Flashback sigue afectando a sistemas Mac
El malware que afecta a sistemas Mac sigue apareciendo poco a poco e incluso se modifica para propagarse más fácilmente. Si a mediados del año pasado informábamos en este blog de Flashback, una amenaza que se hacía pasar por un instalador de Adoble Flash Player, a lo largo de los últimos meses hemos ido detectando como esta amenaza se desarrollaba cada vez más y llegaba a suponer una seria amenaza para el sistema Mac OS.
Desde Apple se respondió de forma tímida lanzando una actualización de XProtect, el sistema de detección de malware que viene incorporado en los Mac y que solo contiene unas pocas bases de firmas. Está protección fue rápidamente saltada por los creadores de este malware y siguieron lanzando nuevas versiones periódicamente con características cada vez mas avanzadas. Entre todos los blogs de seguridad que han ido siguiendo la evolución de este malware recomendamos el de Seguridad Apple por la valiosa información que han ido publicando.
Ahora mismo, nos encontramos con una sofisticada amenaza que ha pasado de suplantar un instalador de Flash Player, que dependía de conseguir engañar al usuario para instalarse, a instalarse sin intervención del mismo, aprovechándose de dos vulnerabilidades presente en versiones de Java no actualizadas.
Además, en las versiones más recientes, este malware intenta averiguar si existe una solución antivirus instalada en el sistema (algo no muy frecuente por desgracia entre usuarios de Mac OS) y, si la detecta, no se instala. De esta forma, intenta evitar que los motores antivirus la detecten en aquellos sistemas en los que intenta instalarse y la envíen para analizarla, permitiendo a la amenaza estar activa más tiempo en aquellos sitios webs desde la que se está descargando.
En el caso de que esta amenaza consiga instalarse en un sistema Mac OS desprotegido, inyecta código malicioso en el navegador para así poder robar usuarios y contraseñas de sitios populares como Google, Yahoo! o Paypal, entre otros. Si además los usuarios comparten contraseñas entre diferentes sitios web los atacantes conseguirán maximizar los resultados.
Por suerte, existen fallos de programación en este malware que hace posible su detección incluso por aquellos usuarios que no cuenten con una solución de seguridad instalada en sus sistema. El principal es que esta amenaza hace que algunas aplicaciones fallen lanzando errores que no suelen ser habituales. Es por ello que, desde el laboratorio de ESET en Ontinet.com recomendamos que si notamos estos síntomas en nuestro sistemas, instalemos inmediatamente una solución de seguridad como ESET Cybersecurity y realicemos un análisis de nuestro sistema para eliminar una posible infección.
Josep Albors
Actualizaciones de seguridad para múltiples vulnerabilidades en Mac OS
Cada cierto tiempo, los usuarios de Mac OS nos encontramos con un aviso del gestor de actualización de software que nos indica que hay disponible una nueva actualización de seguridad. Es un aviso que no tiene una periodicidad fija y que, a diferencia de las actualizaciones mensuales de Windows, pueden producirse en un lapso de varios meses.
La actualización que lanzó ayer Apple es importante, puesto que corrige hasta 52 vulnerabilidades en Lion y Snow Leopard, tanto en versiones cliente como en servidores.
Aunque los paquetes de actualizaciones de Mac OS no se caracterizan por ser especialmente ligeros (la actualización para Lion ocupa más de 700 MB) es fundamental que los usuarios apliquen estos parches para evitar males mayores.
Recordemos que 2011 fue un año prolífico en malware para Mac y que el aprovechamiento de las vulnerabilidades del sistema suelen ser un importante vector de ataque para conseguir infectar nuestro sistema, independientemente del que sea. Es por eso que, desde el laboratorio de ESET en Ontinet.com, recomendamos aplicar estas actualizaciones lo antes posible.
Josep Albors
@JosepAlbors
Aprovechan sitios WordPress sin actualizar para propagar malware
No es la primera vez que hablamos en este blog de la importancia de mantener nuestro sitio web actualizado. En los últimos meses hemos visto cómo los ciberdelincuentes han usado páginas web legítimas con algún fallo de seguridad para propagar sus amenazas. Uno de los objetivos preferidos de los atacantes han sido los blogs generados con el sistema de gestión de contenidos WordPress.
En esta ocasión vemos cómo los ciberdelincuentes se vuelven a aprovechar de las vulnerabilidades presentes en una versión obsoleta de WordPress, concretamente la 3.2.1, para colgar código malicioso en una parte del blog. Los blogs afectados son inocuos si se navega por ellos y no se accede a la sección comprometida. Esta técnica se usa para evitar que los mecanismos de reputación de URL bloqueen estos blogs y la amenaza quede activa durante más tiempo.
Para conseguir que los usuarios accedan al enlace donde se encuentra el código malicioso, los ciberdelincuentes emplean la clásica técnica de enviar millones de correos spam simulando ser una factura pendiente de pago que incluye el enlace malicioso. De esta forma, cuando un usuario pulsa sobre dicho enlace, accederá a una web que simula estar cargándose.
No obstante, en realidad el usuario está siendo redireccionado a un enlace con dominio ruso y que contiene una cadena de código ofuscado para dificultar su detección.
Si desciframos este código, vemos cómo apunta a un enlace dentro del dominio ruso que veíamos anteriormente y que procede a cargar un exploit kit. Algunos investigadores han apuntado que se trata del Phoenix Exploit Kit y que procede a intentar ejecutar una serie de exploits dependiendo del navegador, sistema operativo o software instalado en el sistema de la víctima.
Dentro de los diferentes exploits que se intentan ejecutar, encontramos algunos diseñados para aprovechar vulnerabilidades en Java y, de esta forma, afectar a varios sistemas operativos. Otros están diseñados para aprovecharse de vulnerabilidades en el manejo de archivos PDF e incluso encontramos un exploit para aprovecharse de una vieja vulnerabilidad en Internet Explorer 6.
Los sitios que cuentan con una versión de WordPress vulnerable y que han sido modificados para infectar a los usuarios se cuentan por cientos. El hecho de que solo una parte del sitio web se encuentre comprometido dificulta que sus administradores se den cuenta a menos que hagan una revisión a fondo. Con respecto a los usuarios que pulsan sobre el enlace malicioso que se envía por correo, pueden evitar infectarse si cuentan con una solución antivirus que detecte esta amenaza e impida el acceso al sitio web malicioso.
Como hemos visto, las webs legítimas pueden suponer también un grave peligro si sus administradores no toman las debidas medidas de precaución. Desde el laboratorio de ESET en Ontinet.com, como en anteriores ocasiones, recomendamos evitar pulsar sobre enlaces contenidos en correos sospechosos y contar con una solución antivirus que nos proteja si pulsamos accidentalmente sobre ellos.
Josep Albors
@JosepAlbors
Microsoft acaba con Internet Explorer 6 usando una actualización automática.
El uso de software obsoleto en nuestros sistemas y las vulnerabilidades que presenta es uno de los mayores problemas de seguridad en la actualidad. Es por eso que en este blog no nos cansamos de repetir la importancia de contar con las últimas versiones tanto del sistema operativo como de las aplicaciones que usamos.
Una de las aplicaciones fundamentales hoy en día es el navegador web. Esta aplicación ha ganado importancia a lo largo de los años y es parte vital de nuestra experiencia como usuarios de Internet. Asimismo, se ha convertido en la principal puerta de entrada de códigos maliciosos a nuestro sistema, por lo que es crucial mantenerlo siempre actualizado.
No obstante, algunos usuarios siguen usando software obsoleto desconociendo el peligro que corren. Un caso especialmente grave es el uso considerable que, en algunos países, aún tiene Internet Explorer 6. Recordemos que era el navegador que venía por defecto en Windows XP, sistema que todavía hoy sigue siendo usado por un importante número de usuarios.
Estos usuarios que usan un navegador diseñado hace más de diez años desconocen lo expuestos que se encuentran a las amenazas actuales. Si ya es difícil contener estas amenazas con los navegadores y las medidas de seguridad actuales, imaginémonos cómo de difícil puede ser la protección de un sistema con un software tan antiguo.
Ante este hecho, y tras varios meses de campaña para promocionar el cambio a una versión más actual del navegador, Microsoft publicó en el blog de Internet Explorer un anuncio informando de que, empezando en este mes de enero, iría actualizando el navegador en todos aquellos sistemas que tengan activadas las actualizaciones automáticas. Estas actualizaciones automáticas se producirán primero en Australia y Brasil, para luego extenderse a otros países.
Con este movimiento, Microsoft conseguirá que aquellos sistemas Windows XP SP3 se actualicen a Internet Explorer 8, mientras que los que usen Windows Vista SP2 o 7 se actualicen a Internet Explorer 9.
Si bien esta estrategia de Microsoft es buena para mejorar la seguridad de sus usuarios, hay un problema con el que puede toparse a la hora de intentar actualizar estos sistemas con una versión más reciente de su navegador. Este no es otro que las copias ilegales de los sistemas Windows (sobre todo en China) que, en la mayoría de las ocasiones, tienen desactivadas las actualizaciones automáticas.
Desde el laboratorio de ESET en Ontinet.com aplaudimos esta decisión de Microsoft que, si bien se ha hecho esperar, es buena para los usuarios de sistemas Windows. No obstante, no debemos olvidar que es vital educar a los usuarios en el uso de sus sistemas y recalcarles la importancia de actualizar las versiones vulnerables de sus aplicaciones para evitar ser víctimas de ataques que se aprovechen de agujeros de seguridad.
Josep Albors
FreeBSD parchea vulnerabilidad que permitía obtener permisos de root
A pesar de ser uno de los sistemas operativos más robustos que existen, FreeBSD también parchea periódicamente aquellas vulnerabilidades que se encuentran, sobre todo si alguna de ellas está siendo aprovechada por delincuentes para acceder a sistemas vulnerables con permisos de root (administrador).
Con motivo de la gravedad de esta vulnerabilidad, el pasado viernes se publicaron cinco avisos de seguridad, y se comentó en uno de ellos una vulnerabilidad crítica que afectaba al servicio telnetd. Este servicio ha estado desactivado por defecto desde hace más de 10 años, pero aquellos usuarios que lo tuvieran activado podrían sufrir la intrusión de un atacante que podría conectarse a este servicio y ejecutar código arbitrario con los privilegios de ese servicio (que en la mayoría de los casos serían los de root o administrador).
Aunque no existen medidas para mitigar este ataque, aquellos sistemas FreeBSD que no tengan este servicio activado (la mayoría) no resultan afectados. Recordemos también que este servicio lleva desactivado por defecto desde agosto de 2001, debido principalmente a la carencia de seguridad criptográfica, habiendo sido sustituido casi completamente por el protocolo SSH.
Pero FreeBSD no ha sido el único sistema basado en Unix afectado por esta vulnerabilidad, ya que desde Debian también han comunicado que se encuentra presente en varias de sus distribuciones. Como solución, se recomienda a los usuarios actualizar a las últimas versiones de las diferentes distribuciones.
Desde el laboratorio de ESET en Ontinet.com recomendamos tomar las medidas recomendadas por los fabricantes. Asimismo, para estar completamente seguros, tanto nuestro amigo Dabo del blog Daboweb como desde SecuritybyDefault también nos recomiendan tomar otras medidas como desactivar el servicio telnet en FreeBSD y Debian o aplicar un parche que soluciona la vulnerabilidad.
Josep Albors
Vulnerabilidad en Safari causa BSOD en Windows 7 64 bits
Resulta cuanto menos curioso que un software desarrollado por Apple ocasione un error tan grave como el que sufre Windows 7 64bits, y que hoy vamos a comentar. Todo empieza con la publicación de un mensaje en Twitter del investigador de seguridad webDEVIL.
En este escueto mensaje indica que con tan solo introducir esa línea de código en una web y visitarla con Safari bajo Windows 7 64 bits, se produce un pantallazo azul, tal y como podemos ver en el vídeo a continuación, obtenido gracias al enlace proporcionado por los chicos del siempre interesante blog de Seguridad Apple.
Según informa Secunia en el aviso de seguridad lanzado tras demostrarse la efectividad de este fallo, esta vulnerabilidad podría ser aprovechada por un atacante para permitir la ejecución de código arbitrario y comprometer el sistema del usuario.
Por suerte, los posibles usuarios afectados por esta vulnerabilidad no suponen un número muy elevado, no tanto por el uso de Windows 7 64 bits (que cada vez gana más adeptos), sino por el poco uso que tiene Safari entre usuarios de Windows. También recordamos que esta vulnerabilidad no afecta al resto de sistemas Windows.
Es cuanto menos irónico que un producto como Safari, desarrollado por una empresa competencia directa de Microsoft como es Apple, ocasione un error de esa magnitud. No obstante, no es la primera vez que Safari es aprovechado como principal vector de ataque para comprometer un sistema, siendo este Mac OS en la mayoría de las ocasiones (tal y como ha demostrado el investigador Charlie Miller repetidas veces en sucesivos retos de seguridad año tras año).
Aunque confiamos en que el número de posibles usuarios afectados no debe de ser muy elevado, desde el laboratorio de ESET en Ontinet.com preferimos advertir de esta vulnerabilidad para que se evite usar Safari en sistemas Windows 7 hasta que se solucione esta incidencia.
Josep Albors
Nuevo caso de falsos antivirus propagándose usando webs legítimas
El aprovechamiento de agujeros de seguridad en webs legítimas para propagar malware por parte de los cibercriminales no es algo nuevo; de hecho, en este mismo blog hemos señalado varios casos. Hoy comentamos otra campaña de este tipo que hemos venido observando desde hace días en nuestros laboratorios.
Todo empieza con la recepción de un correo electrónico, el cual tiene como remitente alguna de las muchas cuentas de usuarios que han sido sustraídas con engaños. Desde estas cuentas se envía a todos sus contactos un simple mensaje con un enlace, tal y como vemos a continuación.
Este enlace se compone de dos partes. En la primera se observa la dirección de un sitio web que ha sido comprometido, muy probablemente por presentar vulnerabilidades. Los atacantes han ubicado el enlace que redirecciona al código malicioso en uno de los directorios donde se aloja la web.
Si pulsamos sobre el enlace, aparecerá un mensaje de alerta que nos debería sonar. En efecto, se trata del mensaje característico que muestran los falsos antivirus indicando que nuestro equipo contiene múltiples amenazas, y que nos invita a realizar un análisis gratuito y rápido de nuestro sistema.
Independientemente del botón que pulsemos, se nos abrirá una nueva ventana en el navegador que simula ser el clásico explorador de ficheros de Windows XP, y donde se realiza un supuesto análisis.
Como dato curioso, este malware detecta cuándo se visita el enlace malicioso desde un sistema operativo distinto a Windows y muestra una plantilla de farmacia online en lugar del falso análisis de nuestro sistema. La imagen que mostramos a continuación, por ejemplo, fue tomada en un sistema Linux.
Una vez ha finalizado el falso análisis, se nos muestra un resumen con las supuestas amenazas encontradas, ofreciéndonos a continuación la eliminación de estas amenazas si descargamos un archivo ejecutable.
Este archivo es el código malicioso en sí y es otra variante más de un falso antivirus, que no cesará de mostrar falsas alertas y descargar otro tipo de malware mientras sugiere la compra del falso producto al usuario infectado.
Normalmente, este tipo de amenazas se propagaban usando enlaces preparados y posicionados en los primeros puestos cuando se buscaba información sobre una noticia relevante en nuestro buscador web. No obstante, de un tiempo a esta parte, hemos visto cómo tanto los falsos antivirus, además de las farmacias online y otro tipo de engaños y estafas, se aprovechan de webs legítimas con vulnerabilidades para propagar sus creaciones, sabedores de que los usuarios bajan la guardia cuando se encuentran en una web en la que confían.
Como muestra, la web usada en este ejemplo presenta un aspecto prefectamente normal si introducimos su dirección en el navegador.
Una curiosidad que nos hemos encontrado al analizar este caso es que algunas de estas webs no solo estaban siendo usadas para distribuir malware, sino que también habían sufrido un defacement o modificación por algún atacante, como en este caso.
Casos como este nos debe hacer recordar que, si nos encargamos de mantener una web, es importante revisarla periódicamente en busca de posibles agujeros de seguridad. En el laboratorio de ESET en Ontinet.com hemos observado muchos casos similares a este, y no solo en webs personales o de pequeñas empresas. Empresas multinacionales y pertenecientes a importantes medios de comunicación también han sufrido este tipo de ataques, por lo que, como usuarios, es importante que mantengamos la guardia alta, independientemente de que nos encontremos en un sitio web de confianza o no.
Josep Albors
Ataques usando nueva vulnerabilidad en Java
Las vulnerabilidades en Java han sido ampliamente aprovechadas por los creadores de kits de exploits desde hace tiempo. Ya hace más de un año destacábamos en este mismo blog que los ataques que usaban vulnerabilidades en esta plataforma habían crecido de manera alarmante, desplazando a aquellos ataques que usaban archivos pdf para infectar a los usuarios.
Actualmente, la situación no ha mejorado y java sigue siendo usada de forma masiva para realizar ataques. Uno de los exploits que se aprovecha de vulnerabilidades en Java recientemente solucionadas está siendo añadido de forma masiva a los kits que se venden en los mercados del cibercrimen y que permiten a delincuentes sin muchos conocimientos lanzar ataques y conseguir infectar a una gran cantidad de usuarios.
Este tipo de kits son especialmente peligrosos porque permiten convertir de manera sencilla páginas webs legítimas, pero vulnerables, en sitios peligrosos que infectarán a todos los visitantes que reciban si estos no tienen actualizado su software a las últimas versiones, cosa que, por desgracia, no suele suceder. El investigador Michael ‘mihi’ Schierl publicó recientemente un video donde se veía cómo se puede aprovechar esta vulnerabilidad.
El problema con Java es que se trata de un software multiplataforma, por lo que, independientemente del sistema operativo que usemos, podemos ser víctimas potenciales si visitamos una web preparada para aprovechar vulnerabilidades presentes en nuestro sistema.
Ante el creciente riesgo que supone tener instalada una versión vulnerable de Java, desde el laboratorio de ESET en Ontinet.com recomendamos actualizar este software a la última versión e incluso desinstalarlo de nuestro sistema y de los complementos de nuestro navegador si no lo usamos por algún motivo en especial. De esta manera nos ahorraremos más de un problema y cerraremos la puerta a uno de los vectores de ataque más usados en la actualidad.
Josep Albors
Microsoft soluciona una vulnerabilidad grave en sus actualizaciones de noviembre
Imprimir
Actualmente, el tener actualizado el sistema operativo y las aplicaciones instaladas en el mismo resulta vital para evitar verse afectados por aquellas amenazas que se aprovechan de agujeros de seguridad. La mayoría de los usuarios están acostumbrados a realizar estas operaciones de actualización periódicamente, ya sea de forma manual o automática, pero pocas veces nos paramos a observar qué tipo de vulnerabilidades se solucionan tras instalar estos parches.
En las recientes actualizaciones de seguridad de Microsoft lanzadas el segundo martes de cada mes, como ya viene siendo habitual, se solucionaba una vulnerabilidad especialmente crítica. Los detalles han salido a la luz en el boletín MS11-083 y permitiría a un atacante ejecutar código remoto aprovechando una vulnerabilidad en el protocolo TCP/IP.
Esta vulnerabilidad permitiría a un usuario malicioso lanzar una serie de paquetes UDP a un puerto cerrado de nuestro sistema Windows vulnerable (Windows Vista, Windows Server 2008, Windows 7, y Windows Server 2008 R2) permitiendo que se ejecute código arbitrario. Una vulnerabilidad podría ser aprovechada por un código malicioso causando efectos parecidos a los clásicos Sasser o Blaster, con todo lo que ello implica.
Desde el laboratorio de ESET en Ontinet.com os recomendamos que actualicéis todos vuestros sistemas para prevenir males mayores cuanto antes. Recordemos que la vulnerabilidad que aprovecha Conficker fue solucionada en octubre de 2008 y aun hoy sigue siendo una de las amenazas más detectadas.
Josep Albors
Miles de sitios web vulnerables infectan a los usuarios
A día de hoy es importante para cualquier empresa, por pequeña que sea, o incluso para muchos particulares, contar con presencia en la red. La posibilidad de generar nuestra propia web usando un gestor de contenidos de fácil manejo ha permitido que muchos usuarios elaboren su propia página web para promover su negocio o sus inquietudes.
Por desgracia, muchos de estos sitios terminan descuidados y con unos agujeros de seguridad preocupantes. Los ciberdelincuentes se aprovechan de esto e introducen malware en este tipo de webs para que, a su vez, infecten a todos los usuarios que las visiten. Se calcula que el ataque que analizamos en esta ocasión ha conseguido afectar a más de seiscientas mil páginas según la empresa Armorize, que fue la que dio la voz de alarma.
Tal y como podemos ver en la imagen a continuación, bastantes de los resultados que arrojan las búsquedas en Google en el momento de escribir estas líneas pertenecen a webs españolas:
En esta ocasión, los cientos de miles de webs vulnerables redirigen a los usuarios a otros sitios preparados para aprovechar vulnerabilidades en versiones antiguas de Adobe Flash Player, Java o en el propio navegador web. Esto nos recuerda una vez más la importancia de contar con las versiones más recientes de los programas que usamos en nuestro sistema.
Básicamente, el ataque consiste en inyectar código en las webs vulnerables de manera que redirigen de forma silenciosa al usuario. Este código apunta a dos páginas web en concreto: http://nbn[xxx].com/urchin.js y http://jjg[xxx].com/urchin.js, y se inyecta en el código fuente de la web vulnerable de la siguiente forma:
Estas webs redirigen a su vez a otros enlaces donde se lanzan una serie de ataques contra versiones vulnerables de aplicaciones ampliamente usadas. Tal y como queda patente, la intención es la de afectar al mayor número de usuarios posible.
Como vemos, descuidar la seguridad de nuestro sitio web puede tener graves consecuencias tanto para nosotros como para aquellos que la visitan. Es por ello que, desde el laboratorio de ESET en Ontinet.com, recomendamos revisar periódicamente en busca de actualizaciones de nuestro gestor de contenido y contar con un antivirus en nuestro servidor web para detectar y eliminar posibles intrusiones.
Josep Albors
« Artículos Posteriores — Artículos Anteriores »