Archivo para mayo, 2008
Phishing a Bancomer
mayo 31, 2008 8:34 amUn ataque de phishing a la entidad bancaria Bancomer de México está circulando a través del correo electrónico de muchos usuarios.
Este caso en particular, es una prueba de que los ataques de phishing son cada vez más eficaces debido a la similitud con la página web real. En esta oportunidad, la metodología de engaño consiste en modificar la URL de la siguiente manera:
http://[dirección IP fraudulenta]/www.bancomer.com.mx/
En la siguiente imagen se aprecia mejor el engaño:
De esta forma, intenta simular que el usuario esta accediendo al sitio web verdadero de la entidad bancaria.
Aquella persona que acceda al enlace incrustado en el cuerpo del mensaje, accederá a la página clonada, creada por el phisher.
Nunca debe acceder a páginas bancarias a través de enlaces en correos electrónicos, es conveniente escribir la dirección web de su banco directamente en la barra de navegación del browser.
En la Plataforma Educativa de ESET Latinoamérica se encuentra disponible un curso en línea y gratuito sobre Seguridad en las transacciones comerciales donde podrán aprender mucho más sobre cómo prevenir y detectar este tipo de acciones.
Jorge
¿Bajando video pornográfico o malware?
mayo 30, 2008 3:09 pmEl material pornográfico es uno de los focos de infección más aprovechados por los diseminadores de códigos maliciosos y de hecho, los sitios web con contenido pornográfico suelen ser contenedores de algún tipo de malware.
Por tal motivo, es común recibir “invitaciones”, como la que se observa en la imagen, donde se promete visualizar videos de celebridades en situaciones comprometedoras.
Al acceder desde el vínculo somos redireccionados, supuestamente a la página donde deberíamos obtener el video, en este caso, de Jennifer Aniston. Sin embargo, contrariamente a lo esperado, nos encontramos con lo siguiente:
A los pocos segundos de esperar por el nuevo video (Please Wait!), nos aparece para la descarga un archivo llamado video_new.exe que no es precisamente un video, sino que es un código malicioso. En este caso, se trata de un troyano identificado por ESET NOD32 bajo el nombre de Win32/Agent.ETH.
En consecuencia, no está de más recordar que nunca se debe acceder a sitios web desde los enlaces incrustados en el cuerpo de correos electrónicos, ya que como se aprecia en el ejemplo, el riesgo de ser víctimas de la Ingeniería Social aplicada al malware es alto.
Jorge
Archivos Flash en peligro
mayo 28, 2008 9:27 pmSe han reportado gran cantidad de sitios que, aprovechando una vulnerabilidad en Flash Player de la empresa Adobe, descargan e instalan malware en el equipo del usuario. Esta vulnerabilidad, un desbordamiento de buffer, permite ejecutar scripts en el equipo del usuario y la posterior descarga de códigos dañinos.
Adobe, luego de su investigación, ha catalogado a esta vulnerabilidad como crítica y que solo afectaría (aún en investigación) a las versiones de Flash Player anteriores a la última versión Flash Player 9.0.124.0 por lo que es recomendable:
- Actualizar de inmediato este reproductor desde la página de descarga oficial de Adobe
. Se puede leer un documento sobre la importancia de las actualizaciones. - Utilizar aplicaciones que permitan el bloqueo de scripts desde sitios web.
- Utilizar un antivirus con capacidades proactivas para detectar y bloquear la posible descarga de malware a través de vulnerabilidades como estas.
En este momento, ESET NOD32 detecta los archivos Flash maliciosos como SWF/TrojanDownloader.Swif.C y las amenazas descargadas como gusano Jalous o como troyano TrojanDownloader.Psyme.
Como siempre mencionamos, los creadores de malware se valen de muchas herramientas y la falta de actualización del sistema operativo y de las aplicaciones, por parte del usuario, es una de ellas. Recuerde que actualizar todas las aplicaciones es fundamental.
Cristian
Creando una Bot en dos clics
9:00 amEn anteriores ocasiones hemos hablado de cómo usuarios maliciosos controlan sus botnets, de sus estadísticas de infección y de cómo se propaga este tipo de troyanos. Sin embargo, para poder cubrir todo el ciclo es necesario explicar las metodologías utilizadas para crear las mismas. Las tendencias que hemos observado consisten en modificar el código de bots ajenas (de otros delincuentes), para luego empaquetarlas e intentar volverlas indetectables pero, nunca falta alguien que lo facilite para el usuario malintencionado que no posee conocimientos de programación:
Como se observa, no es más que un creador de troyanos del tipo bots con entorno gráfico, en el que solo se deben especificar los siguientes parámetros:
- Nombre del servidor IRC
- Puerto del servidor
- Nombre del canal IRC
- Nick del administrador malicioso (botner) al que responderán los equipos infectados
- Métodos de propagación
- Nombre del archivo ejecutable
- Opción de empaquetar con UPX el ejecutable eligiendo, a su vez, el nivel de compresión
- Mensaje de respuesta del equipo zombi al conectarse
- Nombre del malware al copiarse al equipo
- Nombre del malware al copiarse al registro de Windows
- Establecer un icono para el malware
De esta forma no se necesitan conocimientos para crear una bot y su desarrollo se realiza con extremada facilidad. Sin embargo, a pesar de la multitud de opciones posibles, y de utilizar el nivel máximo de empaquetamiento, ESET NOD32 detecta el servidor creado bajo el nombre de Win32/Brabot.A.
Joaquín
