• Buscar

• Síguenos en Twitter

• Categorías

  • actualizaciones (45)
  • adware (4)
  • Android (2)
  • Anuncios (30)
  • Apple (12)
  • BlackHat SEO (5)
  • Botnets (41)
  • Cálico Electrónico (1)
  • Clickjacking (7)
  • Curiosidades (38)
  • datos (9)
  • DDoS (3)
  • Defacement (7)
  • Educación (72)
  • entrevista (5)
  • Espionaje (11)
  • Estadísticas (9)
  • Eventos (14)
  • exploit (66)
  • Facebook (16)
  • Filtraciones (25)
  • General (59)
  • Hacking (58)
  • hacktivismo (19)
  • Herramientas (18)
  • Heurística (6)
  • Hoax (3)
  • Humor (1)
  • Informes (16)
  • Ingenieria social (98)
  • Juegos (5)
  • Mac (10)
  • Malware (243)
  • Phishing (59)
  • Piratería (7)
  • Privacidad (20)
  • Productos (36)
  • ransomware (3)
  • redes sociales (65)
  • rogue (25)
  • rootkit (1)
  • Scada (4)
  • Scam (21)
  • scareware (2)
  • seguridad (80)
  • sorteos (2)
  • Spam (123)
  • spyware (2)
  • telefonía (33)
  • Troyanos (12)
  • Tutoriales (19)
  • Unix (1)
  • Vulnerabilidades (197)

• Archivos

  • mayo 2012 (13)
  • abril 2012 (12)
  • marzo 2012 (22)
  • febrero 2012 (21)
  • enero 2012 (26)
  • diciembre 2011 (17)
  • noviembre 2011 (19)
  • octubre 2011 (20)
  • septiembre 2011 (23)
  • agosto 2011 (24)
  • julio 2011 (18)
  • junio 2011 (16)
  • mayo 2011 (18)
  • abril 2011 (11)
  • marzo 2011 (18)
  • febrero 2011 (17)
  • enero 2011 (19)
  • diciembre 2010 (20)
  • noviembre 2010 (22)
  • octubre 2010 (27)
  • septiembre 2010 (30)
  • agosto 2010 (24)
  • julio 2010 (36)
  • junio 2010 (43)
  • mayo 2010 (27)
  • abril 2010 (26)
  • marzo 2010 (14)
  • febrero 2010 (16)
  • enero 2010 (14)
  • diciembre 2009 (7)
  • noviembre 2009 (5)
  • octubre 2009 (3)
  • septiembre 2009 (3)
  • agosto 2009 (8)
  • julio 2009 (6)
  • junio 2009 (2)
  • mayo 2009 (4)
  • abril 2009 (6)
  • marzo 2009 (6)
  • febrero 2009 (3)
  • enero 2009 (3)
  • diciembre 2008 (5)
  • noviembre 2008 (5)
  • octubre 2008 (10)
  • septiembre 2008 (9)
  • agosto 2008 (7)
  • julio 2008 (8)
  • junio 2008 (10)
  • mayo 2008 (13)
  • abril 2008 (12)
  • marzo 2008 (7)
  • febrero 2008 (5)
  • enero 2008 (2)
  • diciembre 2007 (7)
  • noviembre 2007 (6)
  • octubre 2007 (7)
  • septiembre 2007 (9)
  • agosto 2007 (3)
RSS Artículos | RSS Comentarios

El troyano Flashback infecta más de 600.000 Mac

La Semana Santa que acabamos de dejar atrás ha estado sin duda protagonizada en materia de seguridad por el descubrimiento de más de 600.000 equipos Mac infectados con una nueva variante del troyano Flashback.

Este troyano, del cual ya hemos hablado en este blog, lleva infectando equipos con sistemas Mac OS desde mediados de 2011 y, con el paso del tiempo, mejora sus técnicas, pasando de ser un falso instalador de Adobe Flash Player en sus primeras versiones a aprovecharse de diversas vulnerabilidades en Java en la versión más reciente y que ha causado este elevado número de sistemas infectados.

Pero, ¿cómo ha podido producirse una infección tan grande (comparable a la de Conficker en Windows) en un sistema que siempre ha presumido de seguridad e inmunidad al malware? Para encontrar la respuesta, primero de todo hay que analizar uno por uno los diversos factores que han intervenido en esta infección masiva.

Por una parte tenemos a Apple y su manera de entender la seguridad. Actualmente, la compañía de la manzana no se caracteriza por la rapidez a la hora de lanzar parches de seguridad, pudiendo pasar meses entre ellos y dejando una ventana de tiempo bastante amplia para que los ciberdelincuentes hagan de las suyas.

Luego tenemos al software de Java que ha sido usado para propagar e infectar con las últimas variantes de Flashback aprovechando diversas vulnerabilidades. Estas vulnerabilidades se conocían desde hace tiempo y ya fueron solucionadas en otros sistemas operativos hace semanas mediante una actualización del software. El problema en Mac es que no es Oracle (la desarrolladora de Java) la que lanza las actualizaciones para los usuarios con una versión vulnerable, sino la propia Apple, y esta ha tardado más de lo debido.

Por último tenemos al, normalmente, eslabón más débil: el usuario. Si en sistemas Windows el engaño y el uso de ingeniería social es algo que funciona muy bien a los ciberdelincuentes, en Mac no es una excepción, acrecentado además por la falsa sensación de tener un sistema “invulnerable” cuando la verdad es que las últimas versiones de Flashback no necesitaban siquiera que el usuario introdujese su contraseña de administrador.

Ante este panorama, ¿deben los usuarios de Mac asustarse ante una inminente llegada de grandes cantidades de malware para su sistema? De momento no hay motivos para que cunda el pánico, puesto que el número de muestras que se detectan cada día de malware para Mac sigue siendo muy bajo si lo comparamos con las destinadas a afectar sistemas Windows.

No obstante, todos los laboratorios antivirus hemos visto en los últimos meses un creciente interés de los desarrolladores de malware en los sistemas Mac OS, por lo que sería aconsejable que los usuarios empezasen a tomar medidas preventivas y destierren de una vez por todas el mito de usar un sistema invulnerable.

Es por ello que desde el laboratorio de ESET en Ontinet.com nos gustaría dar una serie de consejos a aquellos usuarios de Mac que quieran obtener más información sobre cómo proteger su sistema:

• Comprobar si nuestro sistema está infectado por el troyano Flashback. Para ello se pueden seguir las instrucciones que nuestros compañeros de Seguridad Apple han preparado para tal efecto.

• Si no se ha hecho ya, aplicar las actualizaciones correspondientes que Apple lanzó para solucionar las vulnerabilidades en Java aprovechadas por el troyano para infectar los sistemas. Se puede forzar una búsqueda de actualizaciones desde el menú Aplicaciones > Preferencias del sistema > Actualización de software > Buscar ahora.

• Desactivar Java. Si no se usa este software, cuyas vulnerabilidades son de las más aprovechadas actualmente para instalar malware, es recomendable desactivarlo. Para ello accedemos al menú Aplicaciones > Utilidades > Preferencias de Java y desmarcamos las casillas correspondientes a la versión de Java usada.

• Por último, recordamos que existen varias soluciones de seguridad como ESET Cybersecurity para Mac que pueden ayudarnos a detectar y eliminar este tipo de amenazas.

En conclusión, las amenazas para Mac han dejado de ser algo anecdótico para pasar a ser un riesgo real. Con más de 600.000 sistemas infectados, Flashback ha demostrado que es perfectamente posible portar el malware que estamos acostumbrados a ver en Windows a Mac con buenos resultados. Es por ello que es necesario que tanto los usuarios como la propia Apple tomen medidas ahora que aún están a tiempo para protegerse proactivamente y evitar más infecciones de este tipo.

Josep Albors
@JosepAlbors

Nueva variante de OSX/Imuler sigue siendo una amenaza para Mac OS X

El malware para Mac OS X sigue siendo poco en relación a las ingentes cantidades de códigos maliciosos que analizamos diariamente en nuestros laboratorios. No obstante, durante los últimos meses estamos viendo un crecimiento importante en la cantidad de muestras destinadas a infectar sistemas Mac, lo que denota el interés cada vez más creciente de los ciberdelincuentes en esta plataforma.

Cuando hablamos de técnicas de infección en Mac OS, vemos que no son muy diferentes a las usadas en Windows. Tenemos ejemplos como los del malware Flashback, que ha ido evolucionando durante meses hasta convertirse en una elaborada amenaza. Sin embargo, los ciberdelincuentes también pueden optar por usar la ingeniería social y engañar al usuario para que ejecute él mismo el archivo infectado, como en este caso.

La variante del código malicioso OSX/Imuler que vamos a analizar hoy se encuentra camuflada como una supuesta fotografía dentro de dos archivos comprimidos que se están propagando actualmente y tienen los siguientes nombres:

• “Pictures and the Ariticle of Renzin Dorjee.zip”

• “FHM Feb Cover Girl Irina Shayk H-Res Pics.zip”.

Si abrimos cualquiera de los dos archivos observaremos una serie de fotografías de diferente temática según el archivo abierto. Si, por ejemplo, abrimos el archivo que contiene imágenes de la modelo Irina Shayk, actual novia del futbolista Cristiano Ronaldo, encontraremos la siguiente galería:

Como vemos todo parece normal hasta que nos fijamos en un detalle. Hay un archivo que simula ser una foto pero la extensión es la de una aplicación. Este es el sencillo truco que han usado los ciberdelincuentes para hacer que el usuario caiga en la trampa y ejecute el código malicioso.

El malware que se instala en nuestro sistema una vez ejecutado es un troyano que roba información de la víctima (capaz de enviar archivos y capturas de pantalla a un servidor remoto) y que además incluye el sistema infectado en una botnet. Estas funcionalidades son muy similares a las que realizaban versiones anteriores de este mismo código malicioso, por lo que es probable que esta nueva variante se haya lanzado para intentar eludir la detección por los software antivirus.

Además, OSX/Imuler tiene la capacidad de enviar archivos aleatorios del sistema al centro de control de la botnet. Para ello se usa un ejecutable adicional y específico llamado CurlUpload, que se descarga desde el C&C de la botnet cada vez que se inicia el malware. Este archivo ejecutable independiente fue visto por primera vez a principios de 2011 y presenta unas interesantes líneas de código que sugieren la posibilidad de que, inicialmente, fuera diseñado para Windows pero después fue recompilado para ser usado en Mac OS X.

Para evitar que nuestro sistema Mac OS X quede infectado es importante saber reconocer una aplicación maliciosa cuando esta simula ser otro tipo de archivo. Para ello, al igual que en explorador de Windows, tenemos la posibilidad de hacer que se muestren las extensiones de los archivos en el Finder, opción que se activa desde el panel de preferencias de esta aplicación.

Además, como protección adicional, siempre podemos contar con la ayuda de un antivirus como ESET Cybersecurity que detecta esta amenaza como OSX/Imuler.C. El creciente número de amenazas para el popular sistema operativo de Apple, hace recomendable que nos preocupemos cada vez más en la seguridad de nuestro sistema y dejemos de lado ciertas campañas de marketing que prometían un sistema invulnerable.

Es por ello que, desde el laboratorio de ESET en Ontienet.com recomendamos aplicar las mismas políticas de seguridad independientemente del sistema operativo que usemos. Solo así evitaremos caer en la sensación de falsa inmunidad y mantendremos nuestro sistema seguro ante posibles amenazas.

Josep Albors
@JosepAlbors

La plaga del ransomware

En las últimas semanas todas las empresas que tenemos alguna relación con la seguridad informática estamos viendo un incremento preocupante en lo que a casos de ransomware se refiere. Especialmente problemático está siendo el conocido como ransomware policial, que utiliza el nombre de diferentes cuerpos policiales de varios países para amenazar al usuario y hacer que pague una multa por varios delitos de pornografía y pedofilia supuestamente cometidos desde su ordenador.

Esto no es nuevo, puesto que ya el verano pasado estuvimos comentando los primeros casos que vimos en territorio español. No obstante, los cibercriminales que están detrás de este malware no se quedan de brazos cruzados y están haciendo evolucionar constantemente su creación.

La técnica usada para asustar al usuario no ha variado apenas, pero sí lo ha hecho la manera de infectar el sistema y los métodos usados para hacer persistente esta amenaza. Uno de los referentes en el seguimiento de la evolución de este malware es el blog Una al día de Hispasec, donde se analizan las nuevas variantes que llegan constantemente a su servicio Virustotal y se ofrecen soluciones manuales para eliminar la infección.

El éxito que está teniendo esta nueva amenaza es considerable, y varias son sus claves. Lo primero que hay que destacar es que se “personaliza” dependiendo del país donde se encuentra el usuario. Así pues, en España vemos cómo suplanta a la Policía Nacional, pero en otros países hace lo mismo con las autoridades locales, tal y como se observa en un post del blog de F-Secure donde se suplanta a la policía Finlandesa.

Seguidamente, el miedo que infunde a los usuarios la posibilidad de verse amenazados por una autoridad (especialmente si el ordenador infectado está dentro de una empresa), además de no permitir el acceso al sistema hace que muchos usuarios decidan pagar el “rescate”. Por último las constantes variaciones que sufre el malware (las ultimas variantes aprovechan vulnerabilidades muy recientes en Java para propagarse) hace que la detección sea difícil si no se tiene el sistema y las soluciones de seguridad actualizados.

No obstante, este no es el único caso de ransomware (aunque sí el que más repercusión mediática está teniendo) que hemos visto en los últimos meses. En nuestros laboratorios hemos analizado muchos más y parece que el número irá en aumento, puesto que, para los ciberdelincuentes que preparan estas amenazas, es una manera rápida de conseguir dinero fácil de usuarios asustados.

Aunque sea un tema de actualidad, este tipo de amenazas no son ni mucho menos novedosas. Hace años que estamos observando varios tipos de malware similares y casi todos tienen en común que son elaborados en Rusia o países de Europa del Este.

Puesto que, una vez infectado un sistema, es relativamente difícil deshacerse de este tipo de amenazas, es vital que los usuarios adopten medidas proactivas de protección. Desde el laboratorio de ESET en Ontinet.com recomendamos mantener nuestro sistema operativo actualizado, incluyendo aquellas aplicaciones cuyas vulnerabilidades están siendo usadas para propagar la amenaza, como Acrobat Reader o Java.

Josep Albors
@JosepAlbors

Noticia sobre el robo a Michel Teló usada para propagar un troyano bancario

El uso de noticias protagonizadas por famosos es algo frecuente a la hora de engañar a los usuarios para que caigan en la trampa preparada por los ciberdelincuentes. Si hace poco comentábamos que habían usado a Shakira, Piqué y Alexis como gancho para propagar un troyano, ahora le toca al cantante brasileño de moda, Michel Teló.

Esta vez la noticia no es inventada, sino que aprovecha un robo sufrido por el artista en la habitación de su hotel en Murcia. Debido a que este cantante es seguido por una legión de fans, cualquier noticia que hable de él será leída por muchos seguidores. Sabedores de este hecho, los ciberdelincuentes han preparado una nueva campaña de spam enviando un correo electrónico haciéndose pasar por Terra y usando una dirección con dominio vodafone.es, como el que vemos a continuación:

En este correo se comenta el robo sufrido por el cantante y ofrece unas supuestas imágenes inéditas del ladrón grabadas por las cámaras del hotel. Por supuesto, este vídeo no se corresponde con el suceso, y si el usuario pulsa sobre él, accederá a un enlace donde se encuentra el archivo ejecutable micheltelo.exe.

Este archivo es un troyano bancario que las soluciones de seguridad de ESET detectan como una variante de Win32/TrojanDownloader.Banload.QJO. Si descargamos y ejecutamos este malware, cada vez que accedamos a una entidad bancaria de las que el troyano tenga en la lista, nuestro usuario y contraseña serán guardados y enviados a un servidor controlado por los ciberdelincuentes.

Esta técnica sigue el patrón de las amenazas desarrolladas por la “escuela brasileña”, malware que no es muy complejo técnicamente, pero que usa noticias de impacto o que despiertan la curiosidad del usuario para hacer que este ejecute el archivo malicioso. Desde el laboratorio de ESET en Ontinet.com recomendamos desconfiar de este tipo de noticias recibidas por email y acudir solamente a fuentes de información confiables y contrastadas.

Josep Albors
@JosepAlbors

Flashback sigue afectando a sistemas Mac

El malware que afecta a sistemas Mac sigue apareciendo poco a poco e incluso se modifica para propagarse más fácilmente. Si a mediados del año pasado informábamos en este blog de Flashback, una amenaza que se hacía pasar por un instalador de Adoble Flash Player, a lo largo de los últimos meses hemos ido detectando como esta amenaza se desarrollaba cada vez más y llegaba a suponer una seria amenaza para el sistema Mac OS.

Desde Apple se respondió de forma tímida lanzando una actualización de XProtect, el sistema de detección de malware que viene incorporado en los Mac y que solo contiene unas pocas bases de firmas. Está protección fue rápidamente saltada por los creadores de este malware y siguieron lanzando nuevas versiones periódicamente con características cada vez mas avanzadas. Entre todos los blogs de seguridad que han ido siguiendo la evolución de este malware recomendamos el de Seguridad Apple por la valiosa información que han ido publicando.

 

Ahora mismo, nos encontramos con una sofisticada amenaza que ha pasado de suplantar un instalador de Flash Player, que dependía de conseguir engañar al usuario para instalarse, a instalarse sin intervención del mismo, aprovechándose de dos vulnerabilidades presente en versiones de Java no actualizadas.

Además, en las versiones más recientes, este malware intenta averiguar si existe una solución antivirus instalada en el sistema (algo no muy frecuente por desgracia entre usuarios de Mac OS) y, si la detecta, no se instala. De esta forma, intenta evitar que los motores antivirus la detecten en aquellos sistemas en los que intenta instalarse y la envíen para analizarla, permitiendo a la amenaza estar activa más tiempo en aquellos sitios webs desde la que se está descargando.

En el caso de que esta amenaza consiga instalarse en un sistema Mac OS desprotegido, inyecta código malicioso en el navegador para así poder robar usuarios y contraseñas de sitios populares como Google, Yahoo! o Paypal, entre otros. Si además los usuarios comparten contraseñas entre diferentes sitios web los atacantes conseguirán maximizar los resultados.

Por suerte, existen fallos de programación en este malware que hace posible su detección incluso por aquellos usuarios que no cuenten con una solución de seguridad instalada en sus sistema. El principal es que esta amenaza hace que algunas aplicaciones fallen lanzando errores que no suelen ser habituales. Es por ello que, desde el laboratorio de ESET en Ontinet.com recomendamos que si notamos estos síntomas en nuestro sistemas, instalemos inmediatamente una solución de seguridad como ESET Cybersecurity y realicemos un análisis de nuestro sistema para eliminar una posible infección.

Josep Albors

@JosepAlbors

El FBI investiga el malware DNS Changer

La implicación de las fuerzas de seguridad en la investigación de ciertos tipos de malware (especialmente aquellos que afectan a una gran cantidad de sistemas) no es algo nuevo. Han sido ya muchas las operaciones realizadas para desmantelar redes de ordenadores zombis, organizaciones de ciberdelincuentes o, como en este caso, ejemplares de malware específicos.

DNS Changer no es para nada un malware novedoso, ya que lleva años infectando sistemas y siendo detectado por las soluciones antivirus, como ESET NOD32. El principal objetivo de este malware es cambiar los servidores DNS que tenemos configurados en nuestro sistema para así redirigirnos a sitios web fraudulentos o que albergan malware. Es importante destacar que se han visto variantes de este código malicioso para varios sistemas operativos, incluyendo Windows, Mac OS y GNU/Linux.

Su funcionamiento, tal y como explican nuestros compañeros de ESET Latinoamérica, es el siguiente: una vez infectado el sistema, se cambian las direcciones IP de los servidores DNS que tuviésemos configurados. Así, cuando se intenta acceder a alguna web en concreto (una entidad bancaria, por ejemplo), la resolución de nombres se realiza usando uno de los servidores DNS maliciosos (o rogue DNS server). Se consigue de esta forma engañar a los usuarios para que accedan a enlaces peligrosos desde donde pueden infectarse o proporcionar datos privados a los ciberdelincuentes.

Este tipo de malware no solo afecta a nuestro sistema, puesto que si se está en un entorno doméstico o de oficina, el malware intenta acceder al dispositivo que ofrece servicio DHCP, ya sea un router o un punto de acceso, y mediante fuerza bruta realiza una comprobación de contraseñas por defecto para intentar acceder a dicho dispositivo. En caso de que el acceso tenga éxito, se procede a modificar las direcciones de los servidores DNS para que este dispositivo utilice los servidores maliciosos. Otra funcionalidad de este tipo de malware que hay que destacar, es el hecho de que intenta desactivar el software antivirus, si es que se cuenta con uno, y además procura impedir las actualizaciones del sistema operativo.

Sabedores de que aún quedan muchos sistemas infectados (solo en Estados unidos se calcula que la cifra podría llegar a 500.000), el FBI empezó una investigación que logró identificar hasta seis servidores DNS maliciosos. Desde entonces ha estado informando a los usuarios sobre esta amenaza y señalando el 8 de marzo de 2012 como fecha en la que desactivarán todos los servidores DNS maliciosos, impidiendo a partir de esa fecha que los usuarios que sigan infectados puedan navegar por Internet.

Para poder utilizar dicha herramienta primero debemos averiguar qué servidor DNS tenemos configurado en nuestro sistema. Podemos revisarlo realizando los siguientes pasos:

• Acceder a una consola de línea de comandos yendo a Inicio –> Ejecutar, luego escribir “cmd” y presionar “enter”. En el caso de Windows Vista y 7, ir al menú Inicio y directamente escribir “cmd”.
• Una vez en la consola, escribir el comando “ipconfig /all” y pulsar “enter”.
• Buscar la sección donde dice DNS Servers o Servidores DNS. Las direcciones IP que allí figuran son las de los servidores DNS.

Windows XP

Windows Vista / Windows 7

Una vez hemos obtenido este dato, podemos acceder a la herramienta preparada por el FBI para averiguar si estamos en un servidor DNS malicioso:

En el caso de que estemos usando uno de los servidores maliciosos, debemos cambiarlo por uno legítimo inmediatamente y realizar un análisis de nuestro sistema con un antivirus actualizado para eliminar cualquier resto de malware que pudiese quedar. Al faltar relativamente poco para la fecha marcada por el FBI para desactivar los servidores DNS maliciosos, desde el laboratorio de ESET en Ontinet.com recomendamos realizar estas comprobaciones en nuestros equipos lo antes posible para evitarnos una desagradable sorpresa.

Josep Albors
@JosepAlbors

San Valentín: te quiero y te regalo una poesía, un paradisíaco viaje… y algo más

Un año más, volvemos a estar cerca de la celebración del día de los enamorados, San Valentín, y, de nuevo, hemos comenzado a observar cómo los ciberdelincuentes preparan sus campañas de propagación de malware aprovechándose de esta fecha señalada. Nuestros compañeros de ESET Latinoamérica ya han detectado algunos casos que pasamos a comentar.

El primero llega en forma de postal electrónica: alguien anónimo nos declara su amor en forma de poesía. Pero en el correo también se incluye un enlace donde, supuestamente, se descubre quién es el admirador secreto. Evidentemente, el usuario no solo se quedará con las ganas de conocer al romántico desconocido, sino que además se llevará de regalo un troyano que las soluciones de seguridad de ESET identifican como Win32/Injector.HVG. Este malware intercepta todo intento de conectarse a una entidad bancaria y redirige al usuario a páginas falsas donde se robarán las credenciales de acceso a su cuenta. La víctima no solo se quedará sin amante y sin poesía, sino que puede quedarse sin dinero.

El segundo llega en forma de notificación: hemos sido los afortunados ganadores de un concurso de una aerolínea chilena y nos ha tocado, nada más y nada menos, que un romántico viaje para dos personas a Punta Cana; además, se nos proporciona un enlace para canjear el premio. En ese mismo correo aparecen otros enlaces que, supuestamente, dan más información, pero, en realidad, redirigen al mismo enlace fraudulento. Por supuesto, el viaje no lo haremos nunca (al menos, gratis), pero sí nos descargaremos otro troyano, Win32/Injector.NTU, que también intentará que nuestro ordenador entre a formar parte de una botnet y quede a merced de los cibercriminales.

Como siempre recordamos desde el laboratorio de ESET en Ontinet.com, las fechas señaladas suelen ser habitualmente aprovechadas por todo tipo de cibercriminales que usarán el gancho promocional para conseguir nuevas víctimas. Por lo tanto, y sobre todo con respecto al material que nos llegue utilizando San Valentín como gancho a través de correo electrónico o de redes sociales, recomendamos a los usuarios que desconfíen de este tipo de contenido…, aunque pongamos en riesgo la que promete ser la relación de nuestra vida o el gran viaje que todos deseamos hacer.

Josep Albors
@JosepAlbors

Spam suplantando a Bankinter propaga troyano bancario

Estamos acostumbrados a recibir en nuestro buzón de entrada de correo electrónico mensajes que dicen provenir de las más diversas entidades bancarias. En la mayoría de ocasiones estos mensajes son la enésima repetición de un caso de phishing. El usuario acede a una web que simula ser la del banco, introduce los datos de su tarjeta y el delincuente los utiliza para sustraer importantes cantidades de dinero.

No obstante, hoy os vamos a hablar de otro tipo de engaños que, si bien tienen el mismo objetivo, utilizan técnicas diferentes. Todo empieza con la recepción de un correo electrónico de una conocida entidad bancaria como el que vemos a continuación:

Como se puede observar, dice lo típico en este tipo de correos: se están realizando unas supuestas mejoras en la seguridad del banco y solicitan que sus clientes accedan a un enlace para comprobar que sus datos personales son correctos. En caso de no realizarse esta operación, se amenaza con suspender la cuenta, para darle más vidilla al asunto.

Lo normal es que accediéramos a una web donde se solicitan nuestros datos, incluyendo el número de nuestra tarjeta de crédito, el código cvv de la misma e incluso todos los campos de nuestra tarjeta de coordenadas, pero en esta ocasión los ciberdelincuentes han pensado que mejor ya recopilan ellos estos datos por su cuenta. Así, lo que sucede tras pulsar sobre el enlace es que nos descargaremos un archivo ejecutable con más peligro que el bautizo de un gremlin.

Efectivamente, el archivo descargado contiene un código malicioso que las soluciones de seguridad de ESET identifican como Win32/Spy.Banker.UCO, o lo que es lo mismo, un troyano bancario que registrará nuestros datos cada vez que realicemos una operación online en nuestro banco.

En esta ocasión, los ciberdelicuentes no han esperado a que el usuario sea el que les proporcione los datos, ya que directamente fuerzan la instalación de un malware para robárselos. En el laboratorio de ESET en Ontinet.com ignoramos si es que los ciberdelincuentes tienen prisa por obtener el dinero y así hacer frente a los regalos de reyes o simplemente están probando diversas estrategias para averiguar cuál  es más efectiva. Lo que sí es seguro es que debemos protegernos de este tipo de amenazas ignorando este tipo de mensajes y contando con una protección adecuada que bloquee estas amenazas.

Josep Albors

Google retira aplicaciones maliciosas del Android Market

No es ningún secreto que Android es, con diferencia, el sistema operativo de dispositivos móviles más atacado (que no el más inseguro) por los ciberdelincuentes. Esto lo vemos reflejado en las noticias sobre ataques y malware propagado en esta plataforma que, por ejemplo, en este blog comentamos.

El último caso que ha tenido una repercusión importante ha sido la detección de aplicaciones maliciosas en el mercado oficial Android Market de Google. Tal y como vemos en la imagen a continuación, el desarrollador Logastrod ofrecía versiones gratuitas de aplicaciones populares de Android.

No obstante, si el usuario descarga e instala estas aplicaciones en su dispositivo Android, lo que conseguirá es infectarlo con un troyano que empezará a enviar mensajes de texto a números Premium de tarificación especial. Esta clase de estafas es bastante común en este tipo de dispositivos, pero casi siempre vienen asociadas a aplicaciones descargadas desde markets no oficiales. En este caso, la situación se agrava al ser el propio market oficial el que ofrecía estas aplicaciones infectadas.

En el momento de escribir estas líneas, Google ya ha retirado las aplicaciones maliciosas y suspendido las cuentas de este desarrollador y de otro conocido como Miriada, que ofrecía aplicaciones similares.

Este caso debe servirnos para vigilar qué aplicaciones instalamos y de dónde proceden. Como hemos visto, incluso en los markets oficiales puede encontrarse malware. Por eso, desde el laboratorio de ESET en Ontinet.com recomendamos asegurarnos de que descargamos la aplicación deseada desde la cuenta de su desarrollador original y no de la de cualquiera que quiera aprovecharse del éxito de algunas aplicaciones.

Josep Albors

[Podcast] Troyanos gubernamentales

En las últimas semanas hemos visto como salían a la luz casos donde se demostraba que algunos gobiernos espiaban a sus ciudadanos usando malware. Si bien esto es algo que ya se presupone en algunos países con una fuerte censura, los ciudadanos de los llamados países del mundo libre no estamos acostumbrados a sufrir este tipo de espionaje. En el siguiente podcast analizamos este tipo de espionaje, sus comienzos y como nos afecta actualmente.

Artículos Anteriores »