Cada día nos encontramos con diferentes metodologías de Ingeniería Social, algunas más originales que otras, pero constantemente evocando al intento de engaño característico de esta técnica.

Hoy, nos encontramos en nuestro laboratorio con un nuevo correo electrónico cuya aspiración es influenciar a los usuarios a descargar una supuesta imagen, efectivamente, un malware.

En este caso, el objetivo elegido es www.telcel.com, una empresa mexicana que ofrece servicios de telefonía digital y GSM.

El correo electrónico que nos llega luce de la siguiente manera:

Como notarán, al hacer clic sobre la imagen o el enlace, nos redirecciona hacia la descarga de un archivo ejecutable alojado en una página que no es la correspondiente a la empresa real.

Bajo esta situación es muy importante remarcar la importancia de, antes de hacer clic sobre cualquier enlace, verificar hacia donde nos dirige el vínculo.

Esta verificación se consigue con sólo pasar el mouse sobre el enlace y observar la dirección que figura en el tip que aparece.

De esta manera, perderemos sólo unos segundos en chequear la dirección, lo cual es una gran recompensa si lo comparamos contra el tiempo y el dinero que perderemos si dejamos que la amenaza comprometa nuestro sistema.

En la siguiente imagen podemos ver un antes y un después del archivo hosts que el malware modifica para realizar un ataque de pharming local e intentar así comprometer los datos del usuario que ingrese al HomeBanking de la entidad bancaria que figura en el archivo manipulado.

Es importante aclarar que ESET NOD32 detecta esta amenaza bajo el nombre de Win32/Qhost, eliminando la amenaza y protegiendo al usuario de la abusiva intención de los creadores de malware, de tratar de engañar bajo este tipo de técnicas y metodologías.

Jorge

Vota primero

Categorias: Malware, Phishing, Spam
1 Comentario »

BSA publica informes anuales sobre el porcentaje de piratería en el mundo.

Nuevamente América Latina tiene el “orgullo” de posicionarse como el continente con mayores índices de piratería.

“Un nuevo estudio reveló que el 66% del software instalado en el año 2006 en computadoras personales (PCs) en Latinoamérica fue obtenido ilegalmente, lo que representó más de 3.000 millones de dólares en pérdidas debido a la piratería de software.”

Otro estudio de IPI dice algo similar con respecto a las pérdidas económicas:

“…la piratería de películas, música, software y videojuegos causarían esos 58.000 millones de dólares anuales.”

Una pregunta que nos suelen hacer es qué tiene que ver esto con la seguridad antivirus y cómo influyen estos niveles en la seguridad de nuestro sistema.

Las posibles respuestas a esta pregunta son:

• si el software de seguridad que instalamos procede de fuentes no confiables y fidedignas, no se puede asegurar que los niveles de seguridad ofrecidos son los ideales.
• si el producto es descargado de sitios no oficiales, es muy probable que el mismo haya sido modificado (caso de los warez) para violar la protección de licencias. Esta modificación puede haber dañado el producto.
• si el producto es modificado por programas tipo patch, puede dañarse el producto original y dejar de proteger al usuario.
• si producto ha sido modificado, ¿quién asegura que el mismo no dispone de puertas traseras o troyanos con fines maliciosos? Es decir, que hemos instalado un software de seguridad que en realidad instala un programa dañino en el sistema. Esta acción es de lo más común en el under.
• Los autores de los cracks son programadores que suelen cometer errores al realizar sus acciones, lo que puede dejar inactivos ciertas funcionalidades del producto de seguridad.

Por mencionar un caso, existen cracks para ESET NOD32 que aseguran una actualización eterna (99.999 días o similares). Esto no es tal y en realidad ciertas funcionalidades del producto permanecerán sin funcionar, lo que no brindará protección al usuario.

Cristian

Vota primero

Categorias: Estadísticas, Informes, Piratería
1 Comentario »

Si bien es cierto que un usuario final, al adquirir una solución antivirus, siempre busca lo mejor debido a sus características en cuanto a la detección de códigos maliciosos, además de otro tipo de factores que involucran la performance de nuestra computadora, la realidad es que en algunas oportunidades nuestro antivirus puede no eliminar ciertas amenazas.

Y esto de ninguna manera significa que la solución elegida es poco efectiva o que hemos optado erróneamente. Debe notarse que he remarcado las palabras detección y eliminar ya que muchas veces se piensa, erróneamente, que son sinónimos. Que se detecte una amenaza no significa que se elimine la misma luego de una infección. Se debe recordar que el objetivo de un antivirus es detectar una amenaza para prevenir la infección, y sus capacidades de limpieza pueden ser otras ventajas incorporadas.

En este punto, y si bien no viene al caso vale la pena mencionarlo, detrás de cada herramienta antivirus se encuentran muchísimas personas trabajando para ofrecer siempre la mejor respuesta de detección y eliminación dependiendo el caso que se trate.

¿Qué quiero decir con esto? Nada raro, tampoco vender algo. Simplemente contar que ningún software de seguridad es 100% seguro, sí se puede alcanzar un nivel muy alto de detección dependiendo de las técnicas que utilice el AV.

Aclarado ese punto, el tema es que al eliminar un código malicioso, se puede dar el caso de que queden “secuelas” del paso del malware por nuestra PC, que en la mayoría de los casos tienen que ver con claves de registro y archivos que ha creado el malware, y que el producto no ha eliminado completamente.

Lo importante en este caso es que el malware deje de reproducirse y de ejecutarse en el sistema. Una buena solución sería explorar manualmente el registro del sistema en busca de las “restos” que pudieran haber quedado.

El malware actual suele agregar y/o modificar algunas de las siguientes claves de registro:

• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunServices
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunServicesOnce
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunOnce\Setup
• HKLM\SOFTWARE\Microsoft\SharedTools\MSConfig\startupreg

Los creadores de malware no buscan dejar referencias del código maliciosos en estas claves del registro por que sí, lo hacen por que estas claves en particular son las que permiten que los programas que en encuentran referidos en ella se ejecuten.

Es decir, toda referencia a archivos ejecutables que se encuentren en la clave “Run” del registro, implica que se levantarán como procesos en cada inicio del sistema operativo, lo que asegura, en el caso de los códigos maliciosos, que el proceso dañino se activará al arrancar la computadora. En la siguiente imagen podemos ver una clave maliciosa creada por un malware:

Nota importante: que un programa figure en esa lista no significa que sea malicioso ya que los procesos legales del sistema también utilizan esta técnica. Lo dificil suele ser identificar qué es qué.

Pero más allá de las explicaciones que se pueden dar, es importante que recuerden que la principal barrera contra los códigos maliciosos somos nosotros mismos y la prevención (o detección como se mencionó al comienzo). Además, con un antivirus con detección proactiva como ESET NOD32 estableceremos una suerte de “antivirus humano” dentro de nuestro sistema.

Jorge

Vota primero

Categorias: Educación, Malware
1 Comentario »

Ya casi no nos sorprenden las distintas caras que adopta la familia del gusano Nuwar como estrategia de engaño.

Sea cual sea el medio por el cual aparezca, siempre, y respondiendo a su objetivo de diseminación e infección, suele presentarse de manera curiosa, y algunas veces, divertidas.

Sin lugar a dudas, la imagen es graciosa. Ahora, lo que no es gracioso, es el efecto que este conocido gusano provoca una vez que ha comprometido una computadora.

Si somos fanáticos del uso indiscriminado del “doble clic”, la probabilidad de infección es alta. Sin embargo, jamás está de más recordar que la principal barrera para evitar que este tipo de metodologías de engaño tengan éxito, somos nosotros.

Por otro lado, no está de más recordar que ESET NOD32 protege proactivamente a sus usuarios de esta amenaza desde hace tiempo.

Jorge

Vota primero

Categorias: Malware en imágenes
Dejar un comentario »

En el blog de Imydes podemos hacer el seguimiento de un caso de phishing típico orientado a recolectar direcciones de correos de usuarios de GMail.

Sobre esto quiere remarcar dos puntos interesantes:

1. Este caso es uno de los cientos que se viven a diario en todo el mundo y no tiene nada especial excepto el nombre de dominio utilizado que es muy parecido a original y que es utilizado para engañar al usuario. Aún no entiendo cómo este tipo de registros no está regulado. ¿Acaso no es evidente que si alguien desea registrar gnail (por poner un ejemplo) es para fines poco éticos y/o ilegales? ¿por qué se permite este tipo de registros?
2. El caso estudiado está realizado por principiantes que ni siquiera se tomaron el trabajo de ocultar los archivos en el directorio raíz del servidor:

   

3. Que sean principiantes no quiere decir que la cantidad de usuarios engañados será menor. Lamentablemente, muchos caerán en el engaño y regalarán su usuario y clave, aún con errores tan burdos como se pueden observar en esta imagen:

   

4. Ahora, ¿qué importancia tiene que nos roben el usuario y contraseña de GMail? Para comenzar, el atacante se hará con los datos de nuestra cuenta de correo, desde donde podría invadir nuestra privacidad y por supuesto utilizarla para hacerse pasar por nosotros (impersonalización y robo de identidad). Además, las credenciales utilizadas por los servicios de Google son únicas y se puede ingresar a todos los servicios de la empresa a través de ellas. Por ejemplo, alguien podría leer documentos confidenciales en Google Docs por citar un caso.
5. Luego de 2 días, este phishing sigue activo y ningún navegador informa del sitio falso. Es fundamental denunciar estos casos mediante las herramientas de las que dispongamos. En mi caso lo hice en Firefox ingresando al menu Ayuda -> Informar sitio fraudulento (Phishing).
6. Por último, quiero remarcar algo sumamente importante: cuando se estudian estos casos y se toman capturas de pantallas como las mostradas, siempre debe ocultarse el dominio al que hacen referencia porque si no alguien podría verse tentado de ingresar y caer en la trampa del delincuente. Recordemos que muchas veces estos sitios pueden tener scripts dañinos que infectan el equipo o que graban las cookies del usuario, lo que permitiría el robo de credenciales, incluso sin haber ingresado los datos. Es irresponsable no ocultar ciertos datos que puedan facilitar el trabajo al atacante.

Cristian

Vota primero

Categorias: Phishing
Dejar un comentario »

Como veníamos adelantando la proliferación de códigos ofuscados que explotan vulnerabiliades en el navegador para instalar otros malware y formar botnets se afianza en Internet.

En septiembre se sigue haciendo notar este tipo de códigos y ya debemos a saber que se perfilan como LAS amenazas a combatir en el futuro cercano.

Me deja tranquilo que nuestro nuevo producto ESET Smart Security llegará justo a tiempo para darle de palos y seguirá protegiéndo al usuario de la mejor manera, como lo ha hecho ESET NOD32 hasta el momento.

Cristian

Vota primero

Categorias: Informes, Malware
Dejar un comentario »