerEdge R310, PowerEdge R410, PowerEdge R510 y PowerEdge T410. Al parecer, el malware se encontró en la memoria flash de la placa base y se trataba de una variante de Win32/Rbot, malware clasificado como software espía y cuyas múltiples variantes son detectadas por la mayoría de antivirus del mercado.

Dell ya ha informado de la retirada de las placas bases afectadas de su línea de suministros y las ha reemplazado por nuevas unidades libres de malware. Asimismo, informa a los usuarios que se hayan visto afectados, contacte con los técnicos de Dell a través de sus foros de soporte.

Este tipo de casos, aunque infrecuentes, no son extraños. Todos los fabricantes de componentes informáticos deberían someter sus productos a un control de calidad para evitar que estas situaciones se produzca y sus usuarios se vean afectados. En última instancia, si el usuario cuenta con una solución antivirus actualizada es muy probable que logré impedir la infección de su sistema.

Josep Albors

Publicado Fix it para la grave vulnerabilidad de Windows

Siguiendo con las noticias relacionadas con la grave vulnerabilidad existente en sistemas Windows que permite la ejecución de malware sin interacción del usuario, Microsoft ha lanzado un Fix it (o solución temporal) mientras preparan un parche que la solucione. Esta solución temporal deshabilita la funcionalidad de los archivos .lnk y .pif (en cuyo manejo erróneo radica la vulnerabilidad) en un ordenador funcionando bajo Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 o Windows Server R2.

Microsoft ha puesto a disposición de todo aquel que desee aplicar este Fix it las instrucciones para aplicarlo en el siguiente enlace:

• Microsoft Fix it para vulnerabilidad en el manejo de archivos .lnk y .pif

Cabe recordar que la aplicación de esta solución temporal repercutirá en la experiencia de usuario al manejar sistemas Windows puesto que deshabilita funciones a las que estamos acostumbrados, como la representación de los iconos de las aplicaciones, pero siempre es preferible esta incomodidad al riesgo de que nuestro sistema quede infectado.

Asimismo, los chicos de Security by Default han publicado un artículo (basado en las instrucciones proporcionadas por el investigador Didier Stevens) donde explican como mitigar esta vulnerabilidad aplicando directivas de restricción de software. Todo aquel que desee conocer cómo aplicar esta solución puede pasarse por su siempre interesante blog.

Mientras vemos como se publican métodos para evitar los efectos de esta grave vulnerabilidad, los investigadores y empresas de seguridad informática seguimos alerta observando cualquier novedad acerca de posibles ataques que se aproveche de la misma. Junto a los consejos y soluciones proporcionadas en este blog, desde el laboratorio de ESET en Ontinet.com recomendamos descargar e instalar un antivirus que sea capaz de detectar y bloquear los códigos maliciosos que ya están aprovechándose de esta situación, así como también detectar variantes futuras.

Josep Albors

Actualizando información sobre LNK/Autostart.A

Según van pasando los días y los investigadores analizan el malware que se aprovecha de la nueva vulnerabilidad 0-day de Microsoft (es decir, aquella vulnerabilidad que está siendo aprovechada pero para la que no existe parche de seguridad), va apareciendo nueva información al respecto. Investigadores de ESET han detectado un nuevo malware íntimamente relacionado con el malware LNK/Autostart.A que tanto está dando que hablar en los últimos días.

El fichero que alberga esta nueva muestra detectada responde al nombre de jmideb.sys. La fecha de creación del mismo es mucho más reciente (14 de julio) que el código malicioso anterior  y sus funciones son similares a las que ya tenía presentes el malware descubierto la semana pasada (robo de información y ocultación en el sistema infectado usando técnicas de rootkit). No obstante, el certificado que usa esta nueva muestra es diferente a la detectada anteriormente. Si la semana pasada comentábamos que se había usado el certificado de la empresa Realtek Semiconductor Corp., en esta ocasión se detectó que usaba el certificado de la empresa JMicron Technology Corp. para firmar el archivo malicioso. Da la casualidad de que ambas empresas se encuentran ubicadas en el Hsinchu Science Park de Taiwan.

La proximidad de las empresas cuyos certificados fueron usados de forma ilícita para firmar los archivos infectados y el hecho de que se apuntaran a sistemas SCADA de gestión de infraestructuras críticas (concretamente, un modelo de la empresa Siemens) hace pensar en una operación muy bien planificada y profesional. Otro hecho que hace pensar en algún tipo de operación de espionaje es que la mayoría de muestras detectadas lo han sido, mayoritariamente en dos países, Estados Unidos (58%) e Irán (30%). La tensión política entre ambos países es evidente debido a la polémica sobre el supuesto uso de tecnología nuclear para la fabricación de armas de destrucción masiva por parte de las autoridades iraníes.

Más allá del problema de seguridad que supone acceder a uno de estos sistemas de gestión de infraestructuras críticas, lo verdaderamente preocupante para la mayoría de usuarios es que el exploit que se aprovecha de esta vulnerabilidad ya es público, por lo que los creadores de malware tan solo tienen que modificarlo para empezar a propagarlo de forma masiva. Recordemos que no hace falta ejecutar ningún archivo para infectar nuestro sistema y que solo visitando una unidad USB o carpeta compartida con un explorador de archivos con la capacidad de mostrar los iconos de acceso directo (.lnk) podemos infectarnos.

Puesto que los códigos maliciosos que se aprovechan de esta vulnerabilidad son detectados de forma genérica por las soluciones de seguridad de ESET, desde el laboratorio de ESET en Ontinet.com, recomendamos la descarga e instalación de un antivirus que pueda detectar y bloquear estas amenazas hasta que Microsoft lance el correspondiente parche de seguridad.

Josep Albors

Microsoft informa sobre la nueva vulnerabilidad

Si el pasado día 15 nos hacíamos eco del descubrimiento de una nueva vulnerabilidad que, en un principio, se propagaba usando dispositivos USB y se aprovechaba de un fallo en el manejo de cierto tipo de ficheros por parte de algunos exploradores de archivos, en el día de hoy Microsoft ha publicado un aviso de seguridad que arroja mas información al respecto.

Según se informa por parte de Microsoft, esta vulnerabilidad afecta a todas las versiones de Windows existentes y aun no existe parche para la misma. También se informa de que, además de propagarse mediante medios extraíbles, puede hacerlo usando la compartición de archivos de Windows y WebDav. Asimismo, se proporcionan unas instrucciones para poder mitigar este ataque y no estar indefensos ante él. Podemos encontrar el boletín de seguridad de Micrososft en el siguiente enlace:

• Microsoft Security Advisory (2286198)

Desde ESET ya se ha informado de casos de malware que están aprovechando esta nueva vulnerabilidad para infectar a los usuarios. No obstante, las soluciones de seguridad de ESET ya detectan estas nuevas amenazas con la nomenclatura de LNK/Autostart.A. Como ya avisamos en nuestro post anterior hablando de esta nueva amenaza, las muestras detectadas hasta ahora tienen capacidad de rootkit por lo que pueden ser difíciles de eliminar si no se cuenta con una solución de seguridad con capacidad para eliminar este tipo de infiltraciones.

A pesar de que todos los análisis realizados tras el descubrimiento de esta nueva amenaza apuntaba a que el objetivo de la misma eran los sistemas SCADA de gestión de infraestructuras, una vez analizado el alcance de la misma es más que probable que en poco tiempo sea usado para atacar de forma masiva cualquier sistema Windows vulnerable. Especialmente preocupante son los casos de Windows XP SP2 y Windows 2000, que se encuentran fuera de su ciclo de vida y no recibirán más actualizaciones de seguridad, dejando a sus usuarios desprotegidos ante esta y futuras amenazas.

Desde el laboratorio de ESET en Ontinet.com recomendamos instalar la actualización de seguridad tan pronto como esta se encuentre disponible y, mientras no lo esté, debemos asegurarnos de contar con un antivirus capaz de frenar esta amenaza y aplicar las instrucciones proporcionadas por Microsoft para mitigar este ataque.

Josep Albors

Repara los daños realizados en tu equipo por una infección

De la mano de Genbeta.com, hoy damos a conocer una herramienta que nos puede ser muy útil a la hora reparar los daños producidos por una infección. En ocasiones, nos ha ocurrido que después de que nuestro equipo se vea afectado por un virus, éste nos deshabilite el administrador de tareas, el regedit, u otra serie de aplicaciones necesarias para la correcta administración y uso del equipo.

Con la aplicación llamada Re-enable podremos reparar, de forma muy sencilla, estas y otras opciones del sistema deshabilitadas por una infección. Eso sí, es una condición indispensable que el equipo se haya desinfectado previamente. Re-enable se puede descargar desde el siguiente enlace y dispone también de una versión portable para guardar en nuestro dispositivo USB.

Su funcionamiento es sencillo, una vez se ejecuta aparecerá la ventana que le mostramos, donde podremos elegir que opciones habilitar nuevamente. Seleccione las opciones deseadas y pulse sobre el botón Re-Enable para habilitarlas. Además, la aplicación dispone de otras funciones tal y como se muestra en la siguiente captura:

Desde el departamento técnico de ESET en Ontinet.com esperamos que dicha aplicación les sea de utilidad en el caso de tener problemas con la ejecución de cualquiera de los procesos mostrados.

David Sánchez

Nuevo tipo de ataque usando unidades USB

Los códigos maliciosos que se propagan usando la función de Autorun, incorporada por defecto en la mayoría de sistemas Windows, llevan siendo una plaga desde hace ya varios años, estando siempre entre las amenazas mas detectadas. Cuando creíamos que las nuevas opciones de seguridad incorporadas en Windows 7 iban a mitigar esta amenaza, un grupo de investigadores, ha descubierto una nueva amenaza que se aprovecha de un fallo de Windows en el manejo de ciertos archivos.

Este nuevo vector de ataque no utiliza la funcionalidad Autorun para propagarse si no que se aprovecha de una vulnerabilidad en el manejo de los archivos .lnk. Esto ocasiona que, tan solo abriendo una unidad USB infectada con un explorador de ficheros que permita mostrar iconos, como el que incorpora por defecto Windows u otros menos conocidos (p.ej.: Total Commander) nuestro sistema quede comprometido.

Una vez se ha conseguido infectar el sistema atacado, los archivos que componen esta amenaza consiguen ocultarse en el sistema usando técnicas de rootkit, lo que dificulta su detección. Asimismo, si se analizan las propiedades de los archivos maliciosos se observa que poseen la firma digital de Realtek Semiconductor Corp. , empresa que nada tiene que ver con el desarrollo de malware.

Pero la preocupación no es solo que pronto veamos muchas más muestras de malware que se aprovechan de esta vulnerabilidad en el manejo de los ficheros .lnk. Lo realmente preocupante a fecha de hoy es que ya hay investigadores que avisan de que estas primeras muestras detectadas han sido diseñadas para atacar sistemas SCADA. Este tipo de sistemas se usan para gestionar grandes infraestructuras, muchas de ellas críticas, y pueden gestionar desde una lavandería a una central nuclear. Si realmente han sido usados con tal fin representarían una grave amenaza para la seguridad de las infraestructuras críticas, cada vez más en el punto de mira de los ciberdelincuentes.

Debido a que no existe solución para esta vulnerabilidad y a que, una vez hecha pública, es más que probable que empecemos a ver una gran cantidad de malware que se aproveche de la misma, desde el laboratorio de ESET en  Ontinet.com recomendamos descargar e instalar una solución antivirus con capacidad de detección de malware con funcionalidades de rootkit para evitar ser presas de esta amenaza.

Josep Albors

Spam a nombre de Youtube y Amazon redirige a farmacia online

Desde primera hora de la mañana se están recibiendo falsos correos de Youtube Service donde se nos pide que confirmemos nuestra dirección de correo para poder subir vídeos de forma inmediata.

Lo mismo está ocurriendo con falsos correos de MySpace, los cuales nos piden que configuremos una nueva contraseña de acceso o con Amazon, muestrando información de pedidos simulados en la tienda de Amazon, donde al ver la información del pedido se nos redirige a la página de Farmacia Online.

El procedimiento utilizado es el mismo que en otros correos no deseados con menor repercusión. Accedemos a una página donde aparece lo siguiente:

En la página mostrada, se nos indica que esperemos 4 segundos, pasado ese tiempo nos redirige a la web de farmacia online, hasta ahí todo normal, a no ser por qué en el código fuente aparece un iframe por el cual intenta cargar otra página web maliciosa mientras accedemos a la página de farmacia online.

Todo ello es detectado por ESET como Iframe.B.Gen, protegiéndonos del acceso a estas páginas.

Desde el departamento técnico de Ontinet.com, aconsejamos omitir este tipo de correos electrónicos, sobre todo si no somos usuarios de estos servicios y disponer de una protección antivirus actualizada y activada para estar protegidos correctamente de este tipo de ataques.

David Sánchez

Artículos Anteriores »