• Buscar

• Síguenos en Twitter

• Categorías

  • actualizaciones (44)
  • adware (4)
  • Anuncios (30)
  • Apple (7)
  • BlackHat SEO (5)
  • Botnets (34)
  • Clickjacking (6)
  • Curiosidades (35)
  • datos (7)
  • DDoS (3)
  • Defacement (7)
  • Educación (67)
  • entrevista (3)
  • Espionaje (10)
  • Estadísticas (8)
  • Eventos (14)
  • exploit (59)
  • Facebook (12)
  • Filtraciones (22)
  • General (39)
  • Hacking (55)
  • hacktivismo (16)
  • Herramientas (18)
  • Heurística (6)
  • Hoax (3)
  • Informes (15)
  • Ingenieria social (94)
  • Juegos (3)
  • Mac (6)
  • Malware (239)
  • Phishing (55)
  • Piratería (6)
  • Privacidad (13)
  • Productos (36)
  • redes sociales (60)
  • rogue (25)
  • rootkit (1)
  • Scada (4)
  • Scam (18)
  • scareware (2)
  • seguridad (76)
  • sorteos (2)
  • Spam (118)
  • spyware (2)
  • telefonía (27)
  • Troyanos (5)
  • Tutoriales (18)
  • Unix (1)
  • Vulnerabilidades (186)

• Archivos

  • febrero 2012 (4)
  • enero 2012 (26)
  • diciembre 2011 (17)
  • noviembre 2011 (19)
  • octubre 2011 (20)
  • septiembre 2011 (23)
  • agosto 2011 (24)
  • julio 2011 (18)
  • junio 2011 (16)
  • mayo 2011 (18)
  • abril 2011 (11)
  • marzo 2011 (18)
  • febrero 2011 (17)
  • enero 2011 (19)
  • diciembre 2010 (20)
  • noviembre 2010 (22)
  • octubre 2010 (27)
  • septiembre 2010 (30)
  • agosto 2010 (24)
  • julio 2010 (36)
  • junio 2010 (43)
  • mayo 2010 (27)
  • abril 2010 (26)
  • marzo 2010 (14)
  • febrero 2010 (16)
  • enero 2010 (14)
  • diciembre 2009 (7)
  • noviembre 2009 (5)
  • octubre 2009 (3)
  • septiembre 2009 (3)
  • agosto 2009 (8)
  • julio 2009 (6)
  • junio 2009 (2)
  • mayo 2009 (4)
  • abril 2009 (6)
  • marzo 2009 (6)
  • febrero 2009 (3)
  • enero 2009 (3)
  • diciembre 2008 (5)
  • noviembre 2008 (5)
  • octubre 2008 (10)
  • septiembre 2008 (9)
  • agosto 2008 (7)
  • julio 2008 (8)
  • junio 2008 (10)
  • mayo 2008 (13)
  • abril 2008 (12)
  • marzo 2008 (7)
  • febrero 2008 (5)
  • enero 2008 (2)
  • diciembre 2007 (7)
  • noviembre 2007 (6)
  • octubre 2007 (7)
  • septiembre 2007 (9)
  • agosto 2007 (3)
RSS Artículos | RSS Comentarios

Aprovechan sitios WordPress sin actualizar para propagar malware

No es la primera vez que hablamos en este blog de la importancia de mantener nuestro sitio web actualizado. En los últimos meses hemos visto cómo los ciberdelincuentes han usado páginas web legítimas con algún fallo de seguridad para propagar sus amenazas. Uno de los objetivos preferidos de los atacantes han sido los blogs generados con el sistema de gestión de contenidos WordPress.

En esta ocasión vemos cómo los ciberdelincuentes se vuelven a aprovechar de las vulnerabilidades presentes en una versión obsoleta de WordPress, concretamente la 3.2.1, para colgar código malicioso en una parte del blog. Los blogs afectados son inocuos si se navega por ellos y no se accede a la sección comprometida. Esta técnica se usa para evitar que los mecanismos de reputación de URL bloqueen estos blogs y la amenaza quede activa durante más tiempo.

Para conseguir que los usuarios accedan al enlace donde se encuentra el código malicioso, los ciberdelincuentes emplean la clásica técnica de enviar millones de correos spam simulando ser una factura pendiente de pago que incluye el enlace malicioso. De esta forma, cuando un usuario pulsa sobre dicho enlace, accederá a una web que simula estar cargándose.

No obstante, en realidad el usuario está siendo redireccionado a un enlace con dominio ruso y que contiene una cadena de código ofuscado para dificultar su detección.

Si desciframos este código, vemos cómo apunta a un enlace dentro del dominio ruso que veíamos anteriormente y que procede a cargar un exploit kit. Algunos investigadores han apuntado que se trata del Phoenix Exploit Kit y que procede a intentar ejecutar una serie de exploits dependiendo del navegador, sistema operativo o software instalado en el sistema de la víctima.

Dentro de los diferentes exploits que se intentan ejecutar, encontramos algunos diseñados para aprovechar vulnerabilidades en Java y, de esta forma, afectar a varios sistemas operativos. Otros están diseñados para aprovecharse de vulnerabilidades en el manejo de archivos PDF e incluso encontramos un exploit para aprovecharse de una vieja vulnerabilidad en Internet Explorer 6.

Los sitios que cuentan con una versión de WordPress vulnerable y que han sido modificados para infectar a los usuarios se cuentan por cientos. El hecho de que solo una parte del sitio web se encuentre comprometido dificulta que sus administradores se den cuenta a menos que hagan una revisión a fondo. Con respecto a los usuarios que pulsan sobre el enlace malicioso que se envía por correo, pueden evitar infectarse si cuentan con una solución antivirus que detecte esta amenaza e impida el acceso al sitio web malicioso.

Como hemos visto, las webs legítimas pueden suponer también un grave peligro si sus administradores no toman las debidas medidas de precaución. Desde el laboratorio de ESET en Ontinet.com, como en anteriores ocasiones, recomendamos evitar pulsar sobre enlaces contenidos en correos sospechosos y contar con una solución antivirus que nos proteja si pulsamos accidentalmente sobre ellos.

Josep Albors
@JosepAlbors

Microsoft, Google y Facebook, aliados contra el phishing

No cabe duda de que unas de las amenazas más temidas por los usuarios son aquellas que les afectan directamente a su bolsillo, y que les sustraen dinero de su cuenta bancaria. Es lo que conocemos como phishing y actualmente vemos varios casos al día en todo el mundo. Es normal que nos encontremos múltiples ejemplos en la forma de correos electrónicos en nuestra bandeja de entrada, los cuales suplantan a todo tipo de entidades bancarias o pasarelas de pago como PayPal.

Aunque a muchos usuarios les empieza a sonar este tipo de amenazas, no son pocos los que siguen picando en ellas, debido al desconocimiento o a la buena suplantación de las webs y correos electrónicos que realizan los ciberdelincuentes.

Para evitar que sigan aprovechándose del desconocimiento de algunos usuarios, ha nacido una alianza entre empresas como Google, Microsoft, Facebook, Yahoo! y otras once más que se hace llamar DMARC. La finalidad de esta alianza es evitar que los mensajes de phishing lleguen a nuestras bandejas de entrada, revisando que el remitente es quien dice ser y bloqueando aquellos correos fraudulentos.

Esta iniciativa no es nueva, puesto que ya vimos un adelanto cuando PayPal emprendió junto a Google y Yahoo! un proceso de verificación de sus correos. Quienes tengan una cuenta en Gmail o Yahoo! habrán comprobado desde hace meses cómo los mensajes verificados de PayPal tienen un tratamiento especial en sus casillas de correo.

Con esta iniciativa se evita que sea el usuario quien tenga que averiguar si el mensaje que acaba de recibir es fraudulento revisando su cabecera, algo que la gran mayoría de usuarios desconoce cómo hacer. Esta automatización, de funcionar tal y como está previsto, supondrá una capa de protección adicional a los filtros antispam y antiphishing tradicionales, evitando de paso la recepción de correos innecesarios.

Desde el laboratorio de ESET en Ontinet.com apoyamos iniciativas como esta, puesto que hacen de Internet y sus servicios un lugar más seguro, sin que el usuario tenga que realizar un esfuerzo adicional. No obstante, no conviene bajar la guardia, y hay que revisar siempre cualquier mensaje sospechoso que podamos recibir de nuestra entidad bancaria, sobre todo si nos pide acceder a un enlace e introducir nuestros datos de usuario.

Josep Albors
@JosepAlbors

Exploits y spam que se aprovechan de vulnerabilidad en productos Adobe

De nuevo nos encontramos ante un anuncio de vulnerabilidades críticas en productos de la compañía Adobe. En esta ocasión los afectados son Adobe Acrobat y Reader, aplicaciones lo suficientemente extendidas entre los usuarios como para que cualquier vulnerabilidad en ellas suponga un importante riesgo de seguridad.

Según la empresa, esta vulnerabilidad se ha detectado en Adobe Reader X (10.1.1) y anteriores para Windows y Mac, Adobe Reader 9.4.6 y versiones 9.x anteriores para UNIX y Adobe Acrobat X (10.1.1) y anteriores para Windows y Mac. El aprovechamiento de esta vulnerabilidad podría hacer que el sistema se colgase y permitiría a un atacante tomar el control del sistema afectado.

Adobe ha anunciado que lanzará un parche para Adobe Reader y Acrobat 9.4.6 para Windows la semana que viene, mientras que el resto de versiones tendrán que esperar hasta la próxima actualización trimestral prevista para el próximo 10 de enero. La razón, según los desarrolladores, para lanzar solamente ese parche con carácter de urgencia se debe a que es precisamente esa vulnerabilidad la que está siendo aprovechada para propagar malware.

Por otro lado, en los últimos días hemos estado recibiendo correos en nuestro laboratorio que decían provenir de Adobe y adjuntaban una supuesta actualización. Ignoramos si los ciberdelincuentes que prepararon esta campaña de envío masivo de spam con adjunto malicioso estaban al tanto de la vulnerabilidad descubierta, pero lo cierto es que han conseguido lanzarla en un momento clave.

El correo malicioso se presenta tal y como vemos en la imagen anterior y anuncia una serie de mejoras en varios productos Adobe, aunque no se mencionan parches de seguridad. Asimismo, se adjunta un fichero comprimido adjunto que contiene una variante del bot Zeus. Normalmente, solo los usuarios desprevenidos y que no contasen con un antivirus actualizado se verían afectados, pero, viendo el anuncio de Adobe, es posible que los ciberdelincuentes detrás de esta campaña de spam consigan más éxito del esperado.

Desde el laboratorio de ESET en Ontinet.com recomendamos que todos los usuarios que usen los productos de Adobe afectados por la vulnerabilidad descubierta los actualicen tan pronto como esté disponible el parche. Asimismo, recomendamos desconfiar de correos electrónicos que digan provenir de Adobe, puesto que pueden contener ficheros adjuntos o enlaces desde los que se descargue malware.

Josep Albors

Ciberlunes: cuidado con dónde compras

El Black Friday y el Cyber Monday son dos de los días de más consumo en Estados Unidos. El primero suele estar protagonizado por grandes avalanchas de gente asaltando las grandes superficies (algo similar a lo que sucede en España con las rebajas), mientras que en el segundo (que se celebra hoy) todo el mundo está a la caza de las gangas online.

A pesar de tratarse de días extremadamente consumistas y con un fuerte arraigo en Estados Unidos, cada vez son más los países que se suman a esta moda, debido en gran parte a que Internet permite a la mayoría de usuarios comprar allá donde le resulte más barato.

Puede que en España, hasta hace unos años, nos resultasen unas costumbres extrañas, pero los medios de comunicación que han ido publicitando estas fechas y la posibilidad de comprar artículos con suculentos descuentos fuera de nuestras fronteras han hecho que no pocos usuarios españoles compren parte de sus regalos de Navidad en grandes tiendas online extranjeras.

Es por eso que, desde el laboratorio de ESET en Ontinet.com, creemos necesario recordar una serie de consejos a la hora de realizar compras online, consejos que no se han de aplicar solamente durante días concretos como hoy, sino que hay que procurar seguir siempre.

• Mantenga protegido su ordenador: es importante contar con un antivirus actualizado, un cortafuegos y tener el sistema con las últimas actualizaciones instaladas.

• Realice sus compras en webs de confianza: debemos asegurarnos de que el sitio donde vayamos a realizar la compra tenga una buena reputación, permita pagar usando un protocolo seguro (https://) y tenga una buena atención al cliente en caso de dudas o reclamaciones.

• Cuidado con las gangas: muchos sitios online fraudulentos intentan engañar a los usuarios usando ofertas muy atractivas. No caiga en la trampa y busque siempre referencias sobre el sitio web en cuestión.

• Controle sus datos personales: es normal que las tiendas online de confianza le pidan sus datos de facturación (nombre, dirección, teléfono, etc.) junto con los datos de su tarjeta de crédito para realizar los pagos. No obstante, lea la política de privacidad de la empresa y revise cómo serán usados estos datos.

• Métodos de pago: los comercios online ofrecen muchos métodos de pago, como tarjetas de crédito, servicios de pago seguro como Paypal o incluso contra reembolso. Es importante asegurarse de usar un método de pago que permita la reclamación de cargos fraudulentos o en caso de no recibir los artículos pedidos.

• Cuidado con el phishing: si bien es habitual que las webs de compras online envíen una factura del pedido por e-mail, muchos ciberdelincuentes también envían durante estas fechas millones de correos falsos suplantando a los grandes comercios online, en los que adjuntan enlaces que llevan a webs maliciosas.

• Compruebe que se cargan las cantidades correctas en su cuenta: el acceso a la banca electrónica nos permite revisar que solo se nos cobra la cantidad que hemos pactado. En caso de observar cargos incorrectos o que no procedan del comercio donde se ha realizado la compra, contacte con su entidad bancaria lo antes posible para iniciar una investigación.

Si seguimos estos pasos, evitaremos que nos jueguen una mala pasada mientras realizamos las compras navideñas a un precio inmejorable.

Josep Albors

Páginas de WordPress vulnerables siguen redirigiendo a farmacias online

No hace mucho, comentábamos en este mismo blog cómo miles de sitios que usaban versiones vulnerables de WordPress estaban siendo usados para redirigir a los usuarios a sitios de farmacias online. Casi dos meses después seguimos viendo multitud de sitios con el mismo problema, muchos de ellos españoles.

Como en el caso anterior, la forma en que se propagan estos enlaces maliciosos es mediante el envío de correos electrónicos que usan remitentes con cuentas de correo comprometidas.

Al observar la imagen a continuación, la dirección que se nos proporciona es la de un blog que usa el gestor de contenidos WordPress. Si pulsamos sobre el enlace, se nos abrirá la siguiente web en nuestro navegador:

Observando la barra de direcciones veremos cómo, si bien el enlace pertenece al sitio con WordPress comprometido, al intentar acceder se nos redirigirá a un sitio bien diferente, realizado con la conocida plantilla de farmacia online que tantas veces hemos visto.

Que sigamos viendo este tipo de casos, aun a pesar de que las actualizaciones que solucionan estas vulnerabilidades en WordPress están disponibles desde hace meses, demuestra que muchos usuarios siguen sin aplicar una política de actualizaciones adecuada. Es por eso que, desde el laboratorio de ESET en Ontinet.com, recomendamos actualizar nuestro sitio con WordPress y los plugins que tengamos instalados a la última versión disponible.

Josep Albors

Spam farmacéutico se propaga usando sitios con WordPress sin actualizar

Uno de los correos spam más propagados y que no pierde fuelle aunque pasen los meses, son los que promocionan farmacias online, sitios en los que supuestamente se venden medicamentos mucho más baratos que en otros lugares y sin pedir prescripción médica.

Obviando el riesgo de consumir medicamentos de estos sitios, que en el mejor de los casos tendrán un efecto placebo, resulta interesante observar todo lo que rodea a este negocio fraudulento, empezando por los métodos para dar a conocer estos sitios web.

Llevamos varios días recibiendo spam en nuestro laboratorio que, aparentemente, apunta a sitios con el conocido sistema gestor de contenidos WordPress instalado. Estos sitios han sido modificados para redirigir al usuario aprovechando que usan versiones antiguas de WordPress que presentan vulnerabilidades. Veamos un ejemplo de este tipo de correo:

Si somos lo suficientemente incautos como para pulsar sobre el enlace proporcionado, se nos redirigirá a un sitio web con el habitual aspecto de una farmacia online. Seguro que a algunos de nuestros lectores el formato de esta web les resultará familiar, y si nos fijamos en la dirección del enlace, observaremos que en él figura la palabra “automated”.

Esto es debido a que, al igual que en algunos casos de malware como las botnets, los ciberdelincuentes ofrecen kits de creación y gestión de este tipo de webs para que cualquiera, sin muchos conocimientos, pueda montar su farmacia online y empezar a ganar dinero sin esfuerzo. Al respecto, el investigador francés conocido como XyliBox ha escrito en su blog un interesante artículo sobre cómo funciona este negocio.

Como siempre intentamos recordar, los usuarios deben tener mucho cuidado al pulsar sobre según qué enlaces incluidos en mensajes de correo. No obstante, los navegadores web suelen estar atentos cuando se propagan este tipo de campañas de spam y suelen bloquear los enlaces maliciosos tarde o temprano.

En caso de que nuestro navegador no bloquee el sitio malicioso, nuestro antivirus también nos puede echar una mano impidiendo que accedamos al enlace.

Como vemos, mientras los usuarios sigan cayendo en estos engaños y este tipo de negocios sea rentable, seguiremos viendo spam de farmacias online en nuestras bandejas de entrada. Desde el laboratorio de ESET en Ontinet.com recomendamos ignorar este tipo de correos y eliminarlos según los recibimos, aunque nunca está de más contar con una solución antivirus actualizada por si se nos escapa el dedo.

Josep Albors

Spam de marca blanca. Usan a Mercadona como gancho para un nuevo timo telefónico

El uso de nombres de empresas u organismos oficiales conocidos como gancho para conseguir la atención de los usuarios es otra de las técnicas más usadas recientemente. Si ayer comentábamos en este blog la utilización de asuntos sugerentes para llamar la atención hoy vamos a analizar cómo se intenta suplantar a una conocida empresa de supermercados para promocionar un timo telefónico.

Todo comienza con la recepción en nuestra bandeja de entrada de correo de una supuesta promoción con la que podemos conseguir una tarjeta regalo valorada en 990€. Suena interesante, y más sabiendo lo que cuesta últimamente llenar el carrito de la compra.

Si nos fijamos en el mensaje, aparece como remitente Mercadona pero esto no es más que un engaño puesto que la dirección real de envío es la de una empresa especializada en este tipo de promociones. Se oculta este dato para confundir a los usuarios y, como vamos a ver a continuación, no es la única estrategia usada.

Si nos fijamos en la imagen mostrada en el correo, no se menciona en ningún lado de la misma a la cadena de supermercados pero si que se usa una imagen corporativa muy similar. Tan solo tenemos que pasarnos por la página web de Mercadona para observar las similitudes con los colores corporativos y su logotipo. Cabe recordar que la web de esta empresa utiliza el protocolo seguro https para la comunicación con sus usuarios.

Siguiendo con el correo recibido, si pulsamos en los enlaces proporcionados se nos solicitará que introduzcamos un número de teléfono para enviarnos un código que, una vez recibido en nuestro terminal deberemos introducir para poder participar en esta supuesta promoción.

En este punto es importante detenernos a observar a que dirección web hemos accedido. Si nos fijamos en la barra de direcciones del navegador, observamos cómo se nos ha dirigido a un dominio que no parece tener nada que ver con el de la empresa Mercadona. Si además nos fijamos en la letra pequeña, observaremos que, si enviamos nuestro número de teléfono y proporcionamos el código recibido se nos suscribirá a un servicio de recepción de mensajes sms de tarificación especial.

Como nos extraña que una empresa como Mercadona autorice promociones de este tipo, decidimos ponernos en contacto con su servicio de atención al cliente, contestando poco después y confirmando que ellos no estaban realizando ningún tipo de promoción como la anunciada en el correo electrónico.

De nuevo estamos ante un caso de suplantación de identidad corporativa, pensado para ganarse la confianza de usuarios desprevenidos. Si bien, en esta ocasión no se usa para propagar malware, seguro que a nadie le hace gracia que su factura de teléfono se vea incrementada por haberse suscrito a un servicio de envío de sms de tarificación especial sin saberlo.

Desde el laboratorio de ESET en Ontinet.com aconsejamos a los usuarios que desconfíen de promociones similares, lean bien la letra pequeña y, en caso de seguir con dudas, contactar con el servicio de atención al cliente de la empresa afectada para que estas sean resueltas.

Josep Albors

Mensajes sugerentes con malware de regalo

El envío de ficheros infectados adjuntos a correos electrónicos puede sonar a algo de otra época, sobre todo viendo la complejidad de algunas amenazas actuales. No obstante, este vector de infección sigue estando muy presente y no son pocos los usuarios que caen en este tipo de correos maliciosos.

El envío masivo de e-mails con adjuntos infectados es algo que les cuesta muy poco a los ciberdelincuentes, ya que disponen de miles de ordenadores que han visto su seguridad comprometida y que forman parte de una botnet. Así pues, por muy bajo que sea el porcentaje de usuarios que se infecten al abrir un archivo adjunto a un e-mail, el envío de este tipo de correos sigue siendo rentable.

Teniendo esto en cuenta, los únicos cambios que se realizan para llamar la atención de los usuarios es crear asuntos sugerentes o alarmantes. Recientemente hemos visto multitud de e-mails suplantando a empresas de transporte diciendo que tenían un paquete para nosotros y nos solicitaban rellenar un documento adjunto, supuestos correos con falsas multas de tráfico o agencias tributarias que nos devuelven parte de los impuestos pagados.

Pero hay un tema que siempre llama la atención, sobre todo entre usuarios masculinos, y no es otro que el sexo. Las campañas de spam diseñadas para un periodo en concreto suelen tener un éxito razonable pero su duración suele ser relativamente corta. En cambio, aquellas campañas con algún componente sexual en su contenido suelen ser atemporales y conseguir un nivel de éxito superior a la media.

Durante los últimos días, en nuestro laboratorio hemos estado recibiendo varios ejemplos de este tipo de correos:

Como vemos, aun a pesar de ser un mensaje en inglés, la mayoría de usuarios reconocerá tres palabras que despertarán su interés: “photo”, “naked” y “girls”. Algo tan simple como este correo lleva días propagándose y, por los datos recopilados hasta ahora en nuestro laboratorio, ha conseguido un éxito superior a la media.

Por suerte para los usuarios, de la misma forma que el mensaje es muy simple, los códigos maliciosos que suelen adjuntar pertenecen a familias de malware conocidas y que son detectadas sin problemas por la mayoría de software antivirus. En este caso, las soluciones de Seguridad de ESET lo detectan como una variante de la ya veterana familia Agent.

A pesar de ser una técnica antigua y que la mayoría de usuarios debería descartar de forma automática estos correos (si no lo hace ya su filtro antispam), seguimos recibiendo a diario este tipo de mensajes. Desde el laboratorio de ESET en Ontinet.com recordamos que la mejor manera de protegernos ante ellos es ignorarlos y eliminarlos tan pronto como los veamos en nuestra bandeja de entrada.

Josep Albors

Correo propaga malware usando multa de tráfico como cebo

Uno de los correos electrónicos que más hemos recibido en nuestros laboratorios en los últimos días es una supuesta multa de tráfico emitida por la policía de Nueva York. En principio no debería suponer mayor problema para los que no vivimos en esa carismática ciudad, pero, debido a que es uno de los destinos turísticos por excelencia, es posible que alguien crea que se pasó pisando el acelerador mientras estaba de vacaciones y piense que la multa es auténtica.

El correo en sí no tiene mayor misterio y sigue un patrón similar al que ya vimos en otros que usaban técnicas similares, como aquella multa de tráfico desde Brasil o los que suplantaban a la Policía Nacional y a la Guardia Civil. La principal diferencia en este caso es que el archivo malicioso viene comprimido adjunto al correo y no se proporciona desde un enlace.

Si descargamos el archivo adjunto y lo descomprimimos observaremos cómo aparece un fichero con el icono de un documento PDF, pero con la extensión de un archivo ejecutable. Si bien es fácil reconocer este tipo de extensión, muchos usuarios prefieren hacer caso al icono y otros tantos ni siquiera tienen activada la opción de Windows que muestra la extensión verdadera de los archivos.

Como vemos, la técnica usada en esta ocasión es bastante sencilla y se preocupa poco de camuflar el código malicioso que propaga. En este caso se trata de un troyano que descarga varios tipos de malware en el sistema si se ejecuta, lo que conocemos comunmente como Trojan Downloader.

Desde el laboratorio de ESET en Ontinet.com recomendamos ignorar este tipo de correos. La referencia a la policía de Nueva York debería ser suficiente para la mayoría de usuarios como para descartar inmediatamente el mensaje. No obstante, nunca está de más contar con una solución antivirus actualizada por si nuestra curiosidad nos traiciona.

Josep Albors

Oleada de correos con facturas falsas propagan troyanos

La propagación de códigos maliciosos mediante la utilización de campañas de envío masivo de spam es algo a lo que estamos habituados desde hace años. Cada vez que observamos la recepción en nuestros laboratorios de miles de correos electrónicos con asuntos similares y ficheros adjuntos, podemos estar seguros de que los ciberdelincuentes están intentando propagar sus últimas creaciones.

Desde hace unos días venimos observando la evolución del envío masivo de emails con asuntos y archivos adjuntos similares. Estos correos llegan en inglés y sus asuntos van desde abonos en nuestra tarjeta de crédito por servicios cobrados de más hasta el envío de supuestas facturas, pasando por el presunto bloqueo de nuestra tarjeta de crédito.

La intención de dichos asuntos es llamar la atención de los usuarios para que estos abran el fichero adjunto sin pararse a pensar si realmente este archivo es lo que dice ser. Tal y como nos tienen acostumbrados los ciberdelincuentes, tras guardar el archivo en nuestro disco duro y abrirlo nos encontramos con un fichero ejecutable que nada tiene que ver con lo anunciado y que ejecutará un troyano en nuestro sistema.

En este caso, los ciberdelincuentes tan solo se han tomado la molestia de modificar el icono del archivo infectado, pero no la extensión, por lo que, si tenemos la visualización de las extensiones activadas, tendremos una oportunidad de reconocer la amenaza y eliminarla antes de que sea demasiado tarde.

Como vemos, en este tipo de campañas de propagación de malware prima la cantidad de mensajes enviados sobre la complejidad del ataque. Esto es debido a que, si bien los usuarios desconfían cada vez más de este tipo de mensajes, el porcentaje de afectados es todavía lo suficientemente importante como para que se sigan realizando este tipo de envíos masivos. Si a ello le sumamos el que la práctica totalidad de estos mensajes se envían desde sistemas infectados y que forman parte de una botnet, entenderemos por qué a los ciberdelincuentes no les cuesta apenas esfuerzo lanzar este tipo de campañas.

Por suerte, evitar caer en esta clase de trampas es sencillo. Desde el laboratorio de ESET en Ontinet.com recomendamos desconfiar de mensajes que nos hablan de servicios o pagos que en la gran mayoría de casos no hemos realizado, y, si tenemos dudas, contactar directamente con nuestra entidad bancaria o servicio mencionado en el correo. Asimismo, contar con un antivirus actualizado también nos puede ayudar a bloquear estas amenazas en el  caso de que nuestro sentido común no sea suficiente.

Josep Albors

Artículos Anteriores »