Informe de ESET

A pocos días de la celebración de San Valentín, es común observar que los cibercriminales empiezan a utilizar con mayor frecuencia falsas postales, poemas o cartas de amor para propagar amenazas.

En concordancia, en el día de hoy hemos recibido en nuestro laboratorio un correo electrónico que, aunque utiliza una vez más el día de los enamorados como táctica de Ingeniería Social para expandir algún tipo de código malicioso, intenta innovar dentro del mismo tema. En esta ocasión los ciberdelincuentes eligieron tentar a las potenciales víctimas haciéndolas creer que son ganadoras de un supuesto concurso de San Valentín organizado por una conocida aerolínea de origen chileno en la que se señala que el usuario resultó seleccionado en el sorteo de un paquete turístico a Punta Cana.

Supuestamente, este incluye dos pasajes ida y vuelta con todo pago por tres días y dos noches. El formato utilizado en el correo es muy similar al que emplea esta empresa de vuelos comerciales en sus boletines informativos, sin embargo, se puede apreciar que después de “Estimado” se incluye de forma genérica “Cliente” en vez del nombre del mismo como lo hace la compañía.

El malware ha sido detectado por ESET NOD32 Antivirus como una variante de Win32/Injector.NTU troyano.

Si Injector.NTU es ejecutado intentará conectarse a otro sitio de donde bajará una variante del prolífico gusano botnet Win32/Dorkbot.B, cuyo fin es convertir la computadora de la víctima en zombi para que quede a la espera de instrucciones remotas de un servidor centralizado que pueden ser desde la obtención de una captura de pantalla de lo que el usuario esté haciendo hasta la ejecución de más códigos maliciosos o la obtención de información sensible.

ESET recomienda ser muy precavidos al momento de abrir correos y seguir hipervínculos incluso si quien los envía es un conocido o es parte de un servicio al cual se esté suscrito. En nuestra Guía para identificar correos falsos se explican algunos consejos para identificar mensajes ilegítimos. También es imprescindible que el usuario sepa cómo descubrir si se trata de un enlace engañoso.

Fuente e ilustración: ESET

Anuncios

Informe de ESET

Durante octubre se detectó una serie de aplicaciones maliciosas publicadas en el Android Market cuyo objetivo era el secuestro de datos.

Además, el Laboratorio de ESET Latinoamérica detectó una nueva técnica de ataque a equipos móviles a través del envío masivo de mensajes de texto con el fin de subscribir a los usuarios a un servicio de SMS pago.

Durante los últimos días se reportaron una serie de aplicaciones maliciosas bajo el nombre de Gone in 60 seconds publicadas en el Android Market, sistema abierto de distribución de contenidos para dispositivos basados en el sistema operativo Android que permite a sus usuarios navegar, comprar, instalar y descargar aplicaciones desarrolladas por terceros. Simulando ser un software para realizar una copia de seguridad de los datos contenidos en el dispositivo -conocido comúnmente como backup-, la aplicación secuestra la información del teléfono para luego solicitar un pago para acceder a ella.

Cuando el usuario ejecuta la aplicación por primera vez en su dispositivo móvil, toda la información contenida en él -incluyendo sus contactos, mensajes de texto, historial de llamadas e historial del navegador- es enviada a un servidor remoto. A partir de ese momento, supuestamente, podrá acceder a todos los datos desde una página web.

El inconveniente para el usuario surge al momento de intentar recuperar su información, ya que al ingresar al sitio web provisto por la aplicación encontrará solamente su lista de contactos. Mientras que para poder acceder al resto de la información se le solicitará el pago de 5 dólares.

“Al momento de realizar la instalación de una aplicación en los dispositivos móviles, se recomienda a los usuarios corroborar la reputación del desarrollador, los permisos que solicita y además utilizar herramientas de seguridad que permitan una correcta administración de su información. La creciente utilización de dispositivos móviles los convierte en objetivos interesantes para el desarrollo de amenazas informáticas, motivo por el cual es fundamental proteger nuestros equipos y ser conscientes del valor que la información que éstos transportan tiene para cada uno de nosotros”, aseguró Sebastián Bortnik, Coordinador de Awareness & Research de ESET Latinoamérica.

Puede leer más sobre el caso visitando el Blog de Laboratorio de ESET Latinoamérica: blogs.eset-la.com

Además, el Laboratorio de ESET Latinoamérica detectó una nueva técnica de ataque a equipos móviles que consiste en el envío masivo de mensajes de texto al número telefónico de la víctima. Esto genera un fuerte problema de rendimiento en el equipo, que se vuelve prácticamente imposible de utilizar.

Los mensajes de texto que recibe la víctima cuentan con un número de PIN que debe ser ingresado en una página web o enviado como respuesta del mensaje recibido. Si el usuario realiza tal acción, su número de teléfono será confirmado como válido para el alta de un servicio de mensajes de texto pago.

“Entre otra de las problemáticas que genera este tipo de ataques, tenemos que tener en cuenta que el número provisto por el atacante ha sido confirmado como válido y puede ser utilizado para futuras campañas de propagación de spam o de otro tipo de amenaza”, concluyó Bortnik.

Para más información acerca de los principales ataques informáticos de octubre, puede visitar el reporte de las amenazas más importantes del mes publicado en el Blog del Laboratorio de ESET: blogs.eset-la.com

Informe de ESET

Tsunami es una variante de un código malicioso para Linux detectado en 2002 cuyo principal objetivo es reclutar equipos Mac para formar parte de una botnet.

ESET, empresa dedicada a la detección proactiva de amenazas, ha reportado la aparición de una nueva versión del troyano Linux/Tsunami, adaptada para atacar sistemas operativos Mac OS. Se trata de una nueva variante de un código malicioso aparecido en 2002 para sistemas operativos Linux que convierte al equipo en integrante de una botnet utilizada para realizar ataques de DDoS (Denegación Distribuida de Servicios), detectada por ESET Cybersecurity para Mac como OSX/Tsunami.A.

Como su predecesor para Linux, Tsunami contiene una lista de servidores IRC (Internet Relay Chat) y canales a los que intenta conectarse. Cuando se acciona, los equipos infectados pueden atacar páginas webs por medio del envío de grandes cantidades de peticiones que sobrecargan los servidores e impiden su funcionamiento, lo que se conoce como un ataque de Denegación de Servicios Distribuido (DDoS).

“Como anticipamos en nuestro informe Tendencias 2011, el malware dinámico – categoría que integra Tsunami – sería una novedad que estaríamos viendo este año. Se trata de códigos maliciosos que comienzan por infectar el sistema para luego, a través de algún acceso remoto al equipo afectado, permitir al atacante utilizarlo para diversas tareas. Es decir, pasan a formar parte de una botnet, red de PCs zombie, que estará a disposición del cibercriminal para efectuar actividades maliciosas”, aseguró Sebastián Bortnik, Coordinador de Awareness & Research de ESET Latinoamérica.

Además, el troyano abre una puerta trasera en el equipo que puede ser utilizada para la descarga de nuevo malware, la actualización del código de Tsunami o, incluso, el control completo del equipo infectado por parte del ciberatacante.

Para más información sobre el descubrimiento de Tsunami para Mac OS puede visitar el Blog de Laboratorio de ESET Latinoamérica: blogs.eset-la.com

Hace apenas unas horas se descubrió además una nueva variante de la amenaza que incluye dos nuevas características. Con la actualización, Tsunami tiene también capacidades para replicarse a sí mismo de modo de asegurar su ejecución en el equipo luego de cada reinicio. Además, dispone de información actualizada del servidor remoto al cual reporta.

“De acuerdo a nuestras investigaciones, probablemente se trate de un código malicioso experimental que se encuentra en proceso de evaluación por parte de los desarrolladores. Seguiremos la evolución del caso para mantener informados a los usuarios”, concluyó Bortnik.

Mes de abril

La intrusión a la red de Sony expuso los datos de 77 millones de usuarios de la popular consola de videojuegos. Además, durante Abril, se verificaron casos de phishing y rogue a través de Skype.

Durante abril, un acceso no autorizado al sistema de Sony expuso los datos de 77 millones de cuentas de usuarios de PlayStation. Entre la información extraída se encontraría nombre, dirección (estado, ciudad y código postal), dirección de correo electrónico, fecha de nacimiento, contraseña y usuario de PlayStation Network y, posiblemente, datos de tarjetas de crédito.

“Dado que todos los usuarios de PlayStation Network han sido afectados, es recomendable cambiar la contraseña y, si desean una mayor seguridad, siempre es factible cancelar la tarjeta de crédito y pedir su reemplazo, ya que es posible que esos datos hayan sido comprometidos y podrían afectar su economía. Por otra parte, la exposición de datos puede hacer que circulen correos fraudulentos, por lo tanto, recuerden siempre verificar la legitimidad de los mismos”, aseguró Federico Pacheco, Gerente de Educación e Investigación de ESET.

Por otra parte, durante Abril, los usuarios de Skype reportaron llamadas no identificadas informando que su equipo había sido atacado por un malware y debían visitar una página web para desinfectar el sistema. Pero en realidad, se trataba de una amenaza denominada vishing, una modalidad de phishing combinada con telefonía de voz sobre IP (VoIP) que hace uso de la Ingeniería Social con el fin de obtener información sensible del usuario, como puede ser número de tarjeta de crédito, PIN, etc.

Al atender la llamada, una voz grabada afirma que el sistema ha sido infectado y que todos los usuarios de Microsoft Windows XP, Vista y 7 se encuentran en situación de riesgo. Por último invita en reiteradas ocasiones a visitar una página web en la que se encuentra una amenaza del tipo rogue, es decir, un falso antivirus que intentará cobrar al usuario por desinfectar su equipo.

“Si bien el usuario que realizó estos ataques ya ha sido reportado, es muy probable que aparezcan nuevos intentos, por lo que se recomienda cambiar la configuración de Skype y habilitar únicamente las llamadas entrantes de usuarios que se encuentran en nuestra lista de contactos. Como queda evidenciado, los ciberatacantes están continuamente explorando nuevos medios para acceder a los usuarios, por lo que es importante mantenerse atentos”, concluyó Sebastián Bortnik, Coordinador de Awareness & Research de ESET.

Fuente: ESET.

Informe de ESET para enero

El ranking de amenazas, encabezado por códigos que atacan a jugadores online, que aprovechan la función Autorun de Windows y que descargan troyanos en los equipos, aunque sigue muy presente la familia Conficker.

ESET ha publicado el primer ranking mensual de amenazas de 2011, que refleja la actividad que han tenido los principales códigos maliciosos durante el mes de enero y resume las principales incidencias de seguridad.

Los tres códigos más detectados en enero, según los datos estadísticos proporcionados por el servicio Threatsense.net de ESET, corresponden con las tres amenazas dominantes en diciembre de 2010. PSW.OnLineGames, INF/Autorun y TrojanClicker.Agent se mantienen al frente del ranking de amenazas más activas.

En el ranking destacan también dos códigos de la familia Conficker, que en conjunto siguen representando una buena parte del total de amenazas. A pesar de haber sido descubierta hace más de dos años y subsanada por Microsoft, la vulnerabilidad sigue moviéndose por los equipos de los usuarios aprovechando un fallo en el subsistema de Llamadas a Procedimientos Remotos (RPC, por sus siglas en inglés) para permitir a un atacante ejecutar un código en forma remota sin las credenciales de usuario válido.

Enero ha sido, en general, un mes bastante prolífico en lo que se refiere a malware y fallos de seguridad en dispositivos móviles, donde también hemos visto cómo se desvelaban nuevos datos del malware estrella del pasado año, Stuxnet. Asimismo, las redes sociales también se han visto afectadas por campañas de propagación de spam y códigos maliciosos, sin olvidar medios tradicionales como el email como vector de infección. Y todo esto en un mes de enero en el que se celebraba el 25 aniversario de la distribución del primer virus informático.

Dispositivos móviles
Los dispositivos móviles han comenzado a sufrir desde el inicio de 2011 diversas amenazas. Geinimi, un troyano que se empezó a propagar en China, fue descubierto a principios de año; lejos de conformarse con robar información confidencial del usuario, también le instaba a instalar o desinstalar aplicaciones del dispositivo. Un análisis más profundo de este malware descubrió que permitía establecer comunicación y recibir órdenes desde un centro de control, por lo que un móvil infectado con Geinimi podría entrar a formar parte de una botnet.

Siguiendo con la plataforma Android, este mes también se dio a conocer una vulnerabilidad en el propio sistema que permitiría a un atacante acceder a la tarjeta de memoria del dispositivo y robar datos de la misma sin que el usuario se diese cuenta. Este fallo de seguridad afecta a todas las versiones de Android actuales (2.2 y anteriores), aunque se prevé una solución para la 2.3.

Redes sociales
Facebook y Twitter han sido objeto este mes de las campañas de propagación de falsos antivirus. Estas aplicaciones maliciosas han buscado aumentar la cantidad de usuarios infectados, propagándose a través de enlaces acortados en Twitter y la creación de perfiles en Facebook. Sin duda, los ciberdelincuentes han visto que usar estos servicios como vector de ataque ofrece muchas posibilidades y el porcentaje de éxito con respecto a los medios tradicionales como el email es muy superior.

Armas de guerra
Otro tema que seguirá dando mucho que hablar durante este año son los ataques a las infraestructuras críticas. Durante enero han aparecido nuevas informaciones acerca de Stuxnet, especialmente después de que el Washington Post publicara un extenso reportaje en el que apuntaba a Estados Unidos e Israel como autores de este malware y con la finalidad de retrasar todo lo posible el programa nuclear iraní. Todavía existen muchas incógnitas acerca de este código malicioso y pasará bastante tiempo hasta que sepamos toda la verdad acerca de él, pero algunos periodistas ya lo han reseñado como un ejemplo de ciber-arma y no descarta que veamos más ataques de este tipo en un futuro cercano. Sin ir más lejos, en enero se descubrió que otro software de gestión de infraestructuras críticas muy usado en China tenía graves vulnerabilidades.

Fuente: ESET.

Diciembre 2010

Durante el último mes del año, la Ingeniera Social enfocada en las fiestas fue una de las principales estrategias utilizadas por los ciberatacantes. Además, se han descubierto dos casos de rogue de rápida propagación en la red que buscan estafar a los usuarios.

Durante diciembre, fueron registrados nuevos códigos maliciosos que utilizaban la Navidad como temática de engaño para propagarse. También, dos casos de falsos antivirus que buscaban robar dinero al usuario lograron una rápida propagación en la red, según informa la compañía de seguridad informática ESET.

Durante diciembre se descubrieron dos casos de rogue con una amplia tasa de infección en la red, conocidos con el nombre de “Privacy Guard 2010″ y “Antivirus 2010″. Como la mayoría de estas amenazas, son ataques que muestran en la pantalla del usuario advertencias llamativas respecto a la existencia de infecciones en el equipo. La persona es invitada luego a descargar la versión completa de la supuesta solución de seguridad y a pagar por ella, de modo que el fin de estas amenazas es robar dinero al usuario.

La particularidad de estos casos es su creciente profesionalización ya que con el objetivo de obtener mayores beneficios económicos, las interfaces gráficas son cada vez más prolijas y se encuentran traducidas a varios idiomas.

“El rogue es una de las amenazas que mayor crecimiento ha tenido en los últimos años. Para protegerse, es recomendable contar con una solución de seguridad antivirus con capacidades de detección proactiva así como también es importante que el usuario esté atento para identificarlos. Algunas cuestiones que pueden indicarnos que se trata de un falso antivirus son su descarga en el equipo sin la autorización del usuario o el hecho de que encuentre una gran cantidad de códigos maliciosos al hacer un análisis pero nunca puntualice en qué archivos”, señaló Sebastián Bortnik, Coordinador de Awareness & Research de ESET.

Aprovechando la víspera de Navidad, se distribuyó un hoax -correo electrónico enviado masivamente que contiene una información falsa- cuya función era recolectar información de correos electrónicos válidos para luego ser utilizados con fines maliciosos. Para atraer la atención de los usuarios, el mismo prometía la posibilidad de regalar cheques de 1000 dólares con motivo de las fiestas.

Para acceder al premio, el usuario debe luego seguir un enlace que permite al ciberatacante validar una cuenta activa de Facebook y continuar propagando la amenaza por medio de un mensaje en el muro de la víctima.

“Las redes sociales son plataformas cada vez más utilizadas por los ciberatacantes para propagar amenazas informáticas, dada la masificación de su utilización. Es importante mantenerse atentos para no caer en este tipo de engaños que persiguen obtener, aunque sea indirectamente por medio de la recolección de correos electrónicos, ganancias económicas”, aseguró Federico Pacheco, Education & Research Manager de ESET Latinoamérica.

Ranking de propagación

– INF/Autorun asciende al primer puesto con el 6,32 por ciento del total de detecciones. Este malware es utilizado para ejecutar y proponer acciones automáticamente cuando un medio externo, como un CD, DVD o dispositivo USB, es leído por el equipo.

– Win32/Conficker desciende luego de diez meses en la cima del ranking a la segunda posición con el 4,61 por ciento del total de detecciones.

– Win32/PSW.OnlineGames se mantiene en el tercer lugar con el 2,91 por ciento y es una de las amenazas con mayor vigencia consecutiva entre las primeras posiciones del ranking mundial de propagación de malware.

– Win32/Sality aparece en la cuarta posición con el 2,01 por ciento del total de detecciones. Se trata de un virus polimórfico que cuando se ejecuta inicia un servicio y crea o elimina claves de registro relacionadas con las actividades de seguridad en el sistema.

– Finalmente, INF/Conficker El JS/TrojanDownloader.Pegel.BR aparece por primera vez en el ranking y se ubica en la quinta posición con el 2,29 por ciento del total de detecciones. Se trata de un script ofuscado que es insertado en las páginas web y redirecciona a otros sitios infectados desde los cuales se descargan y ejecutan códigos maliciosos en el equipo de la víctima.

Fuente: ESET.

Intensa actividad criminal

La empresa presenta los acontecimientos más relevantes en materia de Seguridad Informática durante este año.

Los especialistas del Laboratorio de Análisis e Investigación de ESET presentan los hechos más relevantes en materia de códigos maliciosos que afectaron el mundo digital de los usuarios.

Ataques dirigidos
Se destacan dos hechos relevantes relacionados a ataques dirigidos. Uno de ellos, ocurrido a pocos días de comenzar el año, se dio a conocer con el nombre de “Operación Aurora” y tuvo como objetivo robar información de propiedad intelectual a grandes empresas tecnológicas, entre las que estuvo incluida Google. El ataque consistió en el envío de correos electrónicos maliciosos dirigidos a personas con altos cargos dentro de las compañías afectadas. Durante el proceso de infección se intentaba explotar en el sistema de la víctima una vulnerabilidad del tipo 0-day en Internet Explorer, a través de técnicas de Drive-by-Download.

El otro ataque dirigido destacado tuvo como protagonista al gusano Stuxnet. En este caso, el código malicioso, diseñado para causar daño en sistemas SCADA y especialmente a dos productos de la empresa Siemens, utilizaba diversas vulnerabilidades 0-day en Windows para propagarse por todo el mundo. Esta amenaza logró infectar 45.000 sistemas de control industrial.

Redes botnet
Las redes botnet también han ocupado un lugar destacado en este 2010. Zeus, el panel de administración de botnet más utilizado en todo el mundo, ha tenido diversas apariciones a lo largo del año vinculadas al robo de información de credenciales bancarias. A su vez, esta botnet ha estado asociada a muchos de los códigos maliciosos más populares del año, como por ejemplo, Koobface.

Cabe destacar que Zeus recobró protagonismo en los últimos meses ya que su autor anunció el fin del desarrollo del mismo y su posible fusión con SpyEye, otro crimeware similar también especializado en el robo de información bancaria.

La persecución a administradores de botnet y criminales asociados a este negocio delictivo es una práctica que se desarrolló intensamente durante el año. Al inicio del 2010 se realizó el desmantelamiento – proceso para dar de baja las redes, conocido en inglés como takedown – de dos importantes redes “Mariposa” y “Waledac”. Mientras que en el segundo semestre se observó en Holanda el desmantelamiento de “Bredolab”, otra importante red que durante dos años infectó más de 30 millones de sistemas, aunque algunos indicios aún permiten identificar actividad de nuevas variantes de este troyano. A su vez, aunque no pudo ser desmantelada, fueron dados de baja algunos de los centros de comando y control de Koobface, lo cual permitió conocer detalles de su funcionamiento.

Finalmente, se destacaron el uso de las tecnologías para administrar botnet desde Twitter. Durante este año, en dos oportunidades, se alertó sobre la existencia de aplicaciones maliciosas que posibilitan la generación de malware para la creación de zombies administradas a través de Twitter.

Otras amenazas destacadas
Finalizando el resumen de las amenazas más importantes del 2010, resulta importante destacar la continuidad del gusano Conficker, infectando organizaciones a lo largo de todo el mundo. El gusano, que surgió en el año 2008, aún sigue en funcionamiento y con tasas de infección muy elevadas.

A su vez se han detectado amenazas para sistemas operativos Mac OS, plataforma que ha sufrido algunos incidentes asociados a troyanos informáticos y que también han sido propagados en Linux.

Por otra parte, se han identificado nuevas variantes de malware para dispositivos móviles, especialmente para los sistemas operativos en crecimiento, como es el caso de Android que este año tuvo su primer troyano SMS, por el cual los usuarios infectados enviaban mensajes de texto a números pagos, generando así una pérdida económica para la víctima.

Fuente: ESET.