Sin bien el phishing actualmente no es ninguna novedad, durante este mes se ha masificado su explotación a través de diferentes amenazas, sobre todo, con motivo del cercano festejo de las fiestas navideñas.

En este caso se trata de un archivo llamado “videotestimonio.mpeg.exe” que llega hasta el usuario a través de un correo electrónico simulando ser una noticia sobre un supuesto secuestro en México:

El archivo descargado, detectado por ESET NOD32 como BAT/Qhost.NAT, en primera instancia, posee doble extensión, una vieja técnica de engaño que responde a una estrategia de Ingeniería Social aplicada sobre el archivo.

Al ser ejecutado, se abre el navegador web predeterminado mostrando una página de YouTube. Esto es otra estrategia de engaño tendiente a  evitar sospechas por parte del usuario, ya que, por el nombre del archivo, lo que se espera es la visualización de un video.

Sin embargo, de manera transparente, el código malicioso realiza lo que se conoce como pharming local que modifica el archivo hosts con información maliciosa. Veamos una captura al respecto:

De esta manera, se realiza un ataque de pharming local orientado a redireccionar al usuario de manera subrepticia hacia un sitio web falso, en este caso, de las entidades bancarias Banamex y Bancomer de México.

Algunas características a tener en cuenta sobre este tipo de malware son:

• No dejan un proceso malicioso corriendo en tiempo real en memoria
• No manipulan el registro con información maliciosa
• Sólo modifican el archivo hosts del sistema
• Al ser ejecutados suelen redireccionar hacia alguna página relacionada con el engaño

Los ataques de phishing constituyen una de las más peligrosas amenazas para el bolsillo de los usuarios, por lo tanto, debemos estar atentos a este tipo de engaños para poder advertirlo de manera oportuna, además de mantener actualizado nuestro ESET NOD32.

Jorge

Categories: Alertas, Ingeniería Social, Malware, Phishing
No Comments »

En el día de hoy, un gerente de una importante empresa nos ha reportado un programa (MD5: 2408bbdb538b82f817e298d54c8d4d72 – contraseña “eset-latinoamerica”) hallado en su sistema. El mismo aparenta ser una postal de navidad y el usuario teme que en realidad se trate de un ataque para robar información de su organización.

¿Se trata de una tarjeta navideña o tiene razón nuestro cliente y se está robando información de su empresa? En este último caso ¿cómo se realizaría esta acción? Se debe justificar y demostrar la respuesta.

Tal y como en los desafíos anteriores, las respuestas deben ser dejadas en los comentarios y serán publicadas posterior a la resolución del acertijo. La primera persona en responder correctamente se llevará una Licencia del Antivirus de ESET.

Notas: el código no contiene rutinas que puedan dañar el sistema del usuario, quien es responsable por su participación en este desafío y se hace responsable de las pruebas que desee realizar para participar del mismo. La detección del archivo ejecutable como malware por parte de algunos antivirus corresponde a un Falso Positivo. Para aquellos que hayan participado del segundo desafío, en esta oportunidad no se trata de Ingeniería Social.

Suerte y esperamos sus respuestas en los comentarios, los cuales serán publicados cuando se defina el ganador.

Actualización 23/11/2008: ya hemos publicado la solución al cuarto Desafío de ESET.

Cristian

Categories: Desafío, Educación
18 Comments »

Como anunciamos, se está aprovechando una vulnerabilidad no solucionada en Internet Explorer para descargar malware. Aunque no se puede resolver completamente el problema, para mitigarlo y prevenirlo lo máximo posible, debemos realizar una sencilla configuración en el navegador.

Si bien las capturas que utilizaremos están basadas en la versión 7.0 de Internet Explorer, también son aplicables, aunque encuentren ligeras diferencias, para la versión 6.

En primer lugar, debemos acceder a las Opciones de Internet desde el menú Herramientas. Luego, en la solapa Seguridad, cambiamos el nivel de seguridad para la zona de Internet a Alto y finalizamos haciendo clic sobre el botón Aplicar. De esta manera deshabilitaremos funcionalidades como la ejecución de código Active scripting, ActiveX, Applets de Java, etc., brindando mayor grado de seguridad al navegador.

En la zona Sitios de confianza de la misma solapa, podemos especificar, a través del botón Sitios, las direcciones de los sitios web que consideramos de confianza.

En la solapa Privacidad, también es conveniente que, desde el botón Avanzada, se tilde la casilla de verificación llamada Invalidar la administración automática de cookies y, en las opciones que se habilitan, marcar en Preguntar.

Otra configuración importante que guarda relación directa con la explotación de vulnerabilidades es la relacionada a los objetos multimedia. Para controlarlo se debe deshabilitar dos opciones, Activar animaciones en páginas web y Reproducir sonidos en páginas web, ubicadas en la solapa Opciones avanzadas.

Por otro lado, y fuera de las configuraciones de seguridad propias del navegador, también es conveniente configurar la prevención de ejecución de datos (DEP) presente en plataformas Windows XP y Vista. Esto se logra accediendo a: Mi PC > Propiedades > Opciones avanzadas y en la sección rendimiento hacer clic sobre el botón Configuración.

Se abrirá la ventana Opciones de rendimiento y, en ella, debemos asegurarnos que se encuentre activada la opción Activar DEP sólo para los programas y servicios de Windows esenciales.

Por último, ESET NOD32 detecta y elimina estas amenazas por lo que es altamente recomendable actualizarlo y mantenerlo activo.

Actualización 15/12/2008 11:00hs: a medida que Microsoft sigue investigando la vulnerabilidad van apareciendo otras alternativas más avanzadas para mitigar el fallo.

Actualización 17/12/2008 17:00hs: Microsoft acaba de publicar la actualización crítica MS08-078 para esta vulnerabilidad. Por favor actualice inmediatamente.

Jorge

Categories: Alertas, Informes, Malware, Vulnerabilidades
1 Comment »

El lunes 8 de este mes, un día antes que aparecieran las actualizaciones mensuales de Microsoft, un grupo chino (presuntamente sin intención, aunque hay otras versiones) hacía circular por Internet un exploit 0-day (vulnerabilidad sin solución hasta el momento) para Internet Explorer 7.0. Al hacerse conocido en ese momento, imposibilita a la empresa a lanzar una actualización al día siguiente y logrando que el exploit se masificara.

Por eso, en este momento existen múltiples variantes del mismo que están siendo aprovechadas por los creadores de malware para difundir sus creaciones. Microsoft se encuentra trabajando en la solución en su Aviso de seguridad número 961051. Hasta el momento, se desconoce el impacto real de la vulnerabilidad pero se sabe que potencialmente podría incluir a Internet Explorer 6.0 o superior (en Windows XP, Windows Vista y Windows Server 2003 y 2008, aún con todos los Service Pack instalados), sin bien hasta ahora solamente se encuentran circulando exploits para la versión 7.0 del navegador.

Los diferentes exploits activos explotan una vulnerabilidad en el manejo de etiquetas XML que efectúa Internet Explorer y, a través de un código Javascript, genera un código ejecutable (shellcode), que, a su vez,  descarga otro archivo con diferentes troyanos. ESET NOD32 bloquea las amenazas.

Como puede verse el exploit permite ejecutar código arbitrario en el sistema del usuario y descargar cualquier tipo de programa dañino al sistema, lo que lo vuelve extremadamente peligroso.

Para agravar el problema, los exploits y malware se encuentran circulando en Internet ya que los mismos han sido inyectados a través de Javascript en cientos de sitios e incluso ya es posible encontrarlos con cualquier buscador. La inyección realizada en sitios vulnerables, que posean información en Microsoft SQL Server, es la siguiente:

Si el usuario ingresara a estos sitios, se llamará automáticamente al Javascript mostrado, comenzando la explotación del fallo y la consecuente descarga del malware. A continuación dejo una captura de pantalla del código Javascript que explota la vulnerabilidad en Internet Explorer 7.0 y genera la shellcode mencionada:

Y, a continuación otra imagen de lo que sucede al ingresar a un sitio modificado en el cual se insertó el Javascript:

Como puede verse en los recuadros se descargan distintos HTML, los cuales son explotaciones de vulnerabilidades anteriores ya solucionadas pero, que ante la duda, se ejecutan ya que existen millones de usuarios que aún no han actualizado su sistema. Luego, se encuentra el archivo “ie7.htm” que es el mostrado anteriormente y que descarga el archivo win.exe.

Resumiendo:

• Aparece una vulnerabilidad no parcheada (0-day) y el lunes 8 se publicó un exploit para la misma.
• Microsoft aún se encuentra analizado el problema para lanzar quizás una actualización fuera del circuito de cada mes,
• Existen diferentes explotaciones del malware que terminan descargando diferentes malware al equipo del usuario,
• Existen cientos de sitios desde los cuales es posible infectarse simplemente ingresando,
• ESET NOD32 detecta las amenazas, ya sea el exploit como los malware descargados a través de su Heurística Avanzada.

Pasos para la mitigación del problema (no resuelven completamente el problema):

Desde ESET hemos publicado una pequeña guía paso a paso para prevenir la explotación de esta vulnerabilidad y la posible descarga de malware y además es bueno seguir estos consejos:

• Actualizar a la brevedad para evitar que otras vulnerabilidades antiguas afecten nuestro sistema, sobre todo al ingresar a sitios webs como los mostrados en la imagen.
• Instalar un antivirus con capacidades proactivas como ESET NOD32 que detecte tanto el exploit como el malware descargado.
• Configurar el navegador en nivel Alto de seguridad y habilitar el Modo protegido de Internet Explorer en los sistemas que lo permitan, para prevenir la ejecución de código en páginas no confiables.
• No autorizar ejecución de código cuando el navegador lo solicite, mostrando la barra amarilla en la parte superior del mismo.
• Activar DEP (Data Execution Prevention), ya que por defecto se encuentra desactivado en Internet Explorer, para prevenir la ejecución de código en zonas de memoria no marcadas como ejecutables.
• No utilizar el sistema con permisos administrativos para evitar la posible ejecución de código.

Repito que esto mitiga en gran parte del problema pero, no lo soluciona. Por eso, es fundamental contar con las herramientas adecuadas de prevención, el sentido común y los buenos hábitos y educación que cada día intentamos llevar a Uds. desde ESET.

Actualización 17/12/2008 17:00hs: Microsoft acaba de publicar la actualización crítica MS08-078 para esta vulnerabilidad. Por favor actualice inmediatamente.

Cristian

Categories: Alertas, Informes, Malware, Vulnerabilidades
No Comments »

En varias oportunidades he leído noticias sobre herramientas supuestamente novedosas y de aparición relativamente reciente que permiten generar códigos maliciosos de manera automática, sin que el esfuerzo supere el solo hecho de hacer un clic. La siguiente captura, nos muestra  una de estas aplicaciones:

En este caso, la manera en que esta herramienta fue presentada ante el usuario común me recuerda a escenas de películas de terror, esas que generan pánico a cualquier persona. Sin embargo, me gustaría compartir unas palabras para apaciguar en los usuarios esa sensación de miedo que puede llegar a generar este tipo de programas dañinos.

Por un lado, recordando acciones comunes propias de los viejos virus informáticos y los primeros troyanos, no es difícil darse cuenta que las funcionalidades ofrecidas por esta aplicación dañina no son para nada novedosas, teniendo algunas de ellas más de una década, como puede consultarse en nuestra Historia de los Virus Informáticos.

Funcionalidades como deshabilitar el registro, la restauración del sistema o el administrador de tareas, se encuentran presentes en cualquier malware actual. Por ejemplo, el generador que se expone en la imagen fue lanzada en septiembre del 2007.

Quizás, lo que sí resulta novedoso en este campo, es la capacidad que esta incorporando el malware actual de detectar ambientes virtualizados, como el que se muestra en la siguiente captura:

Si bien es cierto que aplicaciones dañinas de este estilo facilitan la creación automatizada y masiva de malware, sobre todo, por usuarios sin experiencia ni conocimientos informáticos, no debemos caer en el miedo o la paranoia que no nos permita disfrutar el uso de la tecnología.

Simplemente debemos estar atentos y dejar la seguridad antimalware a soluciones como ESET NOD32 que detecta estas amenazas de manera proactiva desde su lanzamiento, merced a su heurística avanzada.

Jorge

Categories: Malware
7 Comments »