Quienes en alguna ocasión hayan asistido a alguno de los seminarios de Cristian o míos, nos habrán escuchado decir en más de una oportunidad que, en la actualidad, el malware se ha transformado en una industria muy explotada, en un negocio redondo para aquellos usuarios que intentan engañar y robar a otros.

Si bien la imagen que está a punto de ver puede llamarle la atención, la verdad es que para quienes estamos con el tema, son cosas muy normales y cotidianas. Analicemos un poco la siguiente imagen para luego conversar sobre su contenido:

• “Troyanos indetectables 100%”: esto no es ninguna novedad y es una verdad a medias. Sabemos muy bien que existen muchos programas dañinos que no son detectados por las soluciones de seguridad antivirus durante un muy corto plazo de tiempo. Si alguien le dijo que un producto es capaz de detectar el 100% del malware, le mintió.
• “Indispensable para tener el control total de PC’s remotos”: a esta frase faltaría agregarle “de manera fraudulenta”. Aquí entra en juego el tema de la privacidad ¿hasta qué punto creen que se trata de monitoreo y no de violación de la privacidad?
• “Con los troyanos usted podrá recibir”: con esta descripción tenemos un buen ejemplo de las capacidades que poseen los troyanos. Imagínense que todas estas cosas y muchas más, son reveladas por computadoras comprometidas por algún malware, con lo cual nuestra privacidad es completamente quebrantada.
• “Precios todo incluido”: un combo especial, una oferta especial ¿Ahora coincide con nosotros en que los códigos maliciosos son un negocio?

Tengamos en cuenta que la confianza es uno de los principales factores que la Ingeniería Social busca atacar. En consecuencia, debemos estar atentos en todo momento y no porque lo digamos nosotros sino por que las acciones cometidas a través de este tipo de actividades buscan, en la gran mayoría de los casos, obtener nuestro dinero.

Jorge

Categorias: Malware
3 Comentario »

Cualquier persona que esté relacionada con la tecnología conocerá el poder de las redes P2P, sea cual sea el motivo por el cual las usa.

Lo importante en este caso es conocer que estas redes también son utilizadas para propagar malware. Por ejemplo, a continuación se busca un libro y como puede verse en la imagen, aparecen dos grupos perfectamente definidos: por un lado aparecen archivos con gran cantidad de disponibilidad (más de 4.000 fuentes) y por el otro, archivos con baja disponibilidad:

Cualquier usuario tendería a descargar aquellos archivos con alta disponibilidad y con esto caerá en la trampa tendida por los diseminadores de malware. Estos archivos aparecen con nombre aleatorio, y generalmente muy llamativos, sea cual sea la búsqueda realizada originalmente.

Estos archivos en realidad son adware, spyware, programas rogue, falsos codecs y toda una parafernalia de archivos dañinos de diferente tipo.

Aconsejamos prestar especial atención a este detalle para no terminar descargando un malware, bajo la creencia  de que es el último libro de Shakespeare.

Cristian

Categorias: Malware, Piratería
1 Comentario »

Hace unos días, Cristian nos comentaba sobre ciertos y supuestos programas antivirus (rogue) que para poder adquirirlos debemos, previamente, completar un formulario donde la información solicitada es precisamente la de nuestra tarjeta de crédito.

Y con relación a este tipo de metodologías, me gustaría comentar dos puntos que, por más que parezca un tema trivial, detrás de estas técnicas de engaño se esconden objetivos completamente oscuros y con fines de lucro que atentan sin excepción, no sólo contra la integridad de nuestro sistema sino también contra la de nuestro “bolsillo”. Veamos entonces cuáles son los puntos que debemos tener en cuenta para no llegar hasta “sus datos de facturación”:

1. Utilizar productos de seguridad confiables: debemos confiar la integridad de nuestro sistema a productos reconocidos y de amplia trayectoria en el mercado. Los falsos antivirus abundan y los objetivos son siempre los mismos, nuestro dinero. Existen organizaciones internacionales reconocidas por la industria del software antivirus como Virus Bulletin, AV-Comparatives y Checkmark, entre otras, que entregan certificaciones a los mejores y más reconocidos productos del mercado.
2. No proveer nuestra información confidencial: una de las técnicas más comunes aprovechadas por el malware actual se refiere a la intención de obtener de manera fraudulenta y engañosa la información relacionada a nuestra tarjeta de crédito. Es así que nos encontramos con técnicas como el phishing y la utilización de keyloggers orientadas al robo de información sensible.

Después de planteados los dos puntos, vamos a ver cómo llegamos al robo de información a través de la metodología de engaño, con otro ejemplo:

Hasta esta instancia nos encontramos con el sitio web de una supuesta herramienta de seguridad que nos promete limpiar las huellas que dejamos al navegar por Internet. Al hacer clic en el botón correspondiente con la intención de descargar el programa, nos encontramos con la siguiente pantalla:

Bajo la leyenda “Your Payment Information - Sus datos de facturación”, nos encontramos con este formulario donde los datos de nuestra tarjeta de crédito son los protagonistas principales. Pero, ¿qué pasa si ingresamos la información requerida?

¡Claro! No pasa nada, es decir, no podemos descargar la “solución protectora”. De todas formas podemos creer en el mensaje de error y volver a escribir el número de nuestra tarjeta. A ver ahora…

Nada, la misma pantalla. ¿Tendrá algún problema nuestra tarjeta? En fin, ahora ya no importa, nuestros datos están en manos de delincuentes informáticos que sin dudarlo utilizarán esta información para incrementar nuestras deudas.

Evidentemente, las técnicas de Ingeniería Social no pasan, ni pasarán, de moda, ya que constituyen la técnica por excelencia tanto para los creadores/diseminadores de malware como para los delincuentes informáticos.

La realidad nos marca el destino que persiguen los códigos maliciosos: información sensible y necesaria que permita a un delincuente obtener, entre otras cosas, los datos para poder acceder a nuestra cuenta bancaria.

Sin lugar a dudas y sin excepción, debemos “navegar con los ojos muy abiertos” ¿Usted, toma las medidas de protección básicas al navegar?

Jorge

Categorias: Educación, Malware
Sin Comentarios »

Desde hace un tiempo se viene viendo un nuevo tipo de spam que a través de enlaces a sitios y servicios legítimos de buscadores como Google, Yahoo y AOL, intentan engañar al usuario.

Esta nueva metodología recibe el nombre de Open URL Redirect y su funcionamiento se basa en la características de ciertos sitios (y buscadores) que permiten la redirección a cualquier otra página web.

En Google se puede utilizar el botón voy a tener suerte, representado por el comando btnI. A través del mismo se envía un enlace al usuario conteniendo una búsqueda de un sitio web con el producto promocionado (generalmente del tipo farmacéutico) y, a través del comando mencionado, se redirige al usuario al sitio deseado.

El spam recibido es un correo normal, promocionando algún producto específico y con un enlace al buscador legítimo:

A través del procedimiento mencionado se redirige al usuario al sitio indicado en inurl y mediante el comando btnI. Por ejemplo, podemos redirigir al usuario al sitio de ESET Latinoamérica, de la siguiente manera a través de Google: http://www.google.com/search?hl=en&q=inurl:eset-la&btnI=I=

Lo interesante de esta técnica es que el usuario puede ser engañado debido a la legitimidad de la URL y que puede no ver nada sospechoso en la misma. Por supuesto esta técnica también puede ser utilizada para propagar malware.

Cristian

Categorias: Spam
1 Comentario »

Dentro de toda la comunidad de usuarios que utilizan a diario clientes de mensajería instantánea, es muy común “adornar” los mensajes con divertidos y simpáticos personajes animados que intentan traducir lo que el usuario desea transmitir al otro extremo de la comunicación.

Estos simpáticos personajes animados son los Smileys o Emoticones. Sin bien es cierto que muchos de ellos nos suelen resultar muy divertidos, simpáticos y hasta adorables, en muchos casos, ofician a modo de carnada para infectar al usuario con algún código malicioso, por lo general, con un adware.

Un ejemplo típico y común de su modo de operación es utilizar como vector de infección Internet a través de una ventana tipo pop-ups que aparece mientras el usuario navega por determinados sitios web, que no necesariamente deben ser de páginas con contenido dudoso sino que pueden estar, incluso, en sitios populares.

Este tipo de banners, suelen direccionar al usuario hacia el sitio donde se encuentra el archivo ejecutable (que contiene a los personajes animados entre otras sorpresas) para descargar.

En este caso ESET NOD32 Antivirus lo detecta como Win32/AdInstaller y bloquea la descarga del mismo:

Otro típico caso en el que nos podemos encontrar algunas de estas amenazas es cuando se encuentran incrustadas en las páginas a modo de banners.

Si bien continuamos viendo simpáticos personajes animados, debemos tener mucho cuidado al encontrarnos con alguno de ellos ya que suelen esconder un potencial riesgo de infección. Otro típico caso es el de Hotbar en sitios populares.

Jorge

Categorias: Malware
2 Comentario »

Para cualquiera de nosotros, en donde el estar informado y atento a nuevos vectores de ataques es una prioridad, es normal ingresar a sitios que son actualizados cada segundo. Por ello, Technorati es una constante en nuestros sitios favoritos.

Quién podría pensar que este importante sitio puede ser utilizado para propagar el anuncio de una gran plaga como es Hotbar. Bueno, quizás habría que pensar de nuevo.

Pero, ¿cómo logran esto los autores de Hotbar (o de cualquier otra adware/spyware) hacer esto? A través servicios de publicidad online tercerizados como DoubleClick, CPX, Accelerator-Media y tantos otros.

1. Los autores de “servicios agregados” (generalmente adware) pagan a estas empresas de publicidad para que sus banners aparezcan en diversos sitios web.
2. Por su lado, cualquier sitio (como Technorati en este caso), adquieren el servicio de banners de esas empresas de publicidad online.
3. El banner fraudulento aparece en el sitio aleatoriamente cada cierto tiempo.
4. El usuario, confiando en el sitio, puede hacer clic en ese banner y ser redirigido a la instalación del adware, como en este caso a Hotbar.

Se puede ver un análisis completo de este malware en nuestro informe sobre Hotbar.

Actualmente cualquier sitio puede ser utilizado para para fines maliciosos y si este sitio es muy popular mejor aún, como ya hemos demostrado también en el caso de las propagaciones en foros.

Cristian

Categorias: Malware
2 Comentario »

En el día de hoy los papeles se invirtieron por un rato y nosotros fuimos los capacitados. En esta oportunidad Pierre-Marc Bureau, se acercó desde Canadá a brindarnos un excelente curso sobre Ingeniería Inversa orientada al malware.

Pierre-Marc, a quien pueden encontrar en el ThreatBlog [EN] y es Researcher de ESET, y el equipo del Laboratorio de ESET Latinoamérica, junto a un grupo de invitados especiales, participamos de un día de su capacitación sobre código Assembly, empaquetadores, desempaquetadores y análisis de malware en general.

Puede haber quienes se preguntan la importancia de esta capacitación… Yo lo resumo en algunas de frases que leí hace poco:

La virulogía computacional es una especialización que no forma parte del pénsum de estudios de ninguna carrera del mundo…

Los analistas de virus conviven con el vértigo que exige reunir información sobre el código malicioso, evaluarlo y encontrar el “antídoto” que lo combata…

Es un trabajo que demanda mucha rapidez…

Los que nos leen frecuentemente sabrán que el análisis de código dañino es una las principales armas que esgrimimos contra el malware, por lo que está de más decir la satisfacción que causa recibir capacitaciones de este nivel.

Con respecto a esta visita (y espero que con las próximas) tendremos más noticias pronto, por lo que recomiendo seguir leyéndonos.

Thanks P-M for the excelent training!

Cristian

Categorias: Educación
Sin Comentarios »

Uno de los principales objetivos de este Blog es mantener a todos informados y actualizados sobre las diferentes metodologías utilizadas por el malware para lograr infectarlos y por supuesto, las formas de evitar estas infecciones.

Por ello, en esta Semana Santa, en donde millones de correos y sitios web intentarán descargar algo dañino a nuestro equipo, les sugiero seguir al pie de la letra estos consejos preparados recientemente por Jorge:

• La mejor forma de protección es la prevención (I)
• La mejor forma de protección es la prevención (II)
• La mejor forma de protección es la prevención (III)

Y Uds. ¿tienen otro consejo o práctica que lleven a cabo para mantenerse a salvo?

Cristian

Categorias: Educación
1 Comentario »

Luego de comunicarnos con UNICEF, han eliminado al usuario que ofertaba productos farmacéuticos y nos han respondido muy rápidamente sobre el asunto:

Me gustaría extenderle mis saludos. Soy la Coordinadora de la Juventud Opina. Hemos quitado este spam de nuestro sitio. Le agradecemos por su mensaje y su deseo de apoyar a la Juventud Opina.

Gracias,

María Cristina XXXX
Voices of Youth Coordinator
Adolescent Development and Participation Unit Programme Division UNICEF New York Tel. (212) 326-XXXX
E-mail: cXXX@unicef.org
Web: www.unicef.org/voy
________________________

For every child
Health, Education, Equality, Protection
ADVANCE HUMANITY

Esto prueba que existiendo responsabilidad de todas las organizaciones públicas y privadas esta basura y estos delincuentes pueden ser combatidos.

Cristian

Categorias: Malware
1 Comentario »

Continuando nuestra entrega anterior sobre propagación de malware a través de importantes foros, ahora mostraremos como sitios educativos son utilizados para llevar al usuario a sitios pornográficos o conteniendo malware.

En este caso y mediante la metodología ya explicada, se inserta splog en diversos foros y mediante ellos se redirige al usuario a páginas de búsqueda de populares sitios educativos:

Como puede verse se injecta un iframe y con ellos se redirige automáticamente al usuario a los sitios web pornográficos o con malware ya descriptos anteriormente.

Esta metodología también fue la utilizada para redirigir usuarios a un perfil fraudulento en el foro de UNICEF, como se vé a continuación:

En este caso el usuario vería la siguiente publicidad. Esta situación ya ha sido comunicada a los administradores del sitio, quienes han respondido y eliminado el usuario:

Otra de las opciones es dirigir al usuario a sitios pornográficos que ofrecen la descarga de codecs conteniendo el ya clásico TrojanDownloaderZlob.

En este oportunidad los delincuentes han diversificado las formas de llegar a sus creaciones, con el objetivo de vender productos o infectar al usuario. Una vez puede verse la imaginación detrás del crimen, sin importar los medios utilizados y con los objetivos económicos bien definidos.

Cristian

Categorias: Alertas, Malware
3 Comentario »