Bogo de la Web: malware

Mostrando las entradas con la etiqueta malware. Mostrar todas las entradas

6.1.14 Usuarios de Yahoo! sufren ataques de malware

Luis Montes Internet , malware , Noticias , seguridad , Yahoo! No hay comentarios. :

Fox-IT reportó que los servidores de Yahoo! estaban liberando un "kit exploit" que se aprovecha de las vulnerabiliades en Java e instalaba malware.

"Los clientes que visitaron yahoo.com recibieron publicidades de ads.yahoo.com", dijo la firma. "Algunos avisos publicitarios eran maliciosos".

Fox-IT, una compañía de Países Bajos, se enfoca en ciberdefensa. La firma estima que decenas de miles de usuarios fueron afectados cada hora.

"Teniendo en cuenta la tasa típica de infección de 9%, esto resultaría en alrededor de 27,000 infecciones cada hora", dijo la compañía. "Con base en la misma muestra, los países más afectados son Rumania, Reino Unido y Francia. En este momento no es claro por qué esos países son los más afectados, pero probablemente se debe a la configuración de las publicidades maliciosas en Yahoo!".

Si una computadora infectada con malware es conectada a una red, los atacantes con frecuencia pueden acceder a otros sistemas y servidores conectados.

Yahoo! informó que estaba al tanto de los problemas de seguridad.

En Yahoo!, nos tomamos muy seriamente los temas de seguridad y privacidad Recientemente identificamos una publicidad diseñada para difundir malware a algunos de nuestros usuarios. Inmediatamente la retiramos y seguiremos monitoreando y bloqueando cualquier aviso usado para esa actividad.

La investigación reveló que la primera señal de infección fue el 30 de diciembre.

13.11.13 Mcafee destaca los “12 engaños de las vacaciones” que los consumidores deberán tener presentes para mantener a salvo su vida digital

Luis Montes Estudios , Internet , malware , McAfee , Noticias , seguridad No hay comentarios. :

McAfee publicó el pasado 12 de Noviembre su lista anual “12 engaños de las vacaciones” para mostrar al público las estafas más comunes que los delincuentes podrían utilizar durante las festividades para aprovecharse de los consumidores cuando estos compran a través de sus dispositivos digitales. Los delincuentes cibernéticos aprovechan estos engaños para robar información personal, ganar dinero rápido y propagar el malware.

Este año tan solo en Estados Unidos, se espera que las ventas de fin de año se disparen a unos US$602 mil millones[1]. Se prevé que las ventas en el comercio electrónico aumenten un 15% en comparación con las ventas digitales del año pasado, ascendiendo a más de US$60 mil millones; el comercio móvil corresponde a un 16% de esta cifra[2]. Los consumidores deben asegurarse de haber tomado todas las medidas para proteger los datos guardados en sus dispositivos[3]. Esto es especialmente importante para el 51% de adultos estadounidenses que realizan transacciones bancarias en línea y el 32% que utiliza la banca móvil[4].

[1] http://www.nrf.com/modules.php?name=News&op=viewlive&sp_id=1674

[2] http://www.emarketer.com/Article/Mobile-Devices-Boost-US-Holiday-Ecommerce-Sales-Growth/1010189

[3] McAfee May 2013 Digital Assets Study

[4] Pew August 2013 Online Banking Study

17.10.13 Virus de cajeros pone en peligro el dinero de los bancos no el de los usuarios

Luis Montes cajeros , malware , México , Noticias , Ploutus , seguridad No hay comentarios. :

La compañía de seguridad tecnológica Kaspersky detectó en días pasados un nuevo virus que afecta principalmente a los cajeros automáticos de México, el cual permite extraer dinero de forma no autorizada.

Este virus, denominado "Ploutus", extrae el dinero de los cajeros a través de un panel de control que permite definir la cantidad exacta, así como las denominaciones de los billetes que los ciberdelincuentes quieren extraer.

En un comunicado, la empresa expuso que este virus incluye varias peculiaridades, como un código de activación que detona el malware para conectarse con el teclado y leer la información que se digita en el cajero.

Si el virus detecta cierta combinación de teclas, aparece un panel que aparentemente se opera de forma táctil en idioma español, lo cual hace suponer que el programa se desarrolló en la región.

Otro detalle relevante es que el malware interactúa directamente con los servicios del programa que opera el cajero, por lo que se sospecha que el código fue desarrollado con el conocimiento suficiente de ese sistema, advierte.

Asimismo, Kaspersky indicó que el vector de infección es mediante un CD-ROM de arranque que requiere de acceso físico al equipo, lo cual resulta "interesante debido a la poca cantidad de malware disponible enfocado en cajeros automáticos".

7.10.13 ESET identificó un nuevo código malicioso que afecta a Latinoamérica usando Facebook

Luis Montes DDoS , ESET , Facebook , malware , Noticias , Redes Sociales No hay comentarios. :

Durante septiembre, el Laboratorio de Investigación de ESET detectó un nuevo código malicioso tipo botnet denominado Win32/Napolar. Este malware puede servir múltiples propósitos, entre los cuales se encuentran la conducción de ataques de Denegación de Servicios (Dos), y el robo de información de sistemas infectados.

Se cree que se propaga a través de Facebook. Dado que este código malicioso puede robar las credenciales de la red social, el atacante puede utilizar las mismas para enviar mensajes desde las cuentas comprometidas y tratar de infectar a los amigos de la víctima.

Este código logra extraer datos ingresados en distintos navegadores y sitios web. Hasta el momento se detectaron miles de infecciones, muchas de las cuales están ubicadas en Latinoamérica siendo Perú, Ecuador y Colombia los más afectados.

A su vez, septiembre también se caracterizó por la aparición de amenazas relacionadas a plataformas móviles.

El Laboratorio de Investigación de ESET Latinoamérica también detectó una falsa aplicación para Android que simulaba ser Adobe Flash y que se propagó por Google Play. Resultó llamativo que los responsables se preocuparon de aspectos relacionados a la Ingeniería Social. Por ejemplo, la descripción y el falso programa tenían los iconos y tipografías de Adobe. También se destaca que la mayoría de los comentarios provenientes supuestamente de los usuarios de este “Flash” eran positivos, lo que significa que las evaluaciones no siempre son fidedignas.

Paralelamente se descubrió Hesperbot, troyano bancario diseñado para Windows, pero que además posee componentes maliciosos que funcionan en Android, BlackBerry y Symbian. Esto demuestra que los cibercriminales, para obtener rédito económico, continúan aprovechando plataformas tradicionales, como las móviles que siguen en crecimiento.

Para obtener mayor información sobre las amenazas destacadas de agosto, visitar el resumen de amenazas destacadas del mes publicado en el Blog de Laboratorio de ESET Latinoamérica: http://blogs.eset-la.com/laboratorio/2013/10/02/resumen-amenazas-septiembre-2013/.

5.10.13 ESET reporta un aumento en el secuestro de información a usuarios

Luis Montes ESET , Hackers , malware , Noticias , seguridad No hay comentarios. :

ESET, compañía líder en detección proactiva de amenazas, ha notado en los últimos meses un incremento significativo en la actividad de los troyanos que cifran información de los usuarios e intentan extorsionarlos ofreciéndoles el pago de un rescate a cambio de los mismos.

Esta categoría de códigos maliciosos existe hace varios años y se denominan Filecoders. Son uno de los tipos de ransomware más prolíficos, y han sido detectados por los productos de ESET como Win32/Filecoder y Win32/Gpcode, entre otros.

El sistema de alerta temprana ESET Live Grid muestra que el número de detecciones semanales de Win32/Filecoder se ha triplicado a partir de julio de 2013, en comparación al número promedio registrado entre enero y junio del mismo año. La principal característica de Filecoder es que puede cifrar los archivos de la víctima (generalmente fotos, documentos, música y archivos) para luego pedir un pago para liberarlos. Incluso llega a hacer el cobro utilizando Bitcoin, lo que demuestra que los cibercriminales siguen adaptándose a las nuevas tendencias de los usuarios.

Al igual que en otros casos de troyanos, los cibercriminales que utilizan el ransomware Filecoder poseen diferentes métodos para propagar esta amenaza, que incluyen sitios maliciosos, archivos adjuntos en correo electrónico, o la utilización de otros troyanos, por ejemplo los de tipo backdoor.

En uno de los casos investigados por ESET, se observó que la víctima recibía un archivo adjunto por correo electrónico que contenía un backdoor. Cuando era ejecutado, el troyano procedía a contactarse a un Centro de Comando y Control (C&C) a la espera de comandos remotos. Posteriormente, el atacante enviaba una variante de Win32/Filecoder a los equipos infectados. Esta acción permitía infectar esos sistemas sin la necesidad de copiar el troyano al disco y solamente cargándolo en memoria RAM.

Otro caso es Win32/Filecoder.BH (también conocido como DirtyDecrypt). Este malware utiliza un método visual de extorsión hacia la víctima: durante el ciclo de cifrado de imágenes y documentos, el contenido de ambos tipos de archivos es sobrescrito con un mensaje de advertencia seguido de los bytes originales del cifrado.

Otra variante reciente, Win32/Filecoder.BQ, intenta presionar a la víctima utilizando una cuenta regresiva del tiempo que resta para que la llave del cifrado sea eliminada definitivamente y los datos no puedan ser recuperados.

“Recomendamos a los usuarios proteger la configuración de la solución de seguridad con una contraseña, para evitar que un atacante pueda alterar los parámetros de protección. Asimismo, es fundamental mantener un respaldo de los datos (backup) actualizado”, declaró André Goujon, Especialista de Awareness & Research de ESET Latinoamérica.

El país más afectado por esta familia de malware es Rusia; sin embargo, existen campañas de propagación activas en diferentes partes del mundo.

17.9.13 Proteje tu equipo de malware con USB Condom

Luis Montes Lanzamientos , malware , Noticias , seguridad , USB No hay comentarios. :

Aunque suene como una broma es cierto, la compañía de seguridad int3.cc ha desarrollado un producto denominado USB Condom, el cual es un protector para dispositivos USB que bloquea los pines de datos, dejando solo activos los pines de energía. De esta forma, se anula la posibilidad de infectar los dispositivos a los que se conecta el USB con cualquier 'malware'.

A partir de ahora conectar un dispositivo USB sin miedo a que el ordenador o el 'tablet' se infecte con algún virus es posible. Los usuarios de cualquier dispositivo USB podrán cargar el teléfono, utilizar las estaciones públicas de carga o conectarlo a cualquier ordenador sin tener que preocuparse de infectar el dispositivo receptor gracias a los condones USB.

Según asegura la compañía, el aspecto de estos condones para USB tienen apariencia de una placa base de aspecto corriente. Con esta nueva herramienta se impide el intercambio accidental de datos cuando el dispositivo USB está conectado a otro dispositivo mediante un cable USB.

Por el momento, el precio de dicho dispositivo aun ha sido revelado.

Para mas información visita: http://int3.cc/products/usbcondoms

13.9.13 Campaña de phishing y malware para smartphones busca robar información bancaria

Luis Montes celulares , Hackers , Internet , malware , Noticias , phishing , telefonía No hay comentarios. :

ESET, compañía líder en detección proactiva de amenazas, ha descubierto un nuevo troyano bancario destinado a usuarios de banca en línea. Hesperbot se está propagando vía mail a través de técnicas de phishing y trata de afectar también dispositivos móviles con sistemas operativos Android, Symbian y Blackberry.

“Esto demuestra de que las amenazas están combinando campañas de phishing con módulos maliciosos para smartphones. Es importante tomar conciencia y protegerse tanto al usar computadoras como plataformas móviles”, concluyó Raphael Labaca Castro, Coordinador de Awareness & Research de ESET Latinoamérica.

La técnica utilizada es crear sitios con una apariencia muy similar a la de portales de organizaciones confiables, éstos engañan a los usuarios para que ejecuten el código malicioso. Según el sistema estadístico ESET LiveGrid®, se detectaron cientos de infecciones en Turquía y decenas en República Checa, Reino Unido y Portugal.

Detectado por los productos de ESET como Win32/Spy.Hesperbot, este malware utiliza keyloggers y puede crear capturas de pantalla y video, y establecer un proxy remoto. Presenta, además, características de avanzada, como la creación de una conexión remota oculta a través de VNC al sistema infectado.

“Los análisis de la amenaza revelaron que se trata de un troyano bancario con características y funcionalidades similares a las de Zeus y SpyEye, pero con diferencias a nivel de implementación que sugieren que pertenece a una nueva familia de códigos maliciosos, y no es una variante de un troyano conocido anteriormente”, aseguró Robert Lipovsky, Investigador de ESET.

Los atacantes apuntan a robar credenciales para acceder a la cuenta bancaria de la víctima, e instalar un componente móvil del malware en el dispositivo.

El país más afectado por Hesperbot fue Turquía, donde se registraron detecciones incluso previas al 8 de agosto de 2013 (fecha en la cual inició la campaña de propagación del código malicioso). El e-mail de phishing que se enviaba a los usuarios, la amenaza pretendía ser una factura.

10.9.13 Aprovechan debilidades en Google Chrome y Linux para difundir troyanos durante agosto

Luis Montes ESET , Hackers , Internet , malware , Noticias , seguridad No hay comentarios. :

Durante agosto, el Laboratorio de Investigación de ESET Latinoamérica detectó varios códigos maliciosos que se caracterizaron por su complejidad técnica, plataforma objetivo y método de comunicación con el atacante.

Por un lado, fue detectado el código MSIL/Spy.Banker.AU que se propagó a través de una campaña de spam por medio de un archivo adjunto. De esta manera, cuando el usuario se infecta mediante la ejecución del archivo, se instala un plugin malicioso sobre el navegador Google Chrome.

Los ciberatacantes aprovecharon un error de diseño de un servidor gubernamental de Brasil para propagar este código malicioso. Mediante el uso de una dirección de correo legítima con dominio .gov.br, los responsables lograban mantener el anonimato.

“La finalidad del plugin malicioso es interceptar todas las páginas web que navega la potencial víctima en búsqueda de sitios bancarios pertenecientes a entidades financieras de Brasil. De esta manera, en caso de que la víctima acceda a su banca, se produce el robo de las credenciales bancarias por parte del código malicioso, por ahora los atacantes fijaron sus esfuerzos en este país, pero la misma estrategia puede ser usada en otros países de la región”, explicó Fernando Catoira, Analista de Seguridad de ESET Latinoamérica.

Por otro lado, cibercriminales desarrollaran un troyano bancario capaz de afectar a Linux que posee características similares a códigos maliciosos para Windows. Aunque este sistema operativo es popular en segmentos como servidores web y dispositivos móviles (Android), no lo es entre usuarios finales. Sin embargo, dicho aspecto no fue un impedimento para que también sea atacado.

“Este troyano fue denominado por sus autores como ’Hand of Thief’ y está diseñado específicamente para usuarios finales de Linux, lo cual podría deberse a que muchos de ellos creen erróneamente que no es necesario implementar medidas de protección. La amenaza está siendo vendida en mercados ilegales en 2.000 dólares y es accesible a cualquier que pueda pagar por ella”, aseguró André Goujon, Especialista de Awareness & Research de ESET Latinoamérica.

Para obtener mayor información sobre las amenazas destacadas de agosto, pueden visitar el resumen de amenazas destacadas del mes publicado en el Blog de Laboratorio de ESET Latinoamérica: http://blogs.eset-la.com/laboratorio/2013/09/03/resumen-amenazas-agosto-2013.

7.8.13 ESET reporta las principales novedades desde BlackHat 2013

Luis Montes BlackHat 2013 , ESET , Internet , malware , Noticias , seguridad No hay comentarios. :

Durante los últimos días, representantes de ESET Latinoamérica participaron de uno de los eventos más importantes de seguridad informática del año: la BlackHat 2013.

Con cita en Las Vegas, reúne año tras año a los referentes del sector, quienes brindan primicias y novedades en términos de amenazas y vulnerabilidades.

Estos son algunos de los principales anuncios que se hicieron en esta edición:

El General Keith B. Alexander, máximo responsable de la NSA fue el encargado de inaugurar la BlackHat 2013. Su disertación giró en torno al caso Snowden y todas las filtraciones acerca del programa de la NSA para espiar a ciudadanos y gobiernos. Durante su charla afirmó que es la única manera de actuar de forma preventiva contra todo tipo actividades delictivas como el terrorismo. Comentó que sus programas están controlados por el Congreso y la Corte para que respeten la Constitución y la ley. “Gracias a estos programas pudimos detener 54 operaciones terroristas en todo el mundo”, sentenció durante su conferencia. La crónica completa está disponible en http://blogs.eset-la.com/laboratorio/2013/07/31/blackhat-principales-citas-del-director-de-la-nsa-keynote-speaker/.

Por su parte, durante la conferencia “Java Every-days, Exploiting software running on 3 billion Devices” se abordaron las principales vulnerabilidades de la plataforma. Java se ejecuta en miles de millones de dispositivos en todo el mundo, lo que la vuelve muy atractiva para los cibercriminales. A su vez, es una tecnología que se utiliza en diversos dispositivos y plataformas y que no cuenta con una política de actualizaciones tan eficiente (se liberan parches 4 veces al año aproximadamente). De hecho, el 93% de los usuarios usan Java sin todos los parches disponibles. Uno de los principales puntos de la presentación giró en torno al crecimiento de las vulnerabilidades. El análisis completo en http://blogs.eset-la.com/laboratorio/2013/07/31/blackhat-java/.

La presentación “Million Browser Botnet” brindada por Jeremiah Grossman y Matt Johansen mostró cómo, de manera muy sencilla, es posible armar una botnet que utilice navegadores web como clientes y publicidades online como medio de propagación. De esta manera fueron capaces de controlar virtualmente millones de clientes en cuestión de horas. La cobertura completa de la presentación se encuentra en http://blogs.eset-la.com/laboratorio/2013/08/01/blackhat-como-crear-una-botnet-de-1-000-000-de-navegadores/.

Luego, SeungJin 'Beist' Lee abordó los ataques a Smart TV y puso especial énfasis en la factibilidad de cargar rootkits en uno de estos equipos. El investigador indicó que no es sencillo desarrollar una amenaza para televisores inteligentes ya que hay muchas limitaciones para la investigación en estas plataformas. Sin embargo, declaró que la estructura de aplicaciones de una Smart TV es muy similar a la de los smartphones. No obstante, no hay indicios para creer que estos ataques podrían hacerse masivos en el corto plazo. Los smartphones aún son un blanco mucho más atractivo para los cibercriminales. En cuanto a los daños en sí, la privacidad podría ser foco de ataque aún más que las amenazas de índole económica. Más información en http://blogs.eset-la.com/laboratorio/2013/08/02/blackhat-es-la-hora-de-los-smarttv.

Por último, investigadores del Georgia Institute of Technology mostraron su trabajo sobre un cargador malicioso para iOS. Si bien el Apple Store es muy útil a nivel de seguridad, ya que con él Apple controla qué se puede instalar o no en sus sistemas, es el único lugar para bajarse aplicaciones y estas tienen que estar correctamente firmadas por Apple Store o iOS developers (los certificados válidos para la tienda). Sin embargo, demostraron que podían registrarse como desarrolladores y ser autorizados rápidamente. De esta forma, los investigadores pensaron en usar Ingeniería Social y crearon un falso cargador que, además de cargar el dispositivo, posee instrucciones maliciosas: Mactans, una prueba de concepto que, al conectar un equipo "al cargador" puede realizar acciones "dañinas" en el mismo. Los detalles están en http://blogs.eset-la.com/laboratorio/2013/08/02/blackhat-mactans-el-cargador-malicioso-para-ios.

Durante los próximos días, los ejecutivos de ESET Latinoamérica estarán participando de DEFCON XXI y seguirán acercando más información sobre las presentaciones que se realicen allí.

25.7.13 ESET: México 3er lugar de sitios educativos y de gobierno más infectados de la región

Luis Montes Escuelas , ESET , Estudios , Gobierno , Internet , malware , Noticias , seguridad No hay comentarios. :

ESET, compañía líder en detección proactiva de amenazas, en un esfuerzo por analizar cuáles son los países con los sitios gubernamentales y educativos más afectados por códigos maliciosos, descubrió que el 33% correspondía a sitios brasileños, mientras de Perú y México el porcentaje es de 20% y 12% respectivamente. 

"Los sitios web relacionados con entidades oficiales y educativas también sufren de ataques que llevan a que se vean comprometidos con algún tipo de código malicioso, generando que cuando un visitante que no está protegido con una solución de seguridad visita este tipo de sitios; se vea infectado", dijo Camilo Gutiérrez Amaya, Especialista de Awareness & Research de ESET Latinoamérica.  

El 90% de los códigos maliciosos detectados en estos sitios web gubernamentales corresponde a troyanos, y el restante 10% se reparte entre backdoors y gusanos. La mitad de estos códigos maliciosos está relacionado con JavaScript y son del tipo Iframe.  

Es importante recordar que los códigos iframes se esconden en el código HTML de las páginas, y lo que hace es llamar a otra página de forma invisible, es decir sin que el usuario lo note, buscando en algunos casos un mejor SEO o bien en la mayoría de los casos infectar con algún tipo de código malicioso a los visitantes.  

Por otra parte, con respecto a los sitios web de entidades educativas se encontró que México es el país que tiene más sitios infectados con un total del 33% de los sitios web de entidades educativas analizados. Lo siguen Argentina y Perú ambos con el 17% de sitios de este tipo. 

En el caso de los códigos maliciosos que afectan los sitios web educativos la realidad no es muy diferente a la de los sitios web gubernamentales. Dentro de las amenazas encontradas en estas páginas estaban algunas muestras de Dorkbot, el código malicioso que durante el año pasado afectó a Latinoamérica más que al resto del mundo. 

En general, se puede ver que se cumplió la tendencia en el cambio de la forma de propagación y ataques informáticos que el Laboratorio de ESET Latinoamérica había mencionado para la región finalizando el año pasado.  

"Los ciberdelincuentes prefieren un intermediario para lograr la propagación de códigos maliciosos. Puede ser como en este caso una página web confiable, pero fácilmente modificable, de forma que sea imperceptible para el administrador del sitio y sus visitantes identificar la amenaza", añadió Gutiérrez Amaya. 

Garantizar la seguridad de la información depende de qué tan seguros mantienen los administradores sus sitios web, teniendo actualizados los parches de seguridad de los servidores donde tienen alojadas sus páginas web y además garantizando que las computadoras desde las cuales se actualizan también estén debidamente protegidas y actualizadas. En el caso de los usuarios es muy importante que se mantengan protegidos utilizando una solución de seguridad que les brinde la protección necesaria y que impida que, mientras están en Internet, se puedan ver infectados.

11.7.13 Fallo de seguridad en Whatsapp para Android

Luis Montes Android , Aplicaciones , malware , Mensajes , Noticias , seguridad , Servicios , WhatsApp No hay comentarios. :

Algunos usuarios de Androird con la aplicación WhatsApp han reportado la presencia de un virus que cambia el nombre de los contactos.

El virus es llamado ''Priyanka'' el cual aparece disfrazado como un ''nuevo contacto'' con el nombre ''Priyanka'', al descargarlo, modifica los nombre de los grupos de chat e incluso remplaza todos los contactos por ''Priyanka''.

La solución inmediata, recomienda, sería no aceptar la invitación y reiniciar la aplicación.

En caso de ser infectado el dispositivo te recomendamos descanectar tu equipo de cualquier servicio de Internet o datos móviles para evitar que la invitación llegue a sus contactos. Luego, elimine a ''Priyanka'' que parecerá en la lista de contactos y por último, reinstala la aplicación.

10.6.13 Los ataques a Skype y a servidores Apache fueron los principales incidentes de seguridad en mayo en América Latina

Luis Montes Antivirus , ESET , malware , Noticias , seguridad No hay comentarios. :

ESET, compañía líder en detección proactiva de amenazas, ha identificado como ataques destacados del mes de mayo a las campañas de propagación masiva de códigos maliciosos.

Por un lado, Rodpicom, gusano que se ha propagado por Skype, Gtalk y otros programas, ha tenido 67% de las detecciones reportadas en América Latina. Utiliza enlaces acortados e Ingeniería Social como técnicas de propagación y logró al menos 750.000 clics en dos semanas. El Laboratorio de Investigación de ESET Latinoamérica ha encontrado más de 10 enlaces diferentes que son acortados por distintos servicios, como por ejemplo goo.gl y bit.ly, entre otros.

Para alcanzar un impacto mundial, este malware detecta el idioma del sistema operativo de la víctima, para luego enviar mensajes sugerentes a los contactos en el lenguaje adecuado.

A su vez, se dio a conocer una investigación sobre Cdorked, amenaza capaz de infectar servidores web Apache, Lighttpd y Nginx para redirigir a la víctima hacia contenido malicioso.

Ambos códigos maliciosos lograron altos índices de propagación: el troyano Cdorked infectó a 400 servidores, de los cuales 50 pertenecen a los 100.000 sitios más visitados según Alexa. Cdorked también se caracteriza por ser una amenaza difícil de detectar, ya que prácticamente no deja rastros en el servidor web.

Aunque técnicamente son amenazas diferentes, ambas comparten la particularidad de lograr altos índices de propagación. Por eso, es importante destacar la necesidad de contar con una herramienta de seguridad actualizada, que será capaz de alertar sobre nuevas variantes de códigos maliciosos aún antes de conocer en detalle las capacidades de los mismos.

“Los niveles de propagación de este caso han sido altos y llamativos en relación al corto período de tiempo que le llevó a esta amenaza afectar a miles de usuarios. Técnicas de Ingeniería Social utilizadas hace años siguen teniendo una efectividad muy alta y les permiten a los atacantes saltear las barreras de protección y continuar afectando a los usuarios. Por eso necesitamos estar alertas para evitar ser víctimas de este tipo de ataques”, declaró Pablo Ramos, Security Researcher de ESET Latinoamérica.

El Equipo de Laboratorio de ESET Latinoamérica desarrolló las siguientes recomendaciones para los usuarios:

No seguir enlaces de extraña o desconocida procedencia.
Actualizar el sistema operativo y todos los programas. Esto incluye navegadores, plugins, visualizadores de PDF, y cualquier software instalado en el sistema.
Contar con una solución de seguridad con capacidades de detección proactiva como ESET Smart Security 6.
Ser precavido con todas las publicaciones incluyendo las que provienen de contactos conocidos. Algunos códigos maliciosos utilizan el nombre de la víctima para propagarse.
Evitar seguir enlaces vinculados a comentarios que deseen llamar la atención del usuario, tales como “Mira esto!!!” o “Puede que esto te guste!!”.

La siguiente gráfica y listado muestran el ranking internacional de amenazas detectado con el sistema estadístico ESET Live Grid a nivel global durante el mes de Mayo.

1. Win32/Bundpil

Porcentaje total de detecciones: 3.68%

Es un gusano que se propaga a través de medios removibles.

2. INF/Autorun

Porcentaje total de detecciones: 2.80%

Es un archivo utilizado para ejecutar y proponer acciones automáticamente cuando un medio externo como un CD, DVD o dispositivo USB es leído por el equipo informático.

3. HTML/ScrInject.B

Porcentaje total de detecciones: 2.62%

Detección genérica de las páginas web HTML que contiene script ofuscado o etiquetas Iframe que se redireccionan automáticamente a la descarga de malware.

4. Win32/Sality

Porcentaje total de detecciones: 2.59%

Sality es un virus polimórfico. Cuando se ejecuta inicia un servicio y crea o elimina claves de registro relacionadas con las actividades de seguridad en el sistema. Modifica los archivos .exe y .scr y desactiva los servicios y procesos relacionados a las soluciones de seguridad.

5. HTML/Iframe.B

Porcentaje total de detecciones: 2.19%

Detección genérica para etiquetas maliciosas Iframe embebidas en páginas HTML, que redirecciona hacia una URL específica con contenido malicioso.

6. Win32/Dorkbot

Porcentaje total de detecciones: 2.18%

Gusano que se propaga a través de medios removibles y contiene un backdoor. Puede ser controlado remotamente. Recolecta usuarios y contraseñas cuando el usuario utiliza ciertos sitios web.

7. Win32/Conficker

Porcentaje total de detecciones: 1.95%

Es un gusano que se propaga utilizando Internet como plataforma de ataque, aprovechando diferentes vulnerabilidades en sistemas operativos Microsoft Windows que ya han sido corregidas, además de otras tecnologías como los dispositivos de almacenamiento removible y recursos compartidos en redes. De esta manera, un atacante puede controlar el sistema de forma remota y realizar acciones maliciosas sin necesidad de utilizar credenciales de usuario válidas.

8. Win32/Ramnit

Porcentaje total de detecciones: 1.62%

Se trata de un virus que se ejecuta al iniciar el sistema. Infecta archivos .dll y .exe. También busca archivos htm y html para escribir instrucciones maliciosas en ellos. Puede ser controlado remotamente para realizar capturas de pantalla, enviar información de modo encubierto, descargar o ejecutar archivos y apagar o reiniciar el equipo.

9. Win32/Qhost

Porcentaje total de detecciones: 1.43%

Es un troyano que se copia a sí mismo a la carpeta %system32% de Windows para luego comunicarse bajo DNS con su servidor de comando y control. Win32/Qhost permite que el atacante tome el control del equipo infectado y modifica al archivo host para redireccionar el tráfico a dominios específicos.

10. JS/Iframe

Porcentaje total de detecciones: 1.16%

Es un troyano que redirecciona el navegador hacia una URL específica con código malicioso. Usualmente, se encuentra embebido en páginas HTML.

Los invitamos a ver el reporte de las amenazas destacadas de marzo en nuestro Blog de Laboratorio. Asimismo, pueden leer la nota completa accediendo a nuestro Centro de Prensa.

Para más información acerca de los principales ataques informáticos de mayo, puede visitar el reporte de las amenazas más importantes del mes publicado en el Blog del Laboratorio de ESET:

http://blogs.eset-la.com/laboratorio/2013/06/03/resumen-amenazas-mayo-2013/

4.6.13 Gusano en Skype acumula más de 700 mil cliks

Luis Montes malware , Noticias , seguridad , Skype No hay comentarios. :

Al inicio de esta campaña de propagación de malware, la mayoría de los usuarios afectados correspondían a América Latina, la variante de Win32/Rodpicom utilizada es capaz de identificar el idioma del sistema y utilizarlo para enviar el mensaje a los contactos del usuario. Esta capacidad fue la responsable de que la dispersión de este código malicioso sea tan masiva y que los reportes se incrementaran luego en Europa y otros continentes. Algunos de los países más afectados fueron Rusia, Alemania, Italia, Brasil, y Colombia entre otros, tal como lo habíamos reportado.

Los enlaces más efectivos fueron los utilizados durante las primeras horas, y a medida que se emitieron las alertas y notificaciones a los usuarios la actividad en estos enlaces comenzaron a disminuir, pero sin embargo todavía se nota una cierta actividad. Además hay que tener en cuenta que según las estadísticas provista por los diferentes acortadores de URL más del 88% de los clics provinieron de sistemas corriendo algún sistema operativo de Microsoft.

Infección y acciones principales

Los puntos más peligrosos de este ataque se encuentran durante la etapa de infección del sistema. Tal como mencionamos anteriormente, los códigos maliciosos propagados en este ataque han sido empaquetados con una versión de PowerLoader que cumple dos funciones principales. Primero infecta el sistema, salteando las protecciones del mismo e inyectando dentro de uno de los procesos principales del sistema dos archivos ejecutables que contienen lo que se conoce como Payload y luego crea una entrada en el registro de Windows para ser ejecutado al siguiente inicio. Dentro de la información contenida en el ejecutable es posible identificar 3 direcciones URL distintas, una correspondiente al Panel de Control principal que se contactará cada 15 minutos, para recibir nuevas órdenes o de dónde descargar los ejecutables.

Durante la comunicación con el C&C se envía información propia de la máquina componiendo lo que se conoce como bot_id, que incluye información tal como el tipo de sistema, versión y lenguaje que le van a permitir al atacante identificar la cantidad de usuarios reales que se han infectado con su código malicioso. Hasta el momento hemos capturado 7 amenazas diferentes relacionados con este ataque 2 identificadas como Win32/PowerLoader y 5 como Win32/Rodpicom.C.

Mensajeros afectados

Si bien la propagación a través de Skype fue el vector más efectivo y de mayor importancia en relación a este caso, no ha sido el único. Al igual que otras amenazas como por ejemplo Win32/Dorkbot, Rodpicom se propaga a través de varios mensajeros instantáneos.

se puede corroborar que Rodpicom además de propagarse por Skype es capaz de hacerlo a través de GTalk, Windows Messenger, Digsby (Una aplicación que permite conectarse a cuentas de Facebook, GTalk, ICQ entre otras) y una versión de Quiet Internet Pager.

Los resultados de este caso resaltaron la importancia de los planes de contingencia y mitigación de amenazas para muchas empresas. Los niveles de propagación han sido altos y llamativos en relación al corto período de tiempo que le llevó a esta amenaza afectar a miles de usuarios. Por otro lado, ha través de los diferentes comunicados realizados por el Laboratorio de ESET hemos visto como la heurística de los productos antivirus es capaz de alertar sobre nuevas variantes de códigos maliciosos aún antes de conocer en detalle las capacidades de los mismos. Finalmente, entender que técnicas de Ingeniería Social utilizadas hace años, siguen teniendo una efectividad muy alta y le permiten a los atacantes saltear las barreras de protección y continuar afectado a los usuarios. Cambiaron los programas que usamos pero las técnicas son igual de efectivas.

27.5.13 Skype bajo ataque, gusano infecta a más de 80mil usuarios en América Latina

Luis Montes Antivirus , ESET , Internet , malware , Noticias , seguridad , Servicios , Skype No hay comentarios. :

Basta un solo click para infectar el equipo, este gusano tiene una velocidad de propagación superior a la media.

Durante la tarde del lunes 20 de mayo, ESET Latinoamérica comenzó a recibir reportes de distintos puntos de América Latina respecto a una amenaza que se está propagando masivamente a través de Skype, especialmente en Colombia y países de Centro América.

Se trata de un gusano informático, que se propaga a través de Skype. El impacto que ha tenido en la región es significativo, con más de 80 mil personas que han hecho clic en Latinoamérica. A su vez, se ha descubierto más de un archivo relacionado a la amenaza. El gusano es detectado por los productos de ESET Win32\Kryptik.BBKB.

Según la información que se posee al momento el impacto y velocidad de propagación han sido superiores a la media. En este momento, el equipo de Laboratorio de ESET Latinoamérica está trabajando para investigar la amenaza pero resulta importante la prevención inicial de los usuarios ya que se utiliza Ingeniería Social para su propagación, dependiendo sólo de un clic para que se infecte el equipo.

La propagación se da a través de textos relacionados a fotos, con un enlace acortado por goo.gl, que vincula a otro servicio de alojamiento de archivos (como 4shared, por ejemplo). Entre otros textos, se encuentran:

• hola, son estos realmente sus fotos? [enlace]

• esta es una foto muy amable de tu parte [enlace]

• jaja, esta foto extraña de tu perfil [enlace]

Analizando las estadísticas brindadas por el acortador de URL de Google (que utiliza la amenaza para su propagación), se puede confirmar que más de 300 mil personas han hecho clic en los tres enlaces: más de 35 mil clics en Colombia y al menos 80 mil en Latinoamérica.

De acuerdo al sistema LiveGrid de ESET, los cinco países donde más se detectó la amenaza fueron: Colombia, México, Guatemala, Costa Rica y Rusia, en ese orden, siendo el 67% de las amenazas detectadas de Latinoamérica, lo que confirma que esta región ha sido el foco de la campaña.

“Tenemos motivos para pensar que se trata de nuevas versiones de una amenaza que comenzó a circular en marzo de este año, y asimismo estamos confirmando que nuevas variantes también se propagan por Gtalk, el chat de Google”, comentó Sebastián Bortnik, Gerente de Educación y Servicios de ESET Latinoamérica. “No es normal ver amenazas que se propaguen a la velocidad que lo está haciendo este gusano, en lo que va del año no habíamos visto algo similar en cuanto a esta característica en la región”, agregó.

Para más información acerca del ataque, se puede visitar el Blog de Laboratorio de ESET Latinoamérica: http://blogs.eset-la.com/laboratorio/2013/05/21/alerta-gusano-propaga-velozmente-skype-100-mil-afectados/.

3.5.13 Malware Linux/Cdorked.A. ataca Servidores web, en Brasil, Argentina y México

Luis Montes Internet , Linux , malware , Noticias , seguridad No hay comentarios. :

Según reporta el Laboratorio de Investigación de ESET Latinoamérica, los cibercriminales utilizaron durante abril servidores web vulnerados como técnica preferida para propagar malware.

Sin embargo, dicha técnica no sólo incluye la vulnerabilidad de servidores, sino también el uso de troyanos diseñados específicamente para redirigir a las víctimas hacia la descarga de diversas amenazas. Tal fue el caso del troyano Linux/Cdorked.A, backdoor recientemente descubierto por ESET y Sucuri, que afectó miles de sitios alojados en servidores Apache, según detectó el sistema de alerta temprana ESET LiveGrid®.

Asimismo, esta modalidad de ataque destacada durante abril tuvo a los blogs como uno de los servicios más vulnerados en Latinoamérica, con el propósito de propagar amenazas como Win32/TrojanDownloader. Banload sin que la víctima se percate de lo ocurrido.

Con esta técnica, los atacantes buscan evitar el uso de computadoras propias o servidores exclusivos dedicados a alojar código malicioso, logrando de esta forma mayor cobertura en sus ataques y menor grado de exposición. Con los sitios web comprometidos, lo único que hacen los cibercriminales es aprovechar el tráfico del sitio vulnerado o dirigir a las potenciales víctimas con campañas maliciosas, esperando que alguna sea infectada con malware.

Otra de las características de estos sitios comprometidos, es que una vez que la víctima ingresa al sitio web automáticamente se inicia la descarga del código malicioso, sin que el usuario se percate o autorice la descarga.

Ante la creciente detección de casos de servidores vulnerados, el Laboratorio de Investigación de ESET Latinoamérica realizó un estudio contemplando sólo detecciones que indicaran la presencia de iframes, rutinas que pueden ser usadas para explotar vulnerabilidades y descargar códigos maliciosos desde servidores remotos, transformando así sitios web legítimos en medios de infección.

Según el informe, más del 42% del total de servidores vulnerados en Latinoamérica corresponden a Brasil. Le siguen Argentina con el 19%, y México con más del 11% del total.

Continuando con el análisis, se determinó la cantidad de códigos maliciosos dispersos a lo largo de los ya mencionados servidores. Siempre contemplando amenazas del tipo iframe, se determinó que las muestras alojadas siguen un lineamiento similar al de los servidores vulnerados. Específicamente, más del 36% del total de las muestras analizadas se encuentran alojadas o son propagadas a través de servidores legítimos de Brasil. A esta disposición, le sigue Argentina con casi el 19% y México con más del 13%. Estos datos se complementan con los antes expuestos, ya que existen más códigos maliciosos alojados en servidores brasileños debido a que existen más de ellos vulnerados.

Para más información acerca de los principales ataques informáticos de abril, puede visitar el reporte de las amenazas más importantes del mes publicado en el Blog del Laboratorio de ESET: http://blogs.eset-la.com/laboratorio/2013/04/30/resumen-amenazas-abril-2013.

16.3.13 Black Facebook

TAXZY Antivirus , Facebook , Internet , malware No hay comentarios. :

Recientemente gran cantidad de usuarios de Facebook se han visto afectados por un nuevo virus, que bajo la promesa de cambiar de la plantilla clásica por una nueva, se ha ido propagando a través de la red.

13.3.13 Riesgos de usar software pirata

Luis Montes Estudios , malware , México , Microsoft , Noticias , piratería , seguridad , Software No hay comentarios. :

En México uno de cada tres consumidores y tres de cada 10 empresas utilizan una versión ilegal de Windows, el sistema operativo de Microsoft, lo que deriva en un gasto para las compañías que alcanza los 1.3 millones de dólares anuales, destinados a arreglar problemas de malware y 27 millones de horas invertidas por parte de los usuarios en tratar de resolver este mismo problema durante ese mismo lapso de tiempo, reveló un estudio realizado por la consultora IDC.

De acuerdo con los resultados del "The Dangerous World of Counterfeit and Pirated Software", el 45 por ciento del total de software ilegal, que no viene incluido en la computadora, proviene de Internet, el 78 por ciento de esos sistemas operativos descargados de sitios web y redes P2P incluían algún tipo de spyware, y 36 por ciento contenía troyanos y adwares (programas creados para mostrar publicidad sin el consentimiento del cliente).

A consecuencia de esto, 42 por ciento de los usuarios nacionales aseguraron que su computadora se alentó mucho, el 21 por ciento dijo que no funcionó el programa, el 21 por ciento sufrió una infección en su equipo y el 26, afirma que sus PCs se llenaron de pop-ups.

25.2.13 Falso Crack para Crysis 3 propaga malware entre gamers

Luis Montes ESET , Hackers , Internet , Juegos , malware , Noticias No hay comentarios. :

ESET, compañía líder en detección proactiva de amenazas alerta a todos los fanáticos de los videojuegos ya que el videojuego de disparos en primera persona Crysis 3, uno de los títulos más esperados de 2013, ha sido usado por cibercriminales para desarrollar códigos maliciosos diseñados para aprovechar la ansiedad de los fanáticos por acceder a la nueva versión. Las muestras analizadas en este post son detectadas por ESET como: Win32/Ainslot y Win32/TrojanDownloader.Wauchos.

Como ha sido mencionado en ocasiones anteriores, una de las estrategias de propagación de amenazas más habitual es la aplicación de técnicas de Ingeniería Social adaptadas especialmente para explotar diversas temáticas de actualidad y apelar a intereses específicos de ciertos usuarios -en este caso, jugadores-.

De acuerdo a investigaciones del Laboratorio de ESET Latinoamérica, se ha descubierto la publicación de falsos cracks (parches que permiten modificar el software original para ser utilizado sin licenciamiento) del programa cuyo objetivo es infectar al equipo y abrir una puerta trasera a la espera de que el atacante envíe comandos remotos. El sistema infectado puede ser utilizado por los cibercriminales para descargar nuevas variantes de la amenaza, lanzar ataques DoS en contra de otros equipos, registrar lo que teclea el usuario (keylogger), captura de la cámara web, entre otras operaciones.

Los falsos cracks han sido desarrollados como archivos de gran tamaño que van desde los 7 MB hasta los 33 MB. Es probable que esto se deba a que, frente a un supuesto archivo de bajo peso, algunas personas sospecharían que se trata de algo malicioso o falso. También a los fines de sumar credibilidad al engaño, los iconos son idénticos a los del ejecutable del juego original. En otras oportunidades los cibercriminales incluso recurren a la creación de uno nuevo en base al diseño del videojuego.

Por otro lado, muchas de estas amenazas muestran al momento de ejecutarse, errores falsos que le informan al usuario que el juego no ha podido ser “crackeado” o incluso, copian el crack “funcional” mientras realizan acciones maliciosas- como el caso del malware que afectó a usuarios del juego Prototype 2.

El falso crack de Crysis 3 viene en el interior de un ZIP o RAR cuyo nombre suele ser “Crysis 3 crack” o similar. Dentro del archivo comprimido es posible encontrar tanto el ejecutable malicioso como un fichero de texto que muestra las supuestas instrucciones y la descripción del juego. A continuación, se muestra una captura del icono utilizado en las cuatro variantes de malware analizadas en este post. Destaca el uso de un icono de alta resolución para engañar a la potencial víctima:

Si la víctima ejecuta este supuesto archivo (Win32/Ainslot), procede a copiarse en la carpeta temporal de ese usuario de Windows como biocredprov.exe. Posteriormente, muestra dos mensajes falsos de error. El primero indica que el archivo “Activation.dll” no ha podido ser cargado y el segundo menciona que la computadora no cuenta con la memoria suficiente. A continuación aparece una captura de ambos mensajes:

Luego, el código malicioso abre una puerta trasera (backdoor) en la computadora infectada y espera a que un atacante envíe comandos remotos. La lista completa de acciones maliciosas puede ser consultada en la descripción de Win32/Ainslot disponible en Virus Radar. En los cuatro casos analizados, tanto el tamaño como el icono son adecuados al contexto. Pese a todos los detalles, de las cuatro amenazas analizadas, solo una incluye información relacionada al juego dentro de las propiedades del ejecutable. La siguiente captura muestra las propiedades de dos variantes, una con información incoherente y otra con los datos “correctos”:

En la captura 1 es posible ver cómo la información (descripción, nombre de producto y copyright) que se proporciona no corresponde con Crysis 3, no obstante, en la otra muestra analizada, los cibercriminales mejoraron este detalle tal como se observa en la imagen 2. Con respecto a esto es importante aclarar que esos campos no son una forma fiable de comprobar si un ejecutable es legítimo o no. En el caso de la imagen 2 la información es correcta, sin embargo, son datos que los mismos cibercriminales insertan y no tiene relación con el desarrollador del juego.

Como se puede observar, los cibercriminales se aprovechan de esta situación para conseguir nuevas víctimas y de ese modo, obtener ganancias ilícitas. Implementar una solución de seguridad como ESET Smart Security permite proteger una computadora de esta y otras amenazas. Por otro lado, le recomendamos a los jugadores configurar el “modo de juego” disponible en losproductos ESET. De este modo, se disminuye el consumo de recursos y se evita que se muestre algún mensaje que pueda interrumpir la experiencia del juego.

20.1.13 Malware vía SMS

Luis Montes celulares , Facebook , malware , Mensajes , Noticias , Redes Sociales , SMS , telefonía No hay comentarios. :

Hace un par de meses les platicamos acerca de que ESTET descubre troyano SMS y en estos días comienza a propagarse una nueva amenaza la cual contiene un Scumware.

El scumware es un tipo de software similar al spyware, que modifica en tiempo real los sitios web (u otras aplicaciones), cambiando la apariencia de la página, su contenido y estructura sin permiso del usuario que visita dicho sitio. Es decir que una vez alojados en el sistema del usuario, puede modificar los banners de publicidad, agregar información falsa en las páginas, añadir enlaces publicitarios sin permiso, etc. De esta forma, el usuario pensando que el sitio web promociona un enlace o un banner, ingresará al mismo y será redirigido a un sitio dañino.

La forma de como se propaga inicia cuando recibes un mensaje de texto enviado desde un servicio de Facebook; el mensaje te invita a ver unas fotos que se encuentra en un sitio de internet el cual se encuentra infectado por Scumware.

Te recomendamos no hacer caso al mensaje.

30.12.12 Twitpic bloqueado en Google Chrome por supuesto malware

Luis Montes Google , Google Chrome , malware , Noticias , Redes Sociales , seguridad , Twitpic 1 comentario :

Si intentas acceder desde tu navegador Google Chrome al sitio Twitpic.com te aparecerá el siguiente mensaje: twitpic.com contiene software malintencionado. Tu ordenador podría infectarse con un virus si accedes a este sitio.

Ademas de que también el perfil de twitter de Twitpic, si accedes igualmente desde Google Chrome aparece el siguiente mensaje:

twitter.com incluye contenido de twitpic.com, un sitio conocido por distribuir software malintencionado. Tu ordenador podría infectarse con un virus si accedes a este sitio.

El problema e debe a que de las 12029 páginas analizadas en el sitio durante los últimos 90 días, 0 página (s) dieron lugar a software malicioso que había sido descargado e instalado sin el permiso del usuario. La última vez que Google visitó el sitio fue el 30/12/2012, y contenido sospechoso fue encontrado en este sitio durante los últimos 90 días.

Mediante un comunicado en Twitter, han anunciado que se encuentran contactando con Google para resolver el problema

Suscribirse a: Entradas ( Atom )

6.1.14

13.11.13

17.10.13

7.10.13

5.10.13

17.9.13

13.9.13

10.9.13

7.8.13

25.7.13

11.7.13

10.6.13

4.6.13

27.5.13

3.5.13

16.3.13

13.3.13

25.2.13

20.1.13

30.12.12

Lo mas leído de la semana

Archivo del blog

Visitas

Editores