Creo que ya no es noticia para nadie que desde hace un par de semanas se está aprovechando a CNN como excusa para propagar malware y que comenzó con la campaña de los videos de famosas desnudas (y no sólo Angelina Jolie).

Por eso en este caso analizaré las técnicas que se están empleando para hacer esta campaña que tiene como objetivo que el usuario descargue el troyano Win32/Agent.ETH que luego descarga el rogue Antivirus XP 2008 que ESET NOD32 detecta a través de su Heurística Avanzada como variante de Win32/TrojanDownloader.FakeAlert.FT y que es objeto de estudio nuestro artículo Rogue: falsos antivirus gratis.

Para propagarse, en el primer caso se envía spam con supuestas noticias y texto llamativos para que el usuario se vea tentado de hacer clic.

Estos correos utilizan una técnica básica de Ingeniería Social y generalmente incluyen logos de algún medio de comunicación (como CNN ó BBC) para lograr mayor impacto y credibilidad. En los últimos casos analizados también se insertan enlaces a noticias reales con el mismo fin. En este ejemplo, se puede ver un supuesto servicio llamado “CNN Alerts” para lograr el efecto deseado:

Cabe mencionar que CNN dispone de este servicio de información CNN E-Mails a través del correo electrónico, pero el usuario debe registrarse previamente para recibir las noticias. Es decir, que este tipo de engaño puede obtener mayor repercusión en usuarios registrados ya que los mismos podrían confundir el correo real con el falso.

Hasta aquí es noticia vieja, ya que es normal que el malware se propague por spam. Lo novedoso de esta campaña es que los creadores de malware también la están difundiendo por la web a través del servicio de Blog de Google:

Como puede verse, la metodología es la misma y a la derecha se pegó la cantidad de posts publicados en ese blog durante su laaaaaaarga vida… desde 1979 año en que había alrededor de 3 computadoras conectadas en el mundo, las usaban los militares norteamericanos e Internet, como la conocemos hoy, aún no existía. Además, evidentemente esta persona conoce la forma de viajar al futuro, al Año 2013 específicamente.

Por supuesto, se trata de la creación masiva de posts en blogs creados automáticamente para engañar a los usuarios. Lo grave de este caso es que si se realiza una búsqueda en cualquier buscador, se pueden encontrar más de 8.000 sitios de este tipo:

Lo realmente peligroso es que el usuario podría ingresar a estos sitios desde el mismo buscador y ser infectado, si no cuenta con la protección adecuada.

Por eso, es fundamental no abrir nada que no se haya solicitado y prestar especial atención a las URL de las búsquedas que se realizan, así como también desconfiar de los servicios a los que no se está suscripto.

Cristian

Categories: Alertas, Educación, Ingeniería Social, Malware, Spam
8 Comments »

En las últimas horas hemos detectado una tasa muy alta de propagación de spam que apuntan a infectar al usuario con el troyano downloader que ESET NOD32 identifica como Win32/TrojanDownloader.FakeAlert.DJ.

El correo recibido tiene el mismo aspecto que en el caso de las famosas desnudas y el de Angelina Jolie, pero se anuncia la supuesta nueva versión de Internet Explorer 7.0:

Lo curioso de este caso es que el troyano (archivo video.avi.exe) descarga el instalador del rogue Antivirus XP 2008 que ESET NOD32 detecta como Win32/TrojanDownloader.FakeAlert.FF y del cual acabamos de publicar el artículo Rogue: falsos antivirus gratis, con todas las actividades que realiza el mismo:

Además, en estas últimas horas los creadores de este rogue han creado decenas de sitios en donde alojan el instalador del falso antivirus. Los dominios son combinaciones de las palabras “antivirus”, “XP”, “free” y “2008″ ya sea .com ó .net y desde los cuales los usuarios resultarán infectados.

Para finalizar hemos publicado un nuevo Video Educativo sobre las actividades mencionadas anteriormente y sobre como debería actuar el usuario para evitar ser infectado.

Espero disfruten del artículo y del video y que los mismos sean de utilidad para terminar con esta pesadilla que promete ser gratis y termina saliendo muy cara para la seguridad del usuario.

Actualización 11/08/2008: acabamos de publicar la forma de eliminar Antivirus XP 2008.

Cristian

Categories: Alertas, Educación, Informes, Malware, Multimedia, Rogue
13 Comments »

El día 6 del corriente mes se llevo a cabo en Guatemala una nueva edición del evento Technology Day organizado por la revista ITNow y allí estuvo ESET.

En esta oportunidad participamos a través de una charla sobre seguridad, puntualmente, seguridad en el EndPoint, en la cual pudimos hablar sobre la problemática del malware actual, cuales son sus objetivos, cómo fortalecer el punto de trabajo, entre otros temas.

También estuvimos presente nuevamente en la Universidad de San Carlos brindando, como ya es costumbre, un nuevo seminario de capacitación sobre Seguridad Antivirus en Internet, y llevando a cabo una serie de charlas en otras organizaciones importantes brindando el apoyo necesario a nuestro representante oficial en este hermoso país.

Esperamos que nuestras charlas hayan sido positivas y productivas para todos aquellos que asistieron a las mismas. Y aprovecho la oportunidad para agradecer a todos por la calurosa bienvenida.

Jorge

Categories: Eventos
1 Comment »