La actualización que lanzó ayer Apple es importante, puesto que corrige hasta 52 vulnerabilidades en Lion y Snow Leopard, tanto en versiones cliente como en servidores.

Aunque los paquetes de actualizaciones de Mac OS no se caracterizan por ser especialmente ligeros (la actualización para Lion ocupa más de 700 MB) es fundamental que los usuarios apliquen estos parches para evitar males mayores.

Recordemos que 2011 fue un año prolífico en malware para Mac y que el aprovechamiento de las vulnerabilidades del sistema suelen ser un importante vector de ataque para conseguir infectar nuestro sistema, independientemente del que sea. Es por eso que, desde el laboratorio de ESET en Ontinet.com, recomendamos aplicar estas actualizaciones lo antes posible.

Josep Albors
@JosepAlbors

En esta ocasión vemos cómo los ciberdelincuentes se vuelven a aprovechar de las vulnerabilidades presentes en una versión obsoleta de WordPress, concretamente la 3.2.1, para colgar código malicioso en una parte del blog. Los blogs afectados son inocuos si se navega por ellos y no se accede a la sección comprometida. Esta técnica se usa para evitar que los mecanismos de reputación de URL bloqueen estos blogs y la amenaza quede activa durante más tiempo.

Para conseguir que los usuarios accedan al enlace donde se encuentra el código malicioso, los ciberdelincuentes emplean la clásica técnica de enviar millones de correos spam simulando ser una factura pendiente de pago que incluye el enlace malicioso. De esta forma, cuando un usuario pulsa sobre dicho enlace, accederá a una web que simula estar cargándose.

No obstante, en realidad el usuario está siendo redireccionado a un enlace con dominio ruso y que contiene una cadena de código ofuscado para dificultar su detección.

Si desciframos este código, vemos cómo apunta a un enlace dentro del dominio ruso que veíamos anteriormente y que procede a cargar un exploit kit. Algunos investigadores han apuntado que se trata del Phoenix Exploit Kit y que procede a intentar ejecutar una serie de exploits dependiendo del navegador, sistema operativo o software instalado en el sistema de la víctima.

Dentro de los diferentes exploits que se intentan ejecutar, encontramos algunos diseñados para aprovechar vulnerabilidades en Java y, de esta forma, afectar a varios sistemas operativos. Otros están diseñados para aprovecharse de vulnerabilidades en el manejo de archivos PDF e incluso encontramos un exploit para aprovecharse de una vieja vulnerabilidad en Internet Explorer 6.

Los sitios que cuentan con una versión de WordPress vulnerable y que han sido modificados para infectar a los usuarios se cuentan por cientos. El hecho de que solo una parte del sitio web se encuentre comprometido dificulta que sus administradores se den cuenta a menos que hagan una revisión a fondo. Con respecto a los usuarios que pulsan sobre el enlace malicioso que se envía por correo, pueden evitar infectarse si cuentan con una solución antivirus que detecte esta amenaza e impida el acceso al sitio web malicioso.

Como hemos visto, las webs legítimas pueden suponer también un grave peligro si sus administradores no toman las debidas medidas de precaución. Desde el laboratorio de ESET en Ontinet.com, como en anteriores ocasiones, recomendamos evitar pulsar sobre enlaces contenidos en correos sospechosos y contar con una solución antivirus que nos proteja si pulsamos accidentalmente sobre ellos.

Josep Albors
@JosepAlbors

Una de las aplicaciones fundamentales hoy en día es el navegador web. Esta aplicación ha ganado importancia a lo largo de los años y es parte vital de nuestra experiencia como usuarios de Internet. Asimismo, se ha convertido en la principal puerta de entrada de códigos maliciosos a nuestro sistema, por lo que es crucial mantenerlo siempre actualizado.

No obstante, algunos usuarios siguen usando software obsoleto desconociendo el peligro que corren. Un caso especialmente grave es el uso considerable que, en algunos países, aún tiene Internet Explorer 6. Recordemos que era el navegador que venía por defecto en Windows XP, sistema que todavía hoy sigue siendo usado por un importante número de usuarios.

Estos usuarios que usan un navegador diseñado hace más de diez años desconocen lo expuestos que se encuentran a las amenazas actuales. Si ya es difícil contener estas amenazas con los navegadores y las medidas de seguridad actuales, imaginémonos cómo de difícil puede ser la protección de un sistema con un software tan antiguo.

Ante este hecho, y tras varios meses de campaña para promocionar el cambio a una versión más actual del navegador, Microsoft publicó en el blog de Internet Explorer un anuncio informando de que, empezando en este mes de enero, iría actualizando el navegador en todos aquellos sistemas que tengan activadas las actualizaciones automáticas. Estas actualizaciones automáticas se producirán primero en Australia y Brasil, para luego extenderse a otros países.

Con este movimiento, Microsoft conseguirá que aquellos sistemas Windows XP SP3 se actualicen a Internet Explorer 8, mientras que los que usen Windows Vista SP2 o 7 se actualicen a Internet Explorer 9.

Si bien esta estrategia de Microsoft es buena para mejorar la seguridad de sus usuarios, hay un problema con el que puede toparse a la hora de intentar actualizar estos sistemas con una versión más reciente de su navegador. Este no es otro que las copias ilegales de los sistemas Windows (sobre todo en China) que, en la mayoría de las ocasiones, tienen desactivadas las actualizaciones automáticas.

Desde el laboratorio de ESET en Ontinet.com aplaudimos esta decisión de Microsoft que, si bien se ha hecho esperar, es buena para los usuarios de sistemas Windows. No obstante, no debemos olvidar que es vital educar a los usuarios en el uso de sus sistemas y recalcarles la importancia de actualizar las versiones vulnerables de sus aplicaciones para evitar ser víctimas de ataques que se aprovechen de agujeros de seguridad.

Josep Albors

Con motivo de la gravedad de esta vulnerabilidad, el pasado viernes se publicaron cinco avisos de seguridad, y se comentó en uno de ellos una vulnerabilidad crítica que afectaba al servicio telnetd. Este servicio ha estado desactivado por defecto desde hace más de 10 años, pero aquellos usuarios que lo tuvieran activado podrían sufrir la intrusión de un atacante que podría conectarse a este servicio y ejecutar código arbitrario con los privilegios de ese servicio (que en la mayoría de los casos serían los de root o administrador).

Aunque no existen medidas para mitigar este ataque, aquellos sistemas FreeBSD que no tengan este servicio activado (la mayoría) no resultan afectados. Recordemos también que este servicio lleva desactivado por defecto desde agosto de 2001, debido principalmente a la carencia de seguridad criptográfica, habiendo sido sustituido casi completamente por el protocolo SSH.

Pero FreeBSD no ha sido el único sistema basado en Unix afectado por esta vulnerabilidad, ya que desde Debian también han comunicado que se encuentra presente en varias de sus distribuciones. Como solución, se recomienda a los usuarios actualizar a las últimas versiones de las diferentes distribuciones.

Desde el laboratorio de ESET en Ontinet.com recomendamos tomar las medidas recomendadas por los fabricantes. Asimismo, para estar completamente seguros, tanto nuestro amigo Dabo del blog Daboweb como desde SecuritybyDefault también nos recomiendan tomar otras medidas como desactivar el servicio telnet en FreeBSD y Debian o aplicar un parche que soluciona la vulnerabilidad.

Josep Albors

En este escueto mensaje indica que con tan solo introducir esa línea de código en una web y visitarla con Safari bajo Windows 7 64 bits, se produce un pantallazo azul, tal y como podemos ver en el vídeo a continuación, obtenido gracias al enlace proporcionado por los chicos del siempre interesante blog de Seguridad Apple.

Según informa Secunia en el aviso de seguridad lanzado tras demostrarse la efectividad de este fallo, esta vulnerabilidad podría ser aprovechada por un atacante para permitir la ejecución de código arbitrario y comprometer el sistema del usuario.

Por suerte, los posibles usuarios afectados por esta vulnerabilidad no suponen un número muy elevado, no tanto por el uso de Windows 7 64 bits (que cada vez gana más adeptos), sino por el poco uso que tiene Safari entre usuarios de Windows. También recordamos que esta vulnerabilidad no afecta al resto de sistemas Windows.

Es cuanto menos irónico que un producto como Safari, desarrollado por una empresa competencia directa de Microsoft como es Apple, ocasione un error de esa magnitud. No obstante, no es la primera vez que Safari es aprovechado como principal vector de ataque para comprometer un sistema, siendo este Mac OS en la mayoría de las ocasiones (tal y como ha demostrado el investigador Charlie Miller repetidas veces en sucesivos retos de seguridad año tras año).

Aunque confiamos en que el número de posibles usuarios afectados no debe de ser muy elevado, desde el laboratorio de ESET en Ontinet.com preferimos advertir de esta vulnerabilidad para que se evite usar Safari en sistemas Windows 7 hasta que se solucione esta incidencia.

Josep Albors

Todo empieza con la recepción de un correo electrónico, el cual tiene como remitente alguna de las muchas cuentas de usuarios que han sido sustraídas con engaños. Desde estas cuentas se envía a todos sus contactos un simple mensaje con un enlace, tal y como vemos a continuación.

Este enlace se compone de dos partes. En la primera se observa la dirección de un sitio web que ha sido comprometido, muy probablemente por presentar vulnerabilidades. Los atacantes han ubicado el enlace que redirecciona al código malicioso en uno de los directorios donde se aloja la web.

Si pulsamos sobre el enlace, aparecerá un mensaje de alerta que nos debería sonar. En efecto, se trata del mensaje característico que muestran los falsos antivirus indicando que nuestro equipo contiene múltiples amenazas, y que nos invita a realizar un análisis gratuito y rápido de nuestro sistema.

Independientemente del botón que pulsemos, se nos abrirá una nueva ventana en el navegador que simula ser el clásico explorador de ficheros de Windows XP, y donde se realiza un supuesto análisis.

Como dato curioso, este malware detecta cuándo se visita el enlace malicioso desde un sistema operativo distinto a Windows y muestra una plantilla de farmacia online en lugar del falso análisis de nuestro sistema. La imagen que mostramos a continuación, por ejemplo, fue tomada en un sistema Linux.

Una vez ha finalizado el falso análisis, se nos muestra un resumen con las supuestas amenazas encontradas, ofreciéndonos a continuación la eliminación de estas amenazas si descargamos un archivo ejecutable.

Este archivo es el código malicioso en sí y es otra variante más de un falso antivirus, que no cesará de mostrar falsas alertas y descargar otro tipo de malware mientras sugiere la compra del falso producto al usuario infectado.

Normalmente, este tipo de amenazas se propagaban usando enlaces preparados y posicionados en los primeros puestos cuando se buscaba información sobre una noticia relevante en nuestro buscador web. No obstante, de un tiempo a esta parte, hemos visto cómo tanto los falsos antivirus, además de las farmacias online y otro tipo de engaños y estafas, se aprovechan de webs legítimas con vulnerabilidades para propagar sus creaciones, sabedores de que los usuarios bajan la guardia cuando se encuentran en una web en la que confían.

Como muestra, la web usada en este ejemplo presenta un aspecto prefectamente normal si introducimos su dirección en el navegador.

Una curiosidad que nos hemos encontrado al analizar este caso es que algunas de estas webs no solo estaban siendo usadas para distribuir malware, sino que también habían sufrido un defacement o modificación por algún atacante, como en este caso.

Casos como este nos debe hacer recordar que, si nos encargamos de mantener una web, es importante revisarla periódicamente en busca de posibles agujeros de seguridad. En el laboratorio de ESET en Ontinet.com hemos observado muchos casos similares a este, y no solo en webs personales o de pequeñas empresas. Empresas multinacionales y pertenecientes a importantes medios de comunicación también han sufrido este tipo de ataques, por lo que, como usuarios, es importante que mantengamos la guardia alta, independientemente de que nos encontremos en un sitio web de confianza o no.

Josep Albors

Actualmente, la situación no ha mejorado y java sigue siendo usada de forma masiva para realizar ataques. Uno de los exploits que se aprovecha de vulnerabilidades en Java recientemente solucionadas está siendo añadido de forma masiva a los kits que se venden en los mercados del cibercrimen y que permiten a delincuentes sin muchos conocimientos lanzar ataques y conseguir infectar a una gran cantidad de usuarios.

Este tipo de kits son especialmente peligrosos porque permiten convertir de manera sencilla páginas webs legítimas, pero vulnerables, en sitios peligrosos que infectarán a todos los visitantes que reciban si estos no tienen actualizado su software a las últimas versiones, cosa que, por desgracia, no suele suceder. El investigador Michael ‘mihi’ Schierl publicó recientemente un video donde se veía cómo se puede aprovechar esta vulnerabilidad.

El problema con Java es que se trata de un software multiplataforma, por lo que, independientemente del sistema operativo que usemos, podemos ser víctimas potenciales si visitamos una web preparada para aprovechar vulnerabilidades presentes en nuestro sistema.

Ante el creciente riesgo que supone tener instalada una versión vulnerable de Java, desde el laboratorio de ESET en Ontinet.com recomendamos actualizar este software a la última versión e incluso desinstalarlo de nuestro sistema y de los complementos de nuestro navegador si no lo usamos por algún motivo en especial. De esta manera nos ahorraremos más de un problema y cerraremos la puerta a uno de los vectores de ataque más usados en la actualidad.

Josep Albors

En las recientes actualizaciones de seguridad de Microsoft lanzadas el segundo martes de cada mes, como ya viene siendo habitual, se solucionaba una vulnerabilidad especialmente crítica. Los detalles han salido a la luz en el boletín MS11-083 y permitiría a un atacante ejecutar código remoto aprovechando una vulnerabilidad en el protocolo TCP/IP.

Esta vulnerabilidad permitiría a un usuario malicioso lanzar una serie de paquetes UDP a un puerto cerrado de nuestro sistema Windows vulnerable (Windows Vista, Windows Server 2008, Windows 7, y Windows Server 2008 R2) permitiendo que se ejecute código arbitrario. Una vulnerabilidad podría ser aprovechada por un código malicioso causando efectos parecidos a los clásicos Sasser o Blaster, con todo lo que ello implica.

Desde el laboratorio de ESET en Ontinet.com os recomendamos que actualicéis todos vuestros sistemas para prevenir males mayores cuanto antes. Recordemos que la vulnerabilidad que aprovecha Conficker fue solucionada en octubre de 2008 y aun hoy sigue siendo una de las amenazas más detectadas.

Josep Albors

Por desgracia, muchos de estos sitios terminan descuidados y con unos agujeros de seguridad preocupantes. Los ciberdelincuentes se aprovechan de esto e introducen malware en este tipo de webs para que, a su vez, infecten a todos los usuarios que las visiten. Se calcula que el ataque que analizamos en esta ocasión ha conseguido afectar a más de seiscientas mil páginas según la empresa Armorize, que fue la que dio la voz de alarma.

Tal y como podemos ver en la imagen a continuación, bastantes de los resultados que arrojan las búsquedas en Google en el momento de escribir estas líneas pertenecen a webs españolas:

En esta ocasión, los cientos de miles de webs vulnerables redirigen a los usuarios a otros sitios preparados para aprovechar vulnerabilidades en versiones antiguas de Adobe Flash Player, Java o en el propio navegador web. Esto nos recuerda una vez más la importancia de contar con las versiones más recientes de los programas que usamos en nuestro sistema.

Básicamente, el ataque consiste en inyectar código en las webs vulnerables de manera que redirigen de forma silenciosa al usuario. Este código apunta a dos páginas web en concreto: http://nbn[xxx].com/urchin.js y http://jjg[xxx].com/urchin.js, y se inyecta en el código fuente de la web vulnerable de la siguiente forma:

Estas webs redirigen a su vez a otros enlaces donde se lanzan una serie de ataques contra versiones vulnerables de aplicaciones ampliamente usadas. Tal y como queda patente, la intención es la de afectar al mayor número de usuarios posible.

Como vemos, descuidar la seguridad de nuestro sitio web puede tener graves consecuencias tanto para nosotros como para aquellos que la visitan. Es por ello que, desde el laboratorio de ESET en Ontinet.com, recomendamos revisar periódicamente en busca de actualizaciones de nuestro gestor de contenido y contar con un antivirus en nuestro servidor web para detectar y eliminar posibles intrusiones.

Josep Albors

Obviando el riesgo de consumir medicamentos de estos sitios, que en el mejor de los casos tendrán un efecto placebo, resulta interesante observar todo lo que rodea a este negocio fraudulento, empezando por los métodos para dar a conocer estos sitios web.

Llevamos varios días recibiendo spam en nuestro laboratorio que, aparentemente, apunta a sitios con el conocido sistema gestor de contenidos WordPress instalado. Estos sitios han sido modificados para redirigir al usuario aprovechando que usan versiones antiguas de WordPress que presentan vulnerabilidades. Veamos un ejemplo de este tipo de correo:

Si somos lo suficientemente incautos como para pulsar sobre el enlace proporcionado, se nos redirigirá a un sitio web con el habitual aspecto de una farmacia online. Seguro que a algunos de nuestros lectores el formato de esta web les resultará familiar, y si nos fijamos en la dirección del enlace, observaremos que en él figura la palabra “automated”.

Esto es debido a que, al igual que en algunos casos de malware como las botnets, los ciberdelincuentes ofrecen kits de creación y gestión de este tipo de webs para que cualquiera, sin muchos conocimientos, pueda montar su farmacia online y empezar a ganar dinero sin esfuerzo. Al respecto, el investigador francés conocido como XyliBox ha escrito en su blog un interesante artículo sobre cómo funciona este negocio.

Como siempre intentamos recordar, los usuarios deben tener mucho cuidado al pulsar sobre según qué enlaces incluidos en mensajes de correo. No obstante, los navegadores web suelen estar atentos cuando se propagan este tipo de campañas de spam y suelen bloquear los enlaces maliciosos tarde o temprano.

En caso de que nuestro navegador no bloquee el sitio malicioso, nuestro antivirus también nos puede echar una mano impidiendo que accedamos al enlace.

Como vemos, mientras los usuarios sigan cayendo en estos engaños y este tipo de negocios sea rentable, seguiremos viendo spam de farmacias online en nuestras bandejas de entrada. Desde el laboratorio de ESET en Ontinet.com recomendamos ignorar este tipo de correos y eliminarlos según los recibimos, aunque nunca está de más contar con una solución antivirus actualizada por si se nos escapa el dedo.

Josep Albors