Luego de lo descubierto en los blogs de WordPress y las postales falsas de Yahoo! ahora le llega el turno al servicio de blogs de Yahoo! el cual forma parte, a su vez, de Yahoo! 360°.

En este caso se trata de la creación masiva de blogs con nombre aleatorio de la forma http://blog.360.yahoo.com/blog-7r2m.[eliminado]–?p=58. Estos blogs alojan spam y publicidad de casinos online y, la cantidad hallados (algunos de ellos ya dados de baja por Yahoo!) hace presumir que el método de creación es automático y que sus autores se basan en algún método de salteo de autenticación y de captchas.

Además, la existencia de estos blogs forma parte de una campaña más amplia de promoción de material y servicios ilegales ya que los enlaces son hallados en otros blogs, en los cuales se inserta comentarios automáticos a través de equipos zombies creados a través del troyano que ESET NOD32 detecta como Win32/Agent.NOZ. A continuación una imagen de un comentario en otro sitio de WordPress con enlaces a los blogs mencionados de Yahoo! 360°:

Los delincuentes que operan esta red promocionan sus productos a través de spam y blogs, infectando usuarios y creando botnets para continuar con el círculo vicioso de usuarios afectados. Actualmente nuestro Laboratorio se encuentra analizando el trabajo de dicha red.

Cristian

Categories: Malware
3 Comments »

En las últimas horas se ha registrado una gran cantidad de correos enviados masivamente (spam) con postales falsas de Yahoo! que terminan descargando un troyano.

Como se ve en la imagen, al ingresar al sitio web que simula ser del servicio Yahoo! Greetings, se intenta engañar al usuario para descargar una actualización de FlashPlayer. En realidad el archivo http://www3.yahoo.americangreetings.[dominio-falso]/ecards/get_new_flashplayer.exe es un troyano que ESET NOD32 detecta como Win32/Agent.NEQ.

[dominio-falso], pueden ser al menos 10 dominios que pueden contener la misma postal falsa y la misma amenaza. Este troyano es un backdoor capaz de conectarse a servidores SMTP para enviar más correo masivo, por lo que puede experimentarse una caída de velocidad en las conexiones de los equipos infectados.

Una vez más se debe estar alerta a este tipo de “servicios” y postales que tienen como objetivo infectar la mayor cantidad de usuarios para utilizarlos como zombies.

Cristian

Categories: Alertas, Malware
2 Comments »

Los creadores de malware suelen tener ocurrencias bastantes particulares y esta ha sido muy curiosa. En una reciente nueva invasión de correo basura con enlaces a Nuwar (conocido como Storm Worm), uno de estos enlaces me condujo al siguiente sitio web para descargar un supuesto codec:

Esta autoreferencia a Storm Codec ha sido una guiño de ojo y una provocación para los que luchamos día a día con él y lo detectamos como Nuwar.GG.

Cristian

Categories: Curiosidades, Malware
No Comments »

Actualmente es común que cualquier sitio web sea creado en tiempo de ejecución desde los datos almacenados en bases de datos.

Lo interesante de esa apreciación es que los datos almacenado en una tabla pueden modificarse y por ende, modificar la apariencia y comportamiento del sitio web afectado. Esto se logra a través de SQL Injection, modificando los datos almacenados en las tablas de cualquier servidor SQL y alcanzando el objetivo deseado.

Si por ejemplo se inserta una llamada a un Javascript dañino a un sitio externo, es posible que el sitio vulnerado termine infectando a cualquier usuario que ingrese al mismo, logrando un efecto masivo en el ataque.

Por su parte, si un usuario ingresa al sitio modificado con un navegador o aplicación sin actualizar, es posible que sea afectado por la explotación de vulnerabilidades en dicho navegador. Como el atacante desconoce que vulnerabilidad puede tener el navegador o las aplicaciones instaladas, ¿por qué no probar con todas?

Puede verse cómo el atacante logra que el servidor y el cliente “colaboren” sin intención, logrando la infección de un usuario:

Servidor

Sitio web vulnerable o entradas sin validar -> ataque SQL Injection -> Sitio web modificado con script dañino

Cliente

Ingresa al sitio afectado -> explotación de vulnerabilidades -> descarga de archivo dañino -> infección

En esta imagen puede verse como un primer archivo invoca un archivo HTML y este invoca a otros 8 archivos, los cuales cada uno de ellos explota una vulnerabilidad distinta, descargando un archivo dañino test.exe.

En este caso se había realizado una inyección SQL en el sitio afectado, invocando al primer archivo a.htm, el cual se encarga de descargar los otros archivos que terminan con la explotación de alguna vulnerabilidad que permite la descarga y ejecución del archivo dañino, sin intervención del usuario.

Nuevamente no esta de más remarcar que:

• En el servidor del sitio web deben validarse todos los ingresos en el sitio para evitar la inyección de código y debe actualizarse todo el software utilizado.
• En el cliente debe actualizarse todo el software y utilizar protección proactiva que permita detectar las amenazas que puedan descargarse.

Cristian

Categories: Malware
2 Comments »

Tal y como nos tiene acostumbrado el cine, las mujeres rubias y hermosas son peligrosas, sobre todo si ellas buscan a su media naranja en Internet, como demuestra el siguiente caso:

Al ingresar a este sitio se intenta inmediatamente descargar un archivo, sin intervención del usuario y aprovechando una vulnerabilidad del navegador web. La amenaza es detectada por ESET NOD32 por heurística como probably a variant of Win32/Genetik.

Una vez más debemos confirmar que las chicas hermosas también pueden ser peligrosas y no debemos fiarnos tanto de ellas.

Cristian

Categories: Malware
4 Comments »