Con LapSec se consigue automatizar tan solo pulsando un botón una serie de cambios en el sistema operativo Windows que proporcionan una mayor seguridad a los usuarios. Su finalidad no es blindar completamente un portátil pero si hacerlo más seguro que al sacarlo de su embalaje e iniciarlo por primera vez.

Como bien indican desde Hispasec, existen más medidas que pueden tomarse para securizar aun mas un ordenador portátil o sistemas Windows en general pero no han sido incorporadas al programa por salirse del objetivo del mismo que no es otro que proporcionar funcionalidades de seguridad en entornos Windows adaptadas a equipos portátiles.

En el blog de Hispasec se pude encontrar una lista de funcionalidades de esta utilidad junto con una descripción más profunda de la misma. Desde el laboratorio de ESET en Ontinet.com consideramos que esta aplicación puede ser de mucha utilidad para aquellos usuarios de sistemas Windows en equipos portátiles que, además de contar con una solución antivirus deseen tener sus equipos configurados de forma segura.

Josep Albors

La filtración de los datos personales de más de 100 millones de usuarios únicos no se produjo por ningún hacker experimentado que accediera ilegalmente a los servidores de Facebook para robar la información. La realidad fue mucho más simple, siendo Ron Bowes (investigador de la empresa Skull Security) el artífice de esta hazaña, con la única ayuda de una aplicación que rastreó todos los perfiles con información pública en Facebook y los recopiló en un archivo. Posteriormente, este investigador puso a disposición de quien quisiera descargarlo un archivo torrent de 2.79 GB con toda la información recopilada. Ni siquiera hizo algo mínimamente ilegal. Tan solo automatizó un proceso que cualquiera puede realizar visitando el perfil de los usuarios. Así pues, si hay algún responsable de que estos datos hayan sido expuestos a miradas indiscretas no es este investigador, ni siquiera Facebook, si no los propios usuarios al poner a disposición de todo aquel que lo desee información privada que debería haberse ocultado usando la configuración de privacidad de la red social o, simplemente, no poniéndola.

El otro incidente afectó a las palabras usadas en la versión en español que por defecto establece Facebook para definir un estado como “Me gusta” o “Hoy es el cumpleaños de”. Muchas de estas palabras y frases fueron sustituidas por otras menos apropiadas o en idioma turco, lo que puede ser una señal de la procedencia de los usuarios que protagonizaron este incidente. Esta suplantación de palabras tampoco se realizó atacando a ningún servidor de Facebook utilizando técnicas de “hacking”. Tan solo se utilizó la característica según la cual se cambia la traducción usada por otra si esta es sugerida por una cierta cantidad de personas. Así pues, tan solo fue necesario que cierta cantidad de usuarios se pusiera de acuerdo para proponer la misma traducción y Facebook la cambiaba de forma automática.

En resumen, dos incidentes en Facebook con una repercusión mediática bastante elevada pero que nada tienen que ver con ataques que usan técnicas de penetración ilegales o códigos maliciosos. Tan solo la recopilación automatizada de información pública y el aprovechamiento de una característica automatizada de la red social.

Desde el laboratorio de ESET en Ontinet.com recomendamos a los usuarios de Facebook que, antes de publicar información sensible en su perfil, piensen primero si realmente es necesario y si tienen los ajustes de privacidad correctamente establecidos.

Josep Albors

No obstante, en las últimas semanas hemos visto como se ha ido evolucionando de un simple correo con adjunto o enlace a algo más elaborado. En este mismo blog hemos comentado algunos casos de la evolución de los métodos de propagación de este tipo de malware y en los últimos días, hemos analizado otra más.

En esta ocasión nos encontramos con un correo de una supuesta empresa de transportes que solicita que rellenemos un formulario.

Aparentemente, no se observa ninguna novedad con respecto a otros casos similares. Si pulsamos sobre el enlace para descargar el archivo .pdf se nos mostrará una ventana de descarga indicando que vamos a proceder a descargar el fichero Arquivo_DSCF3197.cpl.

Aquí observamos una diferencia con respecto a los casos de infección clásicos de este tipo de troyanos. Normalmente se procede a descargar un archivo ejecutable .exe o un documento .pdf modificado para aprovechar alguna vulnerabilidad. No obstante, en esta ocasión se usa un archivo .cpl, utilizados por Windows para representar las herramientas del panel de control.

Asimismo, la dirección web que se usa para realizar la descarga pertenece a un club de artes marciales brasileño que nada tiene que ver con la propagación de esta amenaza. Recientemente hemos visto muchas páginas webs legitimas usadas para propagar malware por lo que debemos extremar las precauciones. Está también es una novedad en este tipo de ataques ya que lo normal era preparar una dirección web concreta y no utilizar una web legítima.

La utilización de los archivos con extensión .cpl para propagar malware no es habitual y puede que esta sea una de las causa por las que, en el momento de escribir este artículo, aun pocos motores antivirus detectaban esta amenaza. Tanto ESET NOD32 Antivirus como ESET Smart Security detectan este código malicioso como el troyano Win32/TrojanDownloader.Banload.PNO.

Cabe recordar que este tipo de amenazas sigue dependiendo en gran medida de las técnicas de ingeniería social para poder propagarse. Es por eso que, desde el laboratorio de ESET en Ontinet.com recomendamos extremar las precauciones a la hora de abrir correos no solicitados y contar con la protección de un antivirus actualizado capaz de detectar este tipo de amenazas.

Josep Albors

Nuestro compañero Jorge Mieres de ESET Latinomérica nos explica como uno de los packs de crimeware, conocido como Zombie Explotation Pack, ya ha incluido esta vulnerabilidad como vector de ataque del malware usado para infectar sistemas e incluirlos en las redes botnets creadas con este kit.

Asimismo, el código malicioso polimórfico de nombre Sality, conocido por modificar su código frecuentemente para evitar su detección, también se aprovecha de esta vulnerabilidad, usando páginas webs especialmente modificadas para esparcirse. Esta variante crea una serie de accesos directos .lnk y utiliza nombres típicos de carpetas del sistema o sugerentes.

Los investigadores de F-Secure también han descubierto como una nueva variante de Zeus (una de las botnets mas populares) también ha empezado a adaptar su código para incluir esta grave vulnerabilidad. Actualmente, se está usando un falso correo electrónico que dice venir del departamento de seguridad de Microsoft para infectar a los usuarios. Aunque esta variante es relativamente nueva, el exploit usado es conocido por muchas casas antivirus y permite su fácil detección. Asimismo, el hecho de que el usuario tenga que abrir el archivo adjunto e incluir un archivo de forma manual en una ubicación concreta del sistema hace que pierda efectividad.

Como hemos comentado en posts anteriores en los que tratábamos este tema, estamos en las primeras etapas de un vector de ataque que puede seguir usándose durante mucho tiempo, como lo fueron y siguen siendo las infecciones que usan la característica Autorun. Aunque Microsoft lance pronto un parche para solucionarlo, es más que probable que muchos usuarios no lo instalen hasta dentro de bastante tiempo y veamos cómo esta vulnerabilidad es aprovechada durante muchos meses, tal y como sucedió con Conficker.

Desde el laboratorio de ESET en Ontinet.com seguimos recomendando la descarga e instalación de un antivirus con capacidad de detección de amenazas que aprovechen esta vulnerabilidad como medida de protección básica.

Josep Albors

La vulnerabilidad es debida a un error de límites en un componente llamado QuickTimeStreaming.qtx. Este error se produce en la construcción de una cadena, mientras se escribe un archivo en el registro. Esto podría ser aprovechado para provocar un desbordamiento de Búfer o incluso ejecutar código arbitrario a través de una página web expresamente modificada para ello.

Desde el departamento técnico de ESET en Ontinet.com, aconsejamos a los usuarios no abrir archivos multimedia de páginas no fiables, o mientras Apple implemente una actualización que arregle dicha vulnerabilidad, utilizar otras aplicaciones de reproducción de archivos multimedia.

David Sánchez

Dicha vulnerabilidad permite a un usuario local del dispositivo obtener datos sensibles de la cuenta. Esto es debido a que la aplicación Citi Mobile almacena información crítica, como números de cuenta, pagos de facturas y códigos de acceso de seguridad, en un archivo oculto dentro del dispositivo, con lo que cualquier usuario local podría acceder a esta información.

Además se ha descubierto que si el dispositivo realiza copias de seguridad a través del iTunes, un usuario local en el sistema donde se ha realizado la copia en el iTunes también podría acceder a dicha información.

Desde el departamento técnico de ESET en Ontient.com, aconsejamos a los usuarios de esta aplicación actualizar a la versión 2.0.3 que ya repara esta vulnerabilidad. Los usuarios de iTunes pueden acceder directamente a esta nueva versión desde el siguiente enlace: http://itunes.apple.com/us/app/citi-mobile-sm/id301724680?mt=8.

David Sánchez

A mediados de la semana pasada, Mozilla lanzó una nueva versión de su navegador Firefox (3.6.7) que incluía 14 actualizaciones de seguridad, muchas de ellas catalogadas como críticas. Apenas dos días después, Mozilla se vio obligada a lanzar una nueva versión (3.6.8) para corregir un problema de estabilidad que hacía que el navegador se colgase al visitar ciertas webs que hacían uso de algunos complementos que pueden instalarse en el navegador. Además de corregir este fallo, se aprovechó para corregir otros errores que se arrastraban desde versiones anteriores. Mozilla recomienda descargar la última versión de Firefox desde los enlaces preparados a tal efecto.

Asimismo, ha sido descubierta una vulnerabilidad en el navegador Safari que permitiría obtener datos confidenciales de un usuario usando la función de autocompletar en una web especialmente diseñada. Esta información se podría obtener desde la libreta de direcciones de los sistemas Mac OS y que se encuentra vinculada al navegador. El investigador Jeremiah Grossman ha realizado un excelente análisis de esta vulnerabilidad en su blog donde explica (con vídeo incluido) como una página web modificada para aprovechar este fallo de seguridad puede obtener datos sensibles del usuario.

Al parecer, este investigador ya informó de este fallo a Apple en junio pero, a falta de una respuesta satisfactoria, decidió hacer pública toda la información de la que disponía para que se tomara consciencia de la gravedad del problema. Tras la publicación de esta información, Apple ha confirmado que están al tanto del problema y ya se encuentran trabajando en una solución.

Que los navegadores de Internet sean noticia cada vez de forma más asidua demuestra que el vector de ataque principal se encuentra en Internet. Al ser los navegadores una herramienta necesaria para poder usar la red de redes, es normal que los creadores de malware centren sus miradas en ellos para poder aprovechar cualquier fallo que encuentren y puedan infectar al mayor número de usuarios posible, independientemente del navegador que usen. Desde el laboratorio de ESET en Ontinet.com, recomendamos mantenerse informado acerca de cualquier actualización de seguridad de nuestro navegador para así instalarla tan pronto como sea posible.

Josep Albors

En esta ocasión se ha suplantado la identidad de Imageshack, empresa legítima bastante usada para el almacenamiento de imágenes en sus servidores. Como si de un correo de esta empresa se tratase, recibimos en nuestro buzón un mensaje similar a este:

En el correo se nos indica que hemos conseguido registrar una cuenta en Imageshack y se nos proporcionan los datos de acceso y un enlace para acceder a la misma. Si pulsamos sobre el enlace veremos cómo accedemos a una web donde se nos intentará mostrar un supuesto vídeo y solicitará la descarga de un archivo ejecutable (adobe_flash_install.exe) camuflado de codec flash.

Si contamos con un antivirus capaz de detectar esta amenaza, la bloqueará y eliminará, evitando que ejecutemos el archivo e infectemos nuestro sistema. Los productos de seguridad de ESET detectan esta amenaza como un troyano Win32/Spy.Zbot.YW, malware con funciones de software espía que se encarga de recolectar información cuando el usuario navega por determinados sitios webs.

Este tipo de amenazas suelen ser bastante frecuentes y se aprovechan de la confianza del usuario en el remitente del mensaje para poder propagarse con más facilidad. Desde el laboratorio de ESET en Ontinet.com aconsejamos desconfiar de este tipo de mensajes aunque el remitente nos inspire confianza, así como descargar e instalar un antivirus que permita detectar las amenazas que se esconden tras los enlaces maliciosos.

Josep Albors.

Por una parte tenemos a una nueva familia de malware identificada como Win32/Trojan.Downloader.Chymine.A. Este malware instala un keylogger (registro de las pulsaciones en un teclado) detectado como un troyano de nombre Win32/Spy.Agent.NSO. Según los estudios realizados por los investigadores de ESET, el servidor usado para albergar y servir estos componentes se encuentra ubicado en los Estados Unidos pero la IP está asignada a un usuario de China.

La otra amenaza detectada que utiliza esta grave vulnerabilidad es una vieja conocida como Win32/Autorun.VB.RP, que ha sido actualizada para incluir el exploit como nuevo vector de propagación. Al parecer, esta actualización de la amenaza ya existente, descarga e instala componentes adicionales en máquinas ya infectadas.

Estos casos responden a la evolución típica del malware, que evoluciona para aprovechar las vulnerabilidades que vayan apareciendo para, de esta forma, aumentar sus vectores de ataque. Sabiendo que aun no existe parche que solucione esta vulnerabilidad y basándonos en experiencias pasadas, es más que probable que en las próximas semanas e incluso meses veamos más casos de malware “tradicional” que es modificado para aprovechar al máximo este agujero de seguridad.

Tras analizar estas dos nuevas familias de malware, los investigadores de ESET han comprobado que se trata de ejemplares menos sofisticados que el malware Win32/Stuxnet detectado originalmente. Cabe destacar que, mientras Win32/Trojan.Downloader.Chymine.A no genera archivos .LNK maliciosos ni se propaga de forma automática, la nueva versión de Win32/Autorun.VB.RP sí que genera archivos .LNK que explotan la vulnerabilidad existente para facilitar su propagación.

Así las cosas y viendo que estamos tan solo en el principio de lo que parece ser un nuevo vector de ataque que va a ser usado masivamente de forma inminente, desde el laboratorio de ESET en Ontinet.com recomendamos seguir atentos a las noticias publicadas por Microsoft acerca de esta vulnerabilidad para, de esta forma, instalar el parche de seguridad tan pronto como este se encuentre disponible. Asimismo la aplicación de medidas paliativas como el Fix it publicado recientemente y la instalación de un antivirus capaz de detectar las amenazas que se aprovechan de esta vulnerabilidad son medidas básicas de protección para tener nuestros sistemas protegidos.

Josep Albors

Según las investigaciones realizadas por Airtightnetworks, han descubierto una vulnerabilidad en este sistema de protección, a la que han llamado “Hole 196”, por la cual deja expuesta la seguridad de la red Wi-Fi a personas con propósitos maliciosos conectadas ya a la propia red.

El atacante, estando ya conectado a la red, puede enviar falsos paquetes cifrados, engañando al resto de usuarios para que redirijan sus paquetes al propio atacante. Con ello el atacante puede rastrear y descifrar los datos de otros usuarios autorizados, así como escanear sus dispositivos Wi-Fi en busca de vulnerabilidades, instalar malware o incluso para comprometer los dispositivos Wi-Fi.

Se realizará una presentación Webinar el día 4 de Agosto a las 11am, hora del Pacífico, para proporcionar más detalles acerca de esta vulnerabilidad. Para registrarse pueden hacer clic en el siguiente enlace: https://admin.acrobat.com/_a1013426351/e86663687/event/registration.html

Desde el departamento técnico de ESET en Ontient.com seguiremos informando de cualquier novedad al respecto. También recomendamos a los usuarios que sean cautos este verano al conectarse a redes WiFi públicas o desprotegidas.

David Sánchez