Como parte del trabajo de investigación realizado por el Laboratorio ESET Latinoamérica se realizó el seguimiento de Dorkbot, el código malicioso con mayor índice de detección durante  todo el 2011 para la región. Días atrás compartimos con ustedes el reporte de esta familia de códigos maliciosos propagándose a través del chat de Facebook, Windows Live Messenger  y los dispositivos USB. Ahora les presentamos el informe completo “Dorkbot: conquistando Latinoamérica“.

A lo largo del artículo, se analizan las diferentes variantes de este código malicioso, las estadísticas de detección para los diferentes países de la región y además el estudio de un caso real que se propaga en Latinoamérica con el objetivo de robar credenciales bancarias de Chile y Perú. Las características de este gusano y su habilidad para propagarse a través de la explotación de accesos directos en los dispositivos de almacenamiento masivo potenciaron su elección como el crimepack  más utilizado en la región:

Dorkbot es parte de una suite de herramientas, denominadas crimepacks, las cuales son utilizadas para crear malware y obtener beneficios de él. Los crimepacks pueden ser adquiridos por los cibercriminales con el objetivo de realizar ataques para el robo de información. Esto significa que una vez que cuentan con el paquete de construcción pueden realizar distintas campañas de propagación de códigos maliciosos a lo largo de la región.

Observando las estadísticas de detección para América Latina vemos el crecimiento de esta familia de códigos maliciosos, y cómo desplazó de los primeros lugares a amenazas como INF/Autorun y Win32/Autorun durante el final del 2011. El valor más alto se registró en septiembre pero a meses de la aparición de la primera variante de este gusano (en abril), su nivel de detecciones creció considerablemente.

Otro de los puntos a tener en cuenta acerca de esta amenaza es la amplia diferencia entre su utilización en América Latina y el resto del mundo. Durante el mes de diciembre de 2011, el porcentaje de propagación de esta amenaza en la región fue del 8%, mientras que en Europa fue del 0,8% y en Norteamérica fue de apenas 0,26%. Desde el Laboratorio de Análisis e Investigación de ESET Latinoamérica se realizó el seguimiento de este crecimiento en los países de la región.

Recuerden que pueden leer el informe completo en la sección de Informes y Tendencias en el Centro de Amenazas de  ESET Latinoamérica. Continuaremos compartiendo con ustedes información acerca de las investigaciones realizadas por el Laboratorio y el seguimiento de esta amenaza y sus ataques en la región.

Pablo Ramos
Especialista de Awareness & Research

Promedio: 3.67

Compartir en |

• Botnets en Latinoamérica: campañas de propagación en el chat de Facebook y Messenger
• AutoRun.VB.UG: Gusano que dificulta el análisis dinámico
• Podcast: Red hogareña segura

Categorias: Estadísticas, Malware
4 Comentarios »

A pesar de los reiterados intentos por parte del personal de Google por mantener segura la tienda en línea de su sistema operativo para móviles, Android Market; siguen apareciendo amenazas como la reportada por Appriva durante estos últimos días.

Las aplicaciones afectadas son algunas versiones de Baloon Game y Deal or BE Millionaire, entre otras. En este caso, las muestras son identificadas bajo el nombre de Android/Plankton por ESET NOD32 Antivirus.  Este troyano se conecta de forma remota con un servidor enviando un mensaje con los datos más importantes del dispositivo como el fabricante, modelo, ID y demás.

En el análisis se puede observar el momento en que se realiza la conexión entre el cliente infectado y el servidor, donde las partes ofuscadas son los datos del dispositivo de la víctima que se envían. Esta muestra, tiene un funcionamiento similar a otra de Plankton que ya había sido analizada en nuestros laboratorios. Allí, se mostraba cómo el código malicioso que infecta el dispositivo envía los datos antes mencionados a un servidor, transformando el aparato en un bot y luego queda a la espera de un mensaje. Este, contiene los comandos con los que se comunicarán el bot y el Panel de Control asociado.

Ver mas… »

Vota primero

Compartir en |

• Angry Birds Rio troyanizado en el Android Market
• Limpieza en el Android Market
• Secuestro de datos en el Android Market

Categorias: Alertas, Malware
Dejar un comentario »

Los hechos ocurridos durante la última semana referidos al cierre por parte del FBI del popular sitio de almacenamiento de archivos Megaupload, han generado diversos artículos y opiniones en Internet, tanto por el debate respecto a la propiedad intelectual, como así también por los hechos sucedidos posteriormente por los ataques hacktivistas de Anonymous. Sin embargo, hay un eje que también vale la pena conversar: ¿qué ha ocurrido con la información personal que muchos usuarios han perdido? Más allá de las implicancias legales sobre este tema, siempre es una buena oportnidad para hablar de la importancia de tener siempre un backup de la información.

Ya hemos hablado en varias oportunidades sobre este tema, incluso analizando los aspectos más importantes de los backups. En dicho post, hablabamos sobre la importancia de analizar qué información se desea respaldar, y esta decisión siempre va sopesada (al menos vagamente) con un análisis de riesgos: ¿hay alguna probabilidad de perder dicha información? Lo que pasa en muchos casos, probablemente como el presente de Megaupload, es que los usuarios no hacen backup porque consideran que no hay riesgos de que dicha información no esté disponible, y este tipo de situaciones poco esperadas no suelen ser consideradas.

Para aquellos que tenían información almacenada en linea a través de Megaupload, mala decisión. Lamentablemente este tipo de incidentes pueden ocurrir, y por ello es importante siempre hacer un análisis de qué tipo de backup (al menos alguno que no sea muy costoso) uno puede realizar para estar cubierto ante estos incidentes.

Por otro lado, si alguno utilizaba Megaupload como backup, recuerden que su información ya no está respaldada y que por lo tanto es importante (¡antes de arrepentirse!) buscar otro sitio o medio para almacenar la información ante cualquier incidente.

Una vez más vale la pena recordar la importancia de los backups, y recordar que las soluciones de Cloud Computing pueden tener riesgos tanto como otros medios físicos que, a priori, parecen más vulnerables. No se trata de una competición entre ambas modalidades, sino de la importancia de estar siempre atentos a la posibilidad de perder información que para uno puede ser muy importante, y que muchas veces puede no ser sencillo recuperarla.

Es decir, estamos hablando de un backup. El incidente de Megaupload es solo una excusa, para recordar todo lo mencionado en este post. ¡A cuidar nuestra información!

Sebastián Bortnik
Coordinador de Awareness & Research

Promedio: 4.25

Compartir en |

• Anonymous ataca diversos sitios por cierre de Megaupload
• Anonymous y su maratón hacktivista durante el fin de semana
• ¿Eres tan inteligente como tu teléfono?

Categorias: Gestión
Dejar un comentario »

El tema del amor es algo que le resulta útil a los cibercriminales, quienes utilizan este tópico como táctica de Ingeniería Social para infectar con códigos maliciosos a usuarios incautos.

Esto suele repetirse durante el año, intensificándose considerablemente cuando nos acercamos a las celebraciones del día de San Valentín, período propicio para que los autores de estas amenazas informáticas aprovechen la ocasión en que las personas están más susceptibles y curiosas respecto a seguir hipervínculos “amorosos” que lleven a supuestas postales, poemas, canciones o videos. A continuación se muestra una vista del correo electrónico recibido en este caso:

Ver mas… »

Promedio: 5

Compartir en |

• Amor, postales y troyanos bancarios
• Hoy es San Valentín… ¡a cuidarse del malware!
• Postales falsas de Yahoo!

Categorias: Alertas, Malware
1 Comentario »

El pasado 12 de enero de este año se descubrió una vulnerabilidad en uno de los plugins de la conocida plataforma de publicación libre, WordPress. Específicamente el plugin vulnerado es Count Per Day, en todas sus versiones anteriores a la 3.3.1.

Este plugin es muy utilizado, y algunas de las funcionalidades de las que dispone son:

• Contabilizar visitantes y lecturas

• Mostrar lecturas por página

• Mostrar visitantes del día, la semana, el mes, etc.

• Mostrar visitantes por país

• Traducción a diversos lenguajes

La explotación de la vulnerabilidad permite realizar una inyección XSS no persistente o descargar un archivo arbitrario del servidor.

La vulnerabilidad XSS permite inyectar código en el sitio vulnerable mediante la modificación de la URL. Concretamente, la falla se encuentra en el modulo map.php. A través de la misma, un atacante podría hacer uso de Ingeniería Social para obtener algún tipo de información mediante el envío de un hipervínculo adulterado, obteniendo provecho de esta vulnerabilidad. Un ejemplo claro de esto sería la inyección de algún tipo de formulario haciéndole creer a la víctima que este es auténtico, para que ingrese allí sus credenciales de acceso y así el atacante obtiene información valiosa. A su vez, existen otras variantes utilizando XSS.

Ver mas… »

Promedio: 5

Compartir en |

• Nuevo ataque de malware a WordPress
• Blogs de Yahoo utilizados para spam
• Curso Seguridad AV en UTN

Categorias: Alertas, Vulnerabilidades
1 Comentario »