• Buscar

• Síguenos en Twitter

• Categorías

  • actualizaciones (24)
  • adware (3)
  • Anuncios (13)
  • Botnets (12)
  • Clickjacking (2)
  • Curiosidades (21)
  • Defacement (2)
  • Educación (50)
  • Estadísticas (3)
  • Eventos (11)
  • exploit (31)
  • General (18)
  • Hacking (23)
  • Herramientas (12)
  • Heurística (5)
  • Hoax (2)
  • Informes (6)
  • Ingenieria social (49)
  • Malware (147)
  • Phishing (31)
  • Piratería (4)
  • Productos (27)
  • redes sociales (26)
  • rogue (13)
  • Scam (1)
  • scareware (2)
  • seguridad (19)
  • Spam (63)
  • telefonía (2)
  • Tutoriales (18)
  • Vulnerabilidades (113)

• Archivos

  • Julio 2010 (36)
  • Junio 2010 (43)
  • Mayo 2010 (27)
  • Abril 2010 (26)
  • Marzo 2010 (14)
  • Febrero 2010 (16)
  • Enero 2010 (14)
  • Diciembre 2009 (7)
  • Noviembre 2009 (5)
  • Octubre 2009 (3)
  • Septiembre 2009 (3)
  • Agosto 2009 (8)
  • Julio 2009 (6)
  • Junio 2009 (2)
  • Mayo 2009 (4)
  • Abril 2009 (6)
  • Marzo 2009 (6)
  • Febrero 2009 (3)
  • Enero 2009 (3)
  • Diciembre 2008 (5)
  • Noviembre 2008 (5)
  • Octubre 2008 (10)
  • Septiembre 2008 (9)
  • Agosto 2008 (7)
  • Julio 2008 (8)
  • Junio 2008 (10)
  • Mayo 2008 (13)
  • Abril 2008 (12)
  • Marzo 2008 (7)
  • Febrero 2008 (5)
  • Enero 2008 (2)
  • Diciembre 2007 (7)
  • Noviembre 2007 (6)
  • Octubre 2007 (7)
  • Septiembre 2007 (9)
  • Agosto 2007 (3)
RSS Artículos | RSS Comentarios

Troyano brasileño con vector de ataque mejorado

Las técnicas usadas por muchos creadores de malware latinoamericanos (y especialmente los brasileños) para lograr infectar a los usuarios, se han basado tradicionalmente en la ingeniería social y no ha sufrido grandes cambios en los últimos años. Lo habitual es que se incluya un archivo adjunto o un enlace a una dirección web maliciosa concreta donde se encuentra el código malicioso y, en la mayoría de ocasiones, este malware es un troyano bancario.

No obstante, en las últimas semanas hemos visto como se ha ido evolucionando de un simple correo con adjunto o enlace a algo más elaborado. En este mismo blog hemos comentado algunos casos de la evolución de los métodos de propagación de este tipo de malware y en los últimos días, hemos analizado otra más.

En esta ocasión nos encontramos con un correo de una supuesta empresa de transportes que solicita que rellenemos un formulario.

Aparentemente, no se observa ninguna novedad con respecto a otros casos similares. Si pulsamos sobre el enlace para descargar el archivo .pdf se nos mostrará una ventana de descarga indicando que vamos a proceder a descargar el fichero Arquivo_DSCF3197.cpl.

Aquí observamos una diferencia con respecto a los casos de infección clásicos de este tipo de troyanos. Normalmente se procede a descargar un archivo ejecutable .exe o un documento .pdf modificado para aprovechar alguna vulnerabilidad. No obstante, en esta ocasión se usa un archivo .cpl, utilizados por Windows para representar las herramientas del panel de control.

Asimismo, la dirección web que se usa para realizar la descarga pertenece a un club de artes marciales brasileño que nada tiene que ver con la propagación de esta amenaza. Recientemente hemos visto muchas páginas webs legitimas usadas para propagar malware por lo que debemos extremar las precauciones. Está también es una novedad en este tipo de ataques ya que lo normal era preparar una dirección web concreta y no utilizar una web legítima.

La utilización de los archivos con extensión .cpl para propagar malware no es habitual y puede que esta sea una de las causa por las que, en el momento de escribir este artículo, aun pocos motores antivirus detectaban esta amenaza. Tanto ESET NOD32 Antivirus como ESET Smart Security detectan este código malicioso como el troyano Win32/TrojanDownloader.Banload.PNO.

Cabe recordar que este tipo de amenazas sigue dependiendo en gran medida de las técnicas de ingeniería social para poder propagarse. Es por eso que, desde el laboratorio de ESET en Ontinet.com recomendamos extremar las precauciones a la hora de abrir correos no solicitados y contar con la protección de un antivirus actualizado capaz de detectar este tipo de amenazas.

Josep Albors

Falso correo de Imageshack usado para propagar malware

La suplantación de empresas o individuos es una práctica habitual usada por los creadores de malware para engañar a los usuarios y conseguir que ejecuten sus creaciones o accedan a enlaces preparados para descargar malware. En este blog ya hemos informado sobre estrategias de engaño que han usado el nombre de empresas como Microsoft, Amazon, entidades bancarias varias, etc.

En esta ocasión se ha suplantado la identidad de Imageshack, empresa legítima bastante usada para el almacenamiento de imágenes en sus servidores. Como si de un correo de esta empresa se tratase, recibimos en nuestro buzón un mensaje similar a este:

En el correo se nos indica que hemos conseguido registrar una cuenta en Imageshack y se nos proporcionan los datos de acceso y un enlace para acceder a la misma. Si pulsamos sobre el enlace veremos cómo accedemos a una web donde se nos intentará mostrar un supuesto vídeo y solicitará la descarga de un archivo ejecutable (adobe_flash_install.exe) camuflado de codec flash.

Si contamos con un antivirus capaz de detectar esta amenaza, la bloqueará y eliminará, evitando que ejecutemos el archivo e infectemos nuestro sistema. Los productos de seguridad de ESET detectan esta amenaza como un troyano Win32/Spy.Zbot.YW, malware con funciones de software espía que se encarga de recolectar información cuando el usuario navega por determinados sitios webs.

Este tipo de amenazas suelen ser bastante frecuentes y se aprovechan de la confianza del usuario en el remitente del mensaje para poder propagarse con más facilidad. Desde el laboratorio de ESET en Ontinet.com aconsejamos desconfiar de este tipo de mensajes aunque el remitente nos inspire confianza, así como descargar e instalar un antivirus que permita detectar las amenazas que se esconden tras los enlaces maliciosos.

Josep Albors.

Spam de Wester Union propaga falso antivirus

La empresa Wester Union es una empresa americana que se dedica a ayudar a los usuarios a realizar envíos de dinero de forma rápida y segura. Durante el día de hoy hemos estado recibiendo multitud de correos no deseados haciendo referencia a esta empresa donde se nos indica que una transferencia, que no hemos realizado, no ha llegado a su destino.

En el correo, también se muestra que para recuperar el dinero enviado necesitamos imprimir el archivo adjunto y visitar la página de la agencia, pero si ejecutamos el archivo adjunto nos encontramos con algo muy distinto.

Se ejecuta automáticamente un falso antivirus llamado Security Tool. El aspecto que muestra esta aplicación ya es conocido por nuestro laboratorio de ESET en Ontinet.com, ya que hace un tiempo este mismo software fraudulento fue detectado en Internet bajo el nombre de Smart Security

Una vez se instala en nuestro equipo, realiza un supuesto análisis de las distintas unidades del sistema. Al finalizar, se muestran multitud de falsas amenazas detectadas. Para terminar el proceso de eliminación se nos insta a adquirir el producto mediante un pago y así olvidarse de estas supuestas infecciones.

Desde el departamento técnico de ESET en Ontinet.com les aconsejamos desconfiar de todo correo que haga referencia a servicios de Internet que no utilicemos. Además de no ejecutar nunca los archivos adjuntos a estos mensajes y disponer de un software antivirus actualizado.

David Sánchez

¿Tienen algo en común las vuvuzelas y el Spam?

Una de las protagonistas del mundial de fútbol 2010 celebrado en Sudáfrica es, sin ninguna duda, la vuvuzela. Un instrumento que provoca un ruido ensordecedor y muy molesto. ¿Podría ser tan molesto como el correo electrónico no deseado que recibimos a diario?, ¿se puede hacer algo para dejar de escuchar las vuvuzelas?

A finales de Junio, en blogs.computerworld.com aparecía un artículo muy curioso en el que se comparaban las vuvuzelas con el correo no deseado, alguno de los argumentos que mostraban, de forma muy resumida, eran los siguientes:

• Es continua e inevitable
• Propaga infecciones bacterianas y virales
• En teoría es ilegal
• El único plan viable para erradicarla es aplicar un filtro

Hoy mostramos un artículo elaborado por allspammedup.com en el que refuta la opinión expresada en computerworld, mostrando su razonamiento de por qué las vuvuzelas no son comparables al spam:

• El ruido es continuo pero evitable, además los que la usan lo hacen con alegría
• Las vuvuzelas son de plástico
• Se han convertido en una parte del fútbol que debe ser bienvenida
• Con ellas aumenta la productividad en la empresa, con el spam no

Desde el departamento técnico de ESET en Ontinet.com aconsejamos a nuestros visitantes leer detenidamente estos dos artículos, al igual que esperamos que echen pelillos a la mar y que tanto computerworld como allspammedup disfruten de este mundial que ya llega a su fin.

David Sánchez

Phishing (cutre) a Caja Madrid

Si hace unas semanas nos hacíamos eco de una nueva campaña de phishing al BBVA y el Banco de España, esta vez es Caja Madrid la afectada, aunque no podemos decir que los atacantes se hayan esmerado mucho en el intento.

Como suele pasar en casos recientes, todo comienza con la recepción de un correo que supuestamente viene remitido desde la entidad bancaria. En este caso, la redacción no es perfecta y podemos empezar a sospechar si prestamos atención al mismo (hacer clic sobre la imagen para ampliarla).

En el caso que pulsemos sobre el enlace proporcionado en el correo, se nos redirige a una nueva web que simula ser el portal de acceso de Caja Madrid a su apartado de banca online. Solo fijándonos en la dirección url de la web ya podemos sospechar que se trata de un engaño puesto que no se corresponde con el dominio de Caja Madrid ni se trata de una web segura.

Independientemente de los datos que introduzcamos se nos permitirá seguir y acceder a una nueva web donde se nos pedirán nuestros datos y los de nuestra tarjeta. Si observamos, no se conforman con el número de la tarjeta si no que también se nos solicita la fecha de caducidad de la misma y el CVV. Con estos datos, cualquier persona podría realizar compras online y cargarlos a nuestra cuenta.

Aunque pongamos información inverosímil como fechas imposibles o números de teléfono falsos no nos mostrará ningún mensaje de error y nos dejará continuar rellenando el formulario. Tras rellenar el formulario se nos mostrará una nueva web donde aparecerá el aviso de que el servicio no se encuentra disponible. Esta web y aquellas a las que nos dirige si pulsamos sobre los enlaces proporcionados, pertenecen a Caja Madrid y podemos comprobarlo si nos fijamos en que la web de registro sí que tiene una conexión segura.

No obstante, si hemos llegado a visualizar esta pantalla significará que los datos que hemos introducido ya están en manos de los delincuentes y, en el caso de que estos sean auténticos, podrán acceder a nuestra cuenta bancaría.

Desde el laboratorio de ESET en Ontinet recomendamos ignorar cualquier correo electrónico que diga venir de nuestra entidad bancaria puesto que nunca se usa este medio de comunicación para alertar de problemas de seguridad.

Josep Albors

La OCU informa de un nuevo fraude mediante SMS

Muchos y diferentes son los intentos de Phishing que hemos ido mostrando en nuestro blog. Hoy la Organización de Consumidores y Usuarios (OCU) ha dado a conocer un nuevo tipo de fraude bancario, esta vez por medio de los SMS.

Tal y como explica en su página web este tipo de fraude intenta aprovecharse de uno de los servicios bancarios más utilizados actualmente, el aviso de nuestro banco de un pago con tarjeta a través de sms.

Se ha detectado que se están enviando sms de falsos pagos realizados con nuestra tarjeta, donde además se indica un número de teléfono al que podemos llamar en caso de duda. La OCU informa que “al llamar a ese número de teléfono, se nos piden los datos de la tarjeta, número, fecha de caducidad y CVS para confirmarle que efectivamente se trata de un error, pero el número al que ha llamado no es el de su banco, por lo que le acaba de dar todos los datos a un desconocido”.

Los consejos proporcionados por la OCU son los siguientes:

• Omitir el sms en el caso de que no estén dados de alta en este servicio
• No llamar al número de teléfono proporcionado y llamar directamente a su oficina o al número de contacto que aparece en la parte posterior de la tarjeta de crédito.

Desde el departamento técnico de ESET en Ontinet.com aconsejamos a los usuarios, que no llamen a teléfonos incluidos en mensajes de desconocidos o de dudosa procedencia, y además, les mostramos una serie de consejos de seguridad para el uso seguro del teléfono móvil.

David Sánchez

Phising usando encuesta de McDonald’s

Tras unas semanas usando el clásico método de enviar una foto adjunta a un correo para propagar un troyano bancario, parece que algunos desarrolladores de la conocida como escuela brasileña o latinoamericana de malware empiezan a usar otros métodos. Hoy mismo hemos recibido un correo cuyo remitente pretende suplantar a McDonald’s que nos invita a participar en una encuesta y obtener un bono de forma gratuita.

Si pulsamos sobre el enlace que se nos proporciona, accederemos a una web con distintivos claramente reconocibles y que muestra una encuesta. No obstante el enlace real apunta a una web con dominio brasileño y, bajo ese domino, muestra la web preparada para usuarios de habla hispana.

Es posible que, bajo ese mismo dominio, se almacenen otras encuestas en otros idiomas pero vamos a centrarnos en la versión española:

Como vemos la encuesta no tiene nada fuera de lo normal aparte de una redacción un poco pobre y una inquietante imagen de la mascota de la empresa. Si seguimos adelante con la encuesta, pasaremos a otra página donde se nos pedirán nuestros datos para hacer el ingreso del bono regalo en nuestra cuenta:

Si nos fijamos, se nos piden TODOS los datos de nuestra tarjeta de crédito con los que, una vez introducidos y enviados, los creadores de esta falsa encuesta tendrán los datos necesarios para vaciar la cuenta corriente asociada a nuestra tarjeta.

Como vemos, este nuevo caso de phishing usa muy bien la ingeniería social para engañar a los usuarios a pesar que el diseño de la página seguramente no habrá requerido de mucho tiempo para realizarse.

Ante este tipo de ejemplos, lo mejor es desconfiar de aquellas webs que nos pidan demasiados datos personales y, por supuesto, NUNCA proporcionar los datos de la tarjeta de crédito en sitios que no cuenten con una certificación de seguridad reconocible y un protocolo seguro de comunicación.

Josep Albors

Spam a nombre de Youtube y Amazon redirige a farmacia online

Desde primera hora de la mañana se están recibiendo falsos correos de Youtube Service donde se nos pide que confirmemos nuestra dirección de correo para poder subir vídeos de forma inmediata.

Lo mismo está ocurriendo con falsos correos de MySpace, los cuales nos piden que configuremos una nueva contraseña de acceso o con Amazon, muestrando información de pedidos simulados en la tienda de Amazon, donde al ver la información del pedido se nos redirige a la página de Farmacia Online.

El procedimiento utilizado es el mismo que en otros correos no deseados con menor repercusión. Accedemos a una página donde aparece lo siguiente:

En la página mostrada, se nos indica que esperemos 4 segundos, pasado ese tiempo nos redirige a la web de farmacia online, hasta ahí todo normal, a no ser por qué en el código fuente aparece un iframe por el cual intenta cargar otra página web maliciosa mientras accedemos a la página de farmacia online.

Todo ello es detectado por ESET como Iframe.B.Gen, protegiéndonos del acceso a estas páginas.

Desde el departamento técnico de Ontinet.com, aconsejamos omitir este tipo de correos electrónicos, sobre todo si no somos usuarios de estos servicios y disponer de una protección antivirus actualizada y activada para estar protegidos correctamente de este tipo de ataques.

David Sánchez

Continúan los ataques de correos brasileños con regalo

Si hace unos días informábamos en nuestro blog sobre un correo malicioso con una foto adjunta sospechosa, que al infectar al usuario robaba los datos de acceso a la banca online, hoy nos hemos encontrado con otro intento, de esta escuela brasileña, para conseguir claves bancarias.

Este correo, recibido durante el día de hoy, con un curioso remitente, no es tan simple como el que comentábamos en la entrada anterior. En él se habla sobre un pequeño acertijo muy simpático y adjunta un supuesto vídeo. Al hacer clic sobre el vídeo nos pide la descarga del archivo Mucao.zip, descargado desde la web http://www.myfryendsweb.net, la cual simplemente hace de servidor donde se aloja el malware.

El archivo descargado es detectado por ESET como troyano bancario. Los creadores de malware utilizan como método principal para propagar sus infecciones la ingeniería social, aprovechándose de la curiosidad de los usuarios al recibir este tipo de correos para llevar a cabo sus objetivos.

Desde el departamento técnico de ESET en Ontinet.com aconsejamos disponer de un módulo antispam correctamente configurado para en el caso de recibir este tipo de correos sean redirigidos directamente a la carpeta de correo no deseado, al igual que aconsejamos el uso de una protección antivirus correctamente actualizada para así evitar este tipo de infecciones.

David Sánchez

Falsos correos de Movistar propagan malware

En las últimas horas hemos venido recibiendo una gran cantidad de mensajes cuyo remitente se hace pasar por la empresa Movistar (antigua Telefónica). En ese correo se nos contesta a una supuesta reclamación de unas facturas, indicándonos una cantidad que se nos abonará y se nos adjunta un archivo comprimido que, en teoría, contiene una factura. Veamos un ejemplo:

Si el usuario decide abrir el archivo adjunto se encontrará con una sorpresa en forma de troyano que tanto ESET NOD32 Antivirus como ESET Smart Security detectan como Win32/Kryptik.EZN, tal y como puede observarse en la imagen que mostramos a continuación.

Se trata de un caso más de intentar engañar al usuario que recibe estos mensajes con la posibilidad de tener un beneficio económico inesperado, independientemente de que se haya realizado una reclamación a la empresa Movistar o no. Hace apenas unos días vimos casos similares con correos que decían venir del BBVA y del Banco de España con un mensaje similar.

Conociendo la actual crisis económica, es comprensible que los creadores de malware intenten propagar sus códigos maliciosos apelando al bolsillo de los usuarios. Correos que nos ofrecen ingresar dinero en una cuenta como el que hemos visto en este artículo u ofertas que nos ofrecen trabajar unas pocas horas desde casa a cambio de una importante cantidad de dinero, son bastante frecuentes en los tiempos que corren.

Desde el departamento técnico de ESET en Ontinet.com recomendamos ignorar y eliminar este tipo de correos de nuestra bandeja de entrada así como también descargar e instalar un antivirus que le ofrezca protección proactiva frente a las mismas.

Josep Albors

Artículos Anteriores »