Desde hace unos días se ha comenzado a reportar gran cantidad de malware residente en blogs que utilizan WordPress en su versión 2.3.2. y 2.3.3.

Realizando una búsqueda en Google se pueden hallar alrededor de 40.000 sitios modificados a los cuales se le ha agregado una línea invocando un script dañino, como ya nos tienen acostumbrados los atacantes.

Al ingresar a cualquiera de estos sitios, se puede apreciar una supuesta imagen en la parte superior, pero que si se visualiza el código fuente en realidad es una llamada a una función JavaScript ofuscada y dañina que descarga un troyano al equipo del usuario.

Al momento de publicar el presente, se desconoce la metodología utilizada por los atacantes para modificar los sitios, pero se cree que puede ser una vulnerabilidad 0-day para esta plataforma o en un plugin de la misma que permitiría un ataque de SQL Injection.

Actualización 20:00: ya existen algunos conocidos blogs hispanos que están siendo bloqueados por Google debido a que presentan material peligroso:

Al ingresar al sitio afectado, se redirige al usuario a un sitio que simula el Centro de Seguridad de Windows y además descarga un troyano que ESET NOD32 detecta por heurística como probably a variant of HTML/TrojanDownloader.Agent y un troyano detectado como Win32/Agent.NOZ.

Lamentablemente este tipo de acciones ya se ha transformado en normales y sitios inocentes pagan por ello.

Cristian

Vota primero

Categorias: Alertas, Malware
11 Comentarios »

Muchas personas piensan que el phishing es una meto de engaño que siempre involucra a una entidad bancaria y, si bien esto no escapa de la realidad, también puede presentarse en páginas que no necesariamente se refieren a entidades financieras o bancarias.

Un ejemplo concreto es el siguiente, un caso de phishing pero a través de AdWords:

Se trata de un correo electrónico no deseado (común del phishing) sobre AdWords, el servicio publicitario de Google. En este caso, la técnica de Ingeniería Social utilizada radica en que para activar la cuenta se debe acceder al enlace que figura en el cuerpo del mensaje. Al ingresar a dicha dirección aparece un formulario para completar con los datos de nuestra tarjeta de crédito, lo que claramente es un engaño:

Como ven, el phishing no solo puede o debe realizarse con entidades bancarias o financieras.

Jorge

Vota primero

Categorias: Phishing
4 Comentarios »

Tenemos el agrado de anunciar que hemos dado de alta un nuevo curso en nuestra renovada Plataforma Educativa online de ESET Latinoamérica, la cual además presenta um diseño nuevo y mejoras en las funcionalidades de navegación interna.

Este curso de seguridad en transacciones comerciales online está orientado a los servicios de comercio electrónico, con el objetivo final de que el usuario conozca su manejo, las posibles vías de ataque que apuntan a su dinero y los procedimientos correctos que garantizan un uso seguro del comercio en línea para evitar estafas y otro tipos de ataques.

Espero que el mismo sea de su agrado y los esperamos.

Cristian

Vota primero

Categorias: Educación
Dejar un comentario »

Una imagen vale más que mil palabras:

Esto sucede con una variante de un troyano bancario el cual, una vez instalado, verifica la navegación del usuario y si el mismo ingresa a alguno de los siguientes bancos y sitios financieros, envía la información capturada al delincuente:

• bancaja.es
• gruposantander.es
• unicaja.es
• banesto.es
• bancopopular.es
• e-gold.com
• wellsfargo.com
• paypal.com
• usbank.com
• tdcanadatrust.com
• citizensbankonline.com
• nationalcity.com
• suntrust.com
• 53.com
• citibank.com
• bankofamerica.com
• wamu.com
• wachovia.com
• chase.com
• openbank.es

Verifique las actualizaciones de su antivirus y no navegue desde lugares públicos en los cuales no puede asegurar el correcto funcionamiento de las herramienta de seguridad.

Gracias a V. por el informe de que ESET NOD32 era el único antivirus en detectar este malware.

Cristian

Vota primero

Categorias: Malware
1 Comentario »

Empezamos la semana con la novedad del lanzamiento de la Release Candidate de ESET SysInspector, la herramienta gratuita de ESET que permite comprobar la integridad del sistema.

Hace poco Jorge dedicó dos artículos para analizar las interesantes funcionalidades de ESET SysInspector en modo gráfico y en modo línea de comandos.

Cristian

Vota primero

Categorias: Productos
Dejar un comentario »

En la noche de ayer las casillas de nuestro Laboratorio se vieron invadidas de correos con supuestas postales en idioma portugués y seguramente provenientes de Brasil.

El correo hace mención al ya acostumbrado cuento de la tarjeta que espera nuestra visita en un sitio web para ser visualizada:

Al ingresar al sitio web, se menciona que nuestra versión de Flash Player debe ser actualizada para ver la supuesta postal:

Cualquier botón que se presione vuelve a insistir en la descarga de la actualización:

Por supuesto esto se trata del típico engaño en donde se termina descargando un troyano downloader que ESET NOD32 detecta como TrojanDownloader.Banload.NXX.

Lo curioso de este caso es que este downloader descarga otros troyanos bancarios desde cuatro diferentes sitios web y los copia como:

• X:\windows\system\IEXPLORERS.cmd (donde X es la unidad del sistema)
• X:\windows\eguis.cmd
• X:\windows\system\brcc.cmd
• X:\windows\system\libmysql41.dll
• X:\windows\system\IEXPLORERS.EXE
• X:\windows\system\IEXPLORERS.cmd

Al realizar el análisis de los troyanos descargados nos encontramos que ESET NOD32 los detecta como Delf.NKP y Delf.NKQ siendo casi uno de los pocos antivirus que detecta las tres amenazas.

Como siempre es fundamental no creer todo lo que se ve y lee en cualquier correo electrónico y mucho menos si ellos ofrecen descargar otros archivos. En este caso una supuesta actualización de Flash Player puede ser la entrada de tres tipos de troyanos diferentes.

Cristian

Vota primero

Categorias: Alertas, Malware
3 Comentarios »

En lo que a prevención se refiere y desde el punto de vista del usuario, una de las acciones más importantes radica en la capacidad de actualización, la cual debe ser de manera permanente y constante. Muchos se preguntaran ¿y qué con eso? Bueno… es muy importante porque precisamente lo que se logra con ello es efectividad en todo sentido, no sólo en la detección de amenazas sino que también en el consumo de recursos.

Quienes cuentan con una de las mejores soluciones de seguridad antivirus, ESET NOD32, sabrán a lo que refiero, en consecuencia, sabrán la importancia que posee mantener actualizada su base de firmas, sobre todo sin que ello implique tener que dejar de realizar alguna tarea para poder actualizarla.

Cada actualización nutre a ESET NOD32 de importante información que permite la detección de diferentes tipos de malware, aún cuando estos códigos maliciosos no son identificados; esto significa que previene una potencial infección sin tener aún la firma del archivo malicioso.

En este sentido, cada versión de cada actualización que se agrega al motor de exploración representa una importante cantidad de códigos maliciosos detectados y bloqueados.

¿A qué viene esta breve observación? No se asusten, no pretendo venderles lo que ya sabemos que es bueno. Ustedes son testigos de la efectividad a la cual me refiero.

Jorge

Vota primero

Categorias: Educación, Productos
Dejar un comentario »

Dentro de toda esta gran selva de la web, conviven diferentes tipos de programas y diferentes tipos de tecnologías utilizadas para hacer daño o estafar al usuario.

Los troyanos constituyen uno de los ejemplares con mayor difusión y el que más variantes posee. Los nombres específicos que adoptan cada uno de ellos suele generar confusión en el usuario, quién termina identificándolos de forma errónea bajo el nombre general de “virus”.

Veamos entonces, cuáles son los nombres que comúnmente aparecen en el ámbito de los troyanos y qué función cumple cada uno de ellos:

Troyano backdoor: este tipo de troyano habilita un canal de acceso no convencional en el sistema permitiendo que otros malware y/o personas malintencionadas ingresen sin inconvenientes al mismo.

Troyano drooper: se caracteriza por ejecutar otros códigos maliciosos al momento de su ejecución.

Troyano keylogger: en este caso, el troyano se encarga de monitorear y registrar todo lo que se tipea con el teclado. Está netamente orientado al robo de información confidencial. Algunos de ellos tienen la capacidad de realizar capturas de pantallas.

Troyano bancario: se refiere a aquellos que ayudan en la ejecución de ataques de phishing. En muchos casos, modifican el contenido del archivo hosts de los sistemas Windows. Esta técnica es denominada pharming local.

Troyano downloader: estos códigos maliciosos se encargan de descargar otros códigos maliciosos mientras se encuentran activos.

Troyano Bot: la función principal de este tipo de troyanos es convertir una computadora en zombi. Cada una de estas computadoras zombis formará parte de redes botnets.

Jorge

Vota primero

Categorias: Educación, Malware
4 Comentarios »

Siempre decimos que el principal orgullo de ESET NOD32 es proteger a todos los usuarios… ahora, en Israel, también los protegemos contra las caries:

Sin dudas la imaginación de algunos usuarios muchas veces nos deja sin palabras.

Visto en entrebits

Cristian

Vota primero

Categorias: Curiosidades
6 Comentarios »

Hace poco he tenido el placer de colaborar en el desarrollo del Paper Net of the Living Dead: Bots, Botnets and Zombies junto a dos grandes de la industria antimalware David Harley (autor y colaborador de 9 libros relacionados a seguridad) y Andrew Lee CTO de ESET.

Les recomiendo la lectura del mismo debido a que se hace un repaso general del estado actual de las botnets y los equipos zombies.

El Paper también hace referencia a mi artículo anterior Botnets, redes organizadas para el crimen desarrollado el pasado año.

Cristian

Promedio: 5

Categorias: Informes
Dejar un comentario »