Ayer mencionaba la cantidad de spam y postales de San Valentín que había recibido en mi correo.

Pero, tampoco me quedé ajeno al phishing por el mismo motivo y un ejemplo de ello es esta invitación de recargas de móvil a través de un supuesto correo de CajaMadrid (conocido banco español):

Si cometemos el error de hacer clic en ese enlace, se ingresará a un sitio web idéntico al banco mencionado en donde se nos robará el usuario y contraseña de nuestro home-banking. Como puede verse en la barra de direcciones, el sitio no pertenece al CajaMadrid:

No hagamos clic en cualquier enlace y no creamos en cualquier “regalo”.

Cristian

Categories: Phishing
No Comments »

Como no podía ser de otra forma y ya adelantamos en la infección en el día de los enamorados ayer mi casilla de correo fue invadida por correos no deseados, entre los que quiero destacar uno en especial sobre postales virtuales.

Un correo en castellano con un simpático osito cariñoso me invitaba a descargar una postal que un supuesto amigo me había enviando. Al ingresar al sitio web me encontré con la esta tierna imagen:

Si se lee con atención (antes de hacer clic), puede verse que se menciona las “Funciones de la barra de herramientas”. Estos “extras” no son más que aplicaciones Adware y Spyware que se instalarán en el sistema con todos los problemas asociados ya conocidos de estos programas. Para probar lo mencionado, simplemente hice clic y a continuación me encontré con lo siguiente:

En esta página ya se habla de forma más clara de una aplicacion y un ActiveX que se instalará en el sistema y se hace referencia a la forma de instalación de la misma. Las instrucciones dadas no son más que las necesarias para burlar la “seguridad” del navegador.

Más allá de esas instrucciones y sin presionar absolutamente nada, no fue sorpresa para mí cuando ESET Smart Security me informó que se acababa de descargar una aplicación en forma automática con sólo abrir esa página:

Si bien los métodos siguen siendo los mismos de siempre, como podemos ver, sigue siendo sencillo infectar a un usuario con simplemente ofrecerle una tarjeta virtual de un osito cariñoso (que no lo es tanto) .

Nuevamente salta a la vista la importancia de mantenerse informado y educado antes de hacer clic.

Cristian

Categories: Malware
2 Comments »

En seguridad antivirus existen dos comentarios muy trillados que son las delicias de los investigadores. Uno de ellos es que nunca habrá virus/malware en Linux y el otro… lo dejo para post posteriores.

Hablando de virus en Linux no es mi intención discutir la seguridad de un sistema operativo contra la de otros, simplemente quiero poner las cosas en perspectiva y mencionar que el malware, como se sabe, es un mundo de negocios. Por ende, y bajo esta lupa, si un sistema operativo (o aplicación) es de uso muy extendido generará un negocio, que beneficiará directamente al mundo de la creación de códigos dañinos. Es sencillo, no hay que darle más vueltas.

Sé que no me creen y muchos de Uds quizás no vuelvan a leer este blog por ese comentario. Ahora llega el tiempo de un ejemplo.

Durante los últimos días se ha propagado un exploit para el Kernel de Linux (versiones de 2.6.17 hasta 2.6.24.1) y su explotación local permite elevación de privilegios y ejecución de código como Root. ¿Y eso que tiene que ver con el malware? Todo.

La ejecución del exploit podría por ejemplo permitir instalar aplicaciones modificadas en el sistema Linux, con todo el daño y peligro que implica tener un sistema troyanizado.

Luego de las “malas noticias” vienen las buenas. Como siempre desde ESET nos preocupamos por la excelencia de nuestros productos y por esto ESET NOD32 es uno de los pocos que ha dado al tema la relevancia que merece, detectando el exploit desde el primer momento como Linux/Exploit o como probably a variant of Linux/Exploit, este último a través de nuestra Heurística Avanzada.

Por cierto, ya se encuentra disponible la solución para esta vulnerabilidad y la actualización al Kernel de Linux 2.6.24.2 estuvo disponible poco tiempo después de la aparición del bug.

Cristian

Categories: Malware
1 Comment »

Mucho tiempo pasó desde que el gusano Nuwar comenzó a realizar estragos a través de Internet (poco más de un año); sin embargo, aún en la actualidad es uno de los códigos maliciosos que más se ha prolongado a través del tiempo.

Es muy común que el malware utilice como estrategia de propagación alguna fecha especial, se trate de eventos trágicos o de fechas tradicionales y en este aspecto Nuwar posee un amplio repertorio de recursos explotados y no deja pasar oportunidad. Tormenta de juegos, Nuwar con amor, Internet me ama y me envía postales: Nuwar, etc.

En este caso, el gusano se ha aprovechado de una fecha típica: el día de los enamorados, conocido también como San Valentín.

Siguiendo su característico modo de operación, se disemina a través de correo electrónico mediante el cual intenta convencer al usuario de ingresar a una página web cuya dirección IP se encuentra incrustada en el cuerpo del mensaje.

Al acceder a dicha dirección web nos encontramos con una “amorosa” imagen que contiene la siguiente leyenda: “Valentine’s Day Bingo”, que esconde en realidad una peligrosa amenaza: el código malicioso en cuestión.

Aquí podemos ver una captura del HTML de la página donde se puede observar que la imagen hace referencia al archivo ejecutable valentine.exe que, como siempre, ESET NOD32 detecta genéricamente bajo el nombre de Win32/Nuwar.Gen.

Queda demostrada la importancia de poder contar con la protección de herramientas de seguridad antivirus con capacidades de detección proactivas como las que ofrece ESET donde sus característicos métodos de protección nos brindan un alto nivel de seguridad ante este tipo de amenazas. Hasta el momento ninguna de estos archivos dañinos (continuamente actualizados) han representando un problema para nuestra detección heurística.

Mientras, recuerden que para Nuwar el amor siempre es un buen pretexto para infectar sistemas, sobre todo en estos dias próximos al 14 de febrero.

Jorge

Categories: Malware
2 Comments »

Días atrás Adobe lanzó la actualización 8.1.2 de su producto más conocido: el lector de archivos PDF, Adobe Reader. En ese momento, Adobe no dió detalles de las 26 correcciones realizadas e incluso al momento de escribir esto, la actualización en castellano (sí la de inglés) aún no se encuentra disponible para descargar automáticamente y debe actualizarse a la nueva versión 8.1.2 manualmente desde el sitio de Adobe.

Luego de un pequeño análisis de la actualización realizada por Adobe, se puede llegar a la conclusión que estas vulnerabilidades son críticas porque permiten la ejecución de código Javascript en el sistema del usuario, permitiendo que, por ejemplo, se pueda descargar y ejecutar malware en el mismo.

Esto es lo que ha estado sucediendo desde hace unos días y los Adobe Reader no actualizados han estado siendo aprovechados para instalar diversos tipos de malware como KillAV o Zonebac o gusanos de la vieja familia Bagle (profundamente analizado por ESET).

Sin importar el malware descargado y que se sabe que puede cambiar en cualquier momento, lo importante es:

• Para los productos antivirus, detectar la explotación de la vulnerabilidad para cortar la cadena de infección desde el primer momento. Es por ello que ESET NOD32 detecta este exploit como PDF/Exploit.Pidief.A. Gracias a esta detección, no importa el código dañino que se intente descargar debido a que dicha descarga nunca sucederá.
• Para el usuario, es fundamental actualizar su Adobe Reader a la versión mencionada o bien utilizar un producto alternativo para la lectura de archivos PDF.

Actualización 27/02/2008: acabamos de publicar un video educativo sobre el funcionamiento de esta vulnerabilidad y la forma de evitar ser infectado.

Cristian

Categories: Malware, Vulnerabilidades
4 Comments »