¡¡Patrocinamos a Cálico Electrónico!!
Hoy por fin podemos decirlo: ¡tenemos el honor de patrocinar a Cálico Electrónico! La popular serie de animación flash que tras tres temporadas de gran éxito tanto dentro como fuera de nuestras fronteras dejó de producirse debido a la falta de financiación. Ahora, y gracias al apoyo de diferentes empresas del sector informático, Cálico vuelve a la carga con sus aventuras y desventuras y publica el primer capítulo de su cuarta temporada el próximo lunes, 7 de mayo. Sus forofos seguidores (entre los cuales nos incluimos) ya pueden disfrutar del primer minuto de la nueva temporada para ir abriendo boca:
Además de la serie en el habitual formato flash, vamos a llevar a cabo diferentes acciones de las que iremos informando puntualmente. Para nosotros, colaborar con Nicotxan, autor de Cálico Electrónico, y con Chema Alonso, de Informática64 en este proyecto, además de ser un honor, nos brinda la posibilidad de llegar a nuestro público objetivo de una forma diferente, y concienciar y educar en torno al tema de la seguridad informática de forma divertida y amena. Además, apoyamos el talento español, que en el caso de Cálico está demostrado que hay mucho y muy bueno, ya que ha sido capaz de convertirse en una serie de referencia y traspasar nuestras fronteras.
Según Chema Alonso, de Informática64, “como fan y amante de la animación, el poder rescatar a Cálico Electrónico y verlo otra vez vivo y coleando ha sido un auténtico placer. Cálico Electrónico se coló en mi vida y traspasó los corazones de muchos amantes de la diversión y la animación por todo el mundo. Esto no hubiera sido posible sin los patrocinadores de la serie, y el poder contar con la ayuda de ESET y Ontinet ha sido de gran ayuda. Estamos muy contentos de que una multinacional de la seguridad informática invierta en la promoción de los artistas nacionales, y quiero agradecerlo públicamente”.
Acerca de Cálico Electrónico
Ambientada en una metrópolis llamada «Electronic City», el protagonista es un superhéroe de figura contraria a la clásica (bajito, gordinflón y sin superpoderes) y de nacionalidad española, que una y otra vez arriesga su vida para salvar a la ciudad. Cada capítulo incluye las tomas falsas del «rodaje». Debido a la falta de fondos, el propio Niko expresó el «cierre» del equipo (después de más de cinco años), poniendo fin a la serie de Cálico y todos los derivados de la serie hasta que alguien pudiera continuar y mantener la serie, que cambió el formato de capítulo largo por el de píldoras y entremeses. Ahora, gracias al apoyo de diferentes empresas, reanuda su aventura publicando el capítulo 1 de su cuarta temporada el próximo lunes, 7 de mayo, fecha en la que estará disponible a través de su web.
¡Esperamos deseosos este nuevo primer capítulo!
Yolanda Ruiz
@yolandaruiz
Yolanda Ruiz Herváson
Usan Skydrive como gancho para capturar contraseñas de Windows Live
Una de las noticias más importantes la semana pasada fue el anuncio de Google Drive, el nuevo sistema de almacenamiento en la nube de Google que pasa a competir directamente con otros servicios similares como Dropbox o Skydrive. Sabedores de la expectación que ha creado una noticia de este calibre, los ciberdelincuentes no han perdido la ocasión de generar una nueva campaña de spam para obtener las contraseñas que los usuarios usan para acceder a estos servicios.
Un ejemplo es este correo que hemos recibido en nuestro laboratorio y que nos invita a visualizar un vídeo supuestamente almacenado en Skydrive, el sistema de almacenamiento online ofrecido por Microsoft.
El mensaje recibido utiliza la consabida técnica de usar un asunto sugerente que invite a pulsar sobre los enlaces que se proporcionan, ya que los ciberdelincuentes han vuelto usar el viejo truco de un misterioso vídeo como gancho, que tan buenos resultados les ha dado en el pasado, para que la curiosidad de los usuarios les haga pulsar sobre el enlace proporcionado.
Si el usuario muerde el anzuelo y pulsa sobre el enlace del supuesto vídeo será redirigido a una web que simula ser la página de registro de Windows Live ID, usado para acceder a toda una serie de servicios ofrecidos por Microsoft como Hotmail, Messenger o Skydrive, entre otros.
Si nos fijamos en la captura de pantalla, observaremos que, aunque la web tenga una apariencia muy similar a la auténtica, los ciberdelincuentes no se han molestado en camuflar la dirección web y podemos comprobar de un simple vistazo que el sitio web donde nos encontramos nada tiene que ver con Microsoft.
De hecho, todo esto es un engaño para obtener los datos de aquellos usuarios que caigan en la trampa y poder usar sus cuentas en beneficio propio. Si introducimos un usuario y una contraseña seremos redirigidos al enlace auténtico pero nuestros datos de acceso serán registrados y almacenados en una base de datos para su posterior uso por los ciberdelincuentes. Estos tampoco han querido camuflar sus intenciones y el archivo que ejecuta este almacenamiento de contraseñas tiene el sugerente nombre de roba.php.
Como vemos, de nuevo se usa una técnica muy simple pero que, combinada con una noticia de actualidad y despertando la curiosidad de los usuarios, puede resultar muy efectiva. Desde el laboratorio de ESET en Ontinet.com volvemos a recomendar desconfiar de este tipo de correos y fijarnos siempre en las direcciones web a las que somos redirigidos si pulsamos sobre un enlace.
Josep Albors
Una vulnerabilidad de skype permite averiguar direcciones IP
Hoy nos hacemos eco de una noticia que lejos de ser nueva sí está ahora haciéndose popular y saltando a la red: un exploit diseñado para el popular servicio de llamadas y videollamadas VoIP, Skype, es capaz de ofrecer a sus usuarios la dirección IP tanto remota como local de cualquier usuario de este servicio, tal y como han anunciado en varios sitios, entre ellos, en skype-open-source.
La prueba de concepto es muy sencilla. Lo único que tiene que hacer un atacante que quiera hacerse con direcciones IP es descargarse una versión especial de Skype y alterar unas cuantas entradas del registro. De esta manera, cuando se añade un contacto de Skype, y antes de enviar la solicitud, la información completa de la “víctima” puede verse en su ficha de información. En este momento, el fichero de logs graba la dirección IP del usuario.
Con dicha información es muy sencillo obtener más datos del usuario utilizando para ello servicios como “Whois”, a través del cual podremos averiguar el país, la ciudad de origen del usuario, su proveedor de Internet y la dirección IP interna del usuario, por ejemplo. Según bromean en Pastebin, esta información podría utilizarse con diferentes fines:
La versión llamada “Skype 5.5″ necesaria para obtener las direcciones IP está colgada en diferentes sitios webs y es de libre descarga. Este asunto lleva meses discutiéndose en foros profesionales, como se prueba en este estudio presentado por un equipo internacional de investigadores en la Conferencia 2011 sobre Internet celebrada el pasado mes de noviembre en Berlín.
Yolanda Ruiz
@yolandaruiz
Yolanda Ruiz Herváson
Resumen mensual de amenazas: Apple centra los ataques de malware en abril
Abril ha llegado a su fin. Por eso, os ofrecemos de un vistazo un resumen de todo lo que ha sucedido durante este mes en cuanto a seguridad informática se refiere.
La botnet Flashback para Mac protagoniza el mes de abril
El descubrimiento de la botnet Flashback, con más de 600.000 ordenadores Mac infectados, ha centrado la atención de las amenazas cibernéticas durante el mes de abril. Apple se ha visto obligada a reconocer este tipo de amenazas en sus sistemas y a lanzar una serie de actualizaciones de seguridad para mitigar la infección. El troyano Flashback se aprovechaba de una grave vulnerabilidad en Java, software que en Mac OS X se encarga de gestionar la propia Apple. La tardanza en aplicar un parche que solucionase este fallo de seguridad, que ya estaba resuelto en otras plataformas desde mediados de febrero, ha sido un factor decisivo para conseguir infectar a tantos ordenadores.
Amenazas en webs legítimas
Una de las amenazas que sigue teniendo una propagación masiva, según podemos observar en el ranking del laboratorio de ESET España, operado en exclusiva por Ontinet.com, son aquellas que se aprovechan de vulnerabilidades en webs legítimas para inyectar códigos maliciosos que los usuarios se descargan sin saberlo en sus ordenadores. Miles de páginas web son realizadas con versiones vulnerables de gestores de contenidos como WordPress, que llevan meses sirviendo como plataforma para los ciberdelincuentes para colgar sus últimas creaciones. Otro ejemplo son aquellas webs vulnerables a inyecciones SQL que pasan a engrosar las listas de webs legítimas infectadas. Tal y como ya vimos a mediados del año pasado, esta es una técnica ampliamente usada y, de vez en cuando, observamos cómo una cantidad considerable de webs se ven afectadas. En esta ocasión, en el laboratorio de ESET España se contabilizaron más de 180.000 webs infectadas, de las cuales más de 4.400 eran españolas.
El virus de la policía sigue infectando
El ransomware de la Policía siguió infectando a varios usuarios, tal y como vimos en meses anteriores. A pesar de los avisos realizados por empresas de seguridad y de las propias fuerzas policiales, han sido muchos los usuarios que han visto cómo su ordenador era bloqueado y se les chantajeaba para conseguir su desbloqueo. Este tipo de amenaza ha sido bastante prominente en los últimos meses por toda Europa y ya han aparecido otras amenazas similares que persiguen los mismos fines.
Malware en los móviles
Con respecto a las amenazas orientadas a dispositivos móviles, durante el mes de abril seguimos viendo un goteo constante de malware desarrollado, especialmente, para la plataforma Android. Este mes destacamos en el laboratorio de ESET España a RootSmart, un malware que parece una evolución de GingerMaster, otra amenaza que el verano pasado se aprovechó de una vulnerabilidad crítica de Android 2.3 (Gingerbread) con la finalidad de obtener privilegios de root en el sistema infectado.
Amenazas en formato QR
Como nota curiosa, la presentación de los Presupuestos Generales del Estado mediante un código QR hizo recordar al laboratorio de ESET España que este tipo de códigos, usados de forma masiva en publicidad, también pueden suponer una amenaza para los dispositivos móviles si no se utilizan con precaución.
Ataques a empresas y a Gobiernos
Durante el mes de abril, compañías como Nissan o VMware también sufrieron ataques que tenían como objetivo obtener información confidencial de estas empresas. Como se puede observar, no solo los grupos de hacktivistas como Anonymous son responsables de este tipo de intrusiones. Empresas rivales o los propios gobiernos también realizan labores de ciber-espionaje e incluso de sabotaje.
De la misma manera, también vimos un nuevo caso de ataque dirigido. De nuevo, Irán se encontraba en el punto de mira y varias refinerías del país fueron desconectadas de la red tras descubrirse una nueva amenaza que tenía como objetivo el Ministerio del Petróleo de ese país. Este tipo de acciones vuelven a poner en primera plana la guerra encubierta de este país de Oriente Medio con otras grandes potencias como EE.UU. y que tuvo su punto álgido con el ataque del gusano Stuxnet.
Vulnerabilidad en Hotmail
Microsoft solucionó en abril una grave vulnerabilidad en su servicio de correo Hotmail que permitía a un atacante hacerse con el control de una cuenta aprovechándose de un error en el sistema encargado de restablecer las contraseñas. Esta vulnerabilidad fue ampliamente aprovechada por atacantes en países árabes aunque podría haber sido mucho peor si Microsoft no hubiese intervenido a tiempo.
El ranking de abril
En este mes de abril, seguimos viendo a algunos sospechosos habituales que siguen afectando a diferentes usuarios, como el famoso Scrinject, Kryptik y Sirelef, y a otros resistentes que no quieren marcharse de nuestro top, como es el caso de Conficker.
Yolanda Ruiz
@yolandaruiz
Yolanda Ruiz Herváson
Microsoft soluciona una grave vulnerabilidad en Hotmail
Uno de los servicios de correo más famosos, Hotmail, se ha visto afectado en las últimas semanas por una grave vulnerabilidad que permitía a un atacante resetear la contraseña de un usuario por una de su elección, pasando a controlar dicha cuenta de correo e impidiendo el propietario legítimo de la misma pudiese acceder.
Investigadores de la empresa Vulnerability-Lab informaron a Microsoft de la existencia de este grave fallo de seguridad el pasado 6 de abril, pero la existencia de esta vulnerabilidad se filtró y no han tardado en aparecer usuarios sin escrúpulos que no han dudado en comprometer cuentas de Hotmail en beneficio propio, e incluso ofrecer sus servicios para acceder de forma ilegal a cualquier cuenta por cantidades tan bajas como 20 dólares.
Microsoft confirmó ayer la existencia de esta vulnerabilidad, indicando también que lanzó un parche temporal la semana pasada, tras comprobar que estaba siendo aprovechada de forma masiva, sobre todo en países árabes del medio oriente y norte de África. Concretamente, el servicio afectado era el encargado de restablecer contraseñas del servicio MSN Hotmail.
Esta vulnerabilidad es especialmente grave para aquellos usuarios que tengan vinculados otros servicios como Paypal o Xbox Live a su Windows Live ID, aunque, a estas alturas, ya deberían ser conscientes de si su cuenta se ha visto afectada puesto que no podrían acceder a la misma.
Desde el laboratorio de ESET en Ontinet.com recomendamos revisar que podemos acceder sin problemas a nuestra cuenta de Hotmail y a los servicios que tengamos asociados con ella, contactando con su servicio de soporte en el caso de que nos hayamos visto afectados.
Josep Albors
@JosepAlbors
Atacando Smart TV no tan “inteligentes”
A principios de año y con motivo de la celebración del CES en Las Vegas me realizaron una entrevista cuanto menos curiosa al respecto de posibles amenazas que puedan afectar a una Smart TV. La periodista planteo cuestiones interesantes sobre la seguridad de estos dispositivos y si podríamos ver infecciones en este tipo de electrodomésticos a lo que contesté que todo era posible pero aun era pronto.
Al parecer pequé de precavido y, si bien no hemos visto aun ningún virus correteando por nuestras flamantes Smart TV recién adquiridas, si que se están descubriendo fallos y vulnerabilidades que podrían llegar a provocar la ejecución de código no autorizado antes de lo que pensaba.
Cuando se realizó la entrevista (mediados de enero) había leído poco aun sobre el tema y una de mis más importantes referencias era este genial post de Lorenzo Martinez, famoso por usar su poder mutante de empatía mecánica y conseguir que los electrodomésticos hagan cosas impensables para la mayoría de los mortales.
En dicho post Lorenzo explicaba como consiguió “trastear” con su recién adquirida Smart TV LG y consiguió hacer que se bloqueara o impedir que reprodujese correctamente video mediante un ataque DoS por la interfaz de red del dispositivo (ataque que después hemos visto como también afectaba a otros modelos como Sony Bravia). Pero aun fue más allá y Lorenzo consiguió “personalizar” el portal de acceso a los contenidos digitales de la TV, añadiendo opciones que no venían de serie.
Otro investigador inquieto como es Luigi Auriemma, al que recordamos, por ejemplo, por ser el creador de una prueba de concepto que se aprovechaba de la vulnerabilidad en el protocolo RDP parcheado por Microsoft el mes pasado. Recientemente se ha dedicado a realizar pruebas con la Smart TV Samsung de su hermano, descubriendo accidentalmente una forma de conseguir remotamente que la TV entre en un modo de reinicio constante que continua aunque la desenchufemos de la corriente y la volvamos a enchufar.
Como vemos, todos los casos que hemos analizado muestran ataques de denegación de servicio o maneras de aumentar las posibilidades de nuestra TV. No se conoce ningún caso de malware que se propague a través de Smart TV aunque si que hay otros dispositivos que han sido usados para tal fin. No obstante Auriemma ya avisa que, de la misma forma que él ha conseguido que el televisor entre en este loop infinito de reinicios, sería teóricamente posible preparar un ataque que se aproveche de una vulnerabilidad del tipo buffer-overflow y ejecutar código malicioso en nuestra TV.
Así las cosas, acabamos de ver como las Smart TV de diferentes fabricantes presentan alguna vulnerabilidad, pero estas no han sido aprovechadas de momento como vector de ataque para propagar malware. La pregunta que todos nos hacemos es ¿Cuándo empezaremos a ver casos de televisores infectados?. Podríamos apostar por una fecha pero yo prefiero mantener la opinión que di en la entrevista: “Cuando el mercado madure, haya una cantidad importante de dispositivos conectados y los ciberdelincuentes vean posibilidad de obtener beneficios de estos ataques”.
Josep Albors
@JosepAlbors
Nuevos ataques dirigidos a grandes empresas y gobiernos
Que los ataques informáticos a empresas y gobiernos se han convertido en algo frecuente no debería sorprender a nadie a estas alturas. El año pasado fue un buen ejemplo de cómo de vulnerables se puede ser ante uno de estos ataques si no se toman las medidas necesarias y este año no parece que la tónica vaya a ser diferente.
En lo que llevamos de semana hemos conocido tres importantes casos de ataques dirigidos a empresas o gobiernos. Empezamos el lunes con la noticia de un nuevo ataque sufrido por el Ministerio de Petróleo Iraní y otras empresas asociadas al mismo que habrían sufrido una infección en sus sistemas por parte de un gusano informático. De nuevo las alarmas saltaron al recordar el caso Stuxnet y corrieron ríos de tinta especulando sobre las posibles consecuencias de este nuevo ataque aunque desde las fuentes oficiales se aseguró que ningún documento oficial se había visto comprometido y que solo se desconectaron temporalmente las refinerías para evitar daños en las mismas.
Este casó ha llegado a la primera plana de muchos diarios, ya que el Irán y su programa nuclear sigue estando en el punto de mira de muchas superpotencias y cualquier noticia de un posible ataque puede hacer crecer la tensión en esa área. Pero no ha sido el único caso sonado que hemos observado recientemente.
La compañía automovilística japonesa Nissan también anunció una intrusión en la red de su empresa y la detección de un malware que tendría supuestamente la intención de robar datos confidenciales. Según las declaraciones de la propia compañía, tan pronto como se descubrió esta intrusión se tomaron medidas para eliminar este malware de la red corporativa y proteger los datos sensibles relacionados con empleados, clientes y distribuidores en todo el mundo. Ninguno de estos datos ha salido a la luz desde que se detectó la intrusión el pasado 13 de abril por lo que parece confirmarse un ataque dirigido con una finalidad claramente de espionaje.
Por último, la compañía VMware también anunció ayer por la tarde de la publicación del código fuente de uno de sus productos, concretamente VMware ESX. Cómo en otras ocasiones anteriores, el enlace desde el cual descargar esta información se está compartiendo en múltiples sitios como Pastebin y, aunque la empresa ha anunciado que esta filtración no supone un peligro para sus usuarios antiguas, siempre es desagradable que se produzcan este tipo de sucesos en grandes empresas.
Cómo vemos, este tipo de ataques dirigidos y filtraciones suponen un riesgo muy importante para empresas y gobiernos y, aunque en las últimos meses se ha hecho mucho eco de las acciones emprendidas por grupos hacktivistas como Anonymous, lo cierto es que hay otros muchos interesados en seguir realizando este tipo de ataques y robando secretos a empresas de la competencia o a gobiernos declarados como potenciales enemigos.
Josep Albors
@JosepAlbors
RootSmart: Continua el goteo de amenazas para Android
En las últimas semanas la aparición de malware para otras plataformas distintas de Windows no ha sido algo exclusivo de Mac OS. Llevamos meses observando como el número de amenazas para el sistema Android sigue aumentando preocupantemente y con visos de seguir haciéndolo.
Una de las amenazas más recientes, y que responsables del departamento de Ciencias de la Informática de la Universidad de Carolina del Norte analizan en profundidad, se ha dado a conocer como RootSmart. Este malware parece una evolución de GingerMaster, otra amenaza que el verano pasado se aprovechó de una vulnerabilidad crítica de Android 2.3 (Gingerbread) con la finalidad de obtener privilegios de root en el sistema infectado.
A diferencia de GingerMaster, esta nueva amenaza no incluye directamente el exploit dentro de la aplicación maliciosa, si no que lo descarga desde un servidor remoto para luego ejecutarlo y realizar la escalada de privilegios. Cómo vemos en la imagen, el icono de la aplicación maliciosa es idéntico al de la configuración del sistema y, una vez instalada, monitoriza cualquier evento que lo active (como una llamada) para instalar de forma silenciosa el malware en sí.
Una vez realizado este paso, el malware descarga el exploit Gingerbreak y lo ejecuta para obtener permisos de root en el sistema. De esta forma tendrá la capacidad de instalar más códigos maliciosos y conectarse a un centro de control al que enviará información y desde el que recibirá órdenes. Es esta habilidad de instalarse de forma silenciosa aprovechando una vulnerabilidad grave y de conectarse a un centro de control la que convierte a esta amenaza en especialmente peligrosa para los usuarios de Android.
Debido a que su propagación se ha observado únicamente en Markets alternativos al oficial, desde el laboratorio de ESET en Ontinet.com recomendamos desconfiar de aquellas aplicaciones descargadas de sitios no oficiales, así como revisar los permisos que solicitan las aplicaciones al instalarse y estar atentos por si observamos que alguna aplicación tiene un comportamiento extraño.
Josep Albors
@JosepAlbors
Miles de páginas web infectadas (de nuevo) por una inyección SQL
Tal y como vemos en los resúmenes mensuales de amenazas que publicamos en ESET, las inyecciones de código malicioso en páginas web legítimas son uno de los principales vectores de ataque actuales. Esto es debido a que hay muchos sitios web descuidados y que presentan vulnerabilidades que pueden ser aprovechadas para introducir código malicioso en las mismas, infectando a todos aquellos visitantes que accedan a esas webs y no estén debidamente protegidos.
La última de estas campañas que hemos observado ha afectado a más de 180.000 páginas web en todo el mundo (y creciendo), según la compañía de seguridad web Sucuri, siendo más de 4.000 de estas webs españolas según una búsqueda realizada en Google del script malicioso. Cabe recordar que este tipo de infección es muy similar a las que analizamos el año pasado y es muy probable que volvamos a ver en las próximas semanas.
Este tipo de infecciones son relativamente fáciles de introducir en webs legítimas por parte de los ciberdelincuentes, sobre todo porque se automatiza todo el proceso de manera sencilla usando kits de exploits. Actualmente, la web a la que se redirige con el script malicioso ya se encuentra desactivada y tanto los principales navegadores como nuestro software antivirus avisan del peligro de dicho enlace.
Como vemos, el riesgo de infección es independiente de si los sitios que visitamos son legítimos o de dudoso contenido. Debemos dejar atrás de una vez por toda la falsa sensación de seguridad que creen tener algunos usuarios al navegar solo por sitios webs “confiables”. Son ya muchos los ejemplos que hemos dado en este blog como para estar alerta siempre y desconfiar de cualquier actividad sospechosa mientras naveguemos, aunque sea en una web con buena reputación.
Josep Albors
@JosepAlbors
Sabpab: nuevo malware para Mac
Llevamos unos días muy intensos en lo que a seguridad en sistemas Mac OS X se refiere. Tras todo el revuelo que armó el troyano Flashback con una cantidad que, según un análisis realizado en los laboratorios de ESET, podría superar los 600.000 equipos que se anunciaron en primera instancia formando parte de una botnet, en los últimos días estamos detectando una nueva amenaza para esta plataforma de nombre OSX/Sabpab.A.
Hemos detectado que este nuevo troyano usa dos vectores de ataque para infectar al sistema. Una primera variante se aprovechaba de una vieja vulnerabilidad de Microsoft Office 2004 y 2008 para Mac, usando un fichero de Word especialmente modificado para engañar al usuario e instalar el troyano en el sistema. Esta técnica está relacionada con la usada para atacar a ONGs tibetanas y que comentamos el mes pasado en este mismo blog.
Por otra parte, una variante mas reciente se aprovecha de la misma vulnerabilidad en Java que usó el troyano Flashback para infectar a sus víctimas, si bien hay una diferencia importante entre esta amenaza y la finalidad que persigue Sabpab. Si bien Flashback buscaba infectar al máximo número de equipos posibles, Sabpab está centrada en ataques dirigidos (APT), en una propagación muy pequeña pero con víctimas especialmente escogidas de las que obtener valiosa información. Esto le ha permitido a esta amenaza pasar desapercibida durante casi dos meses desde su creación.
Como vemos, el malware para Mac ha pasado de ser una anécdota a una amenaza real para los usuarios de esta plataforma y, aunque desde el laboratorio de ESET en Ontinet.com aun vemos pocos ejemplares de malware orientados a Mac, es importante que se usen medidas de seguridad adecuadas independientemente del sistema operativo.
Josep Albors
@JosepAlbors
« Artículos Posteriores — Artículos Anteriores »