En estos días, y luego de las campañas de SEO llevadas adelante por los atacantes, hemos estado observando algunos casos de páginas web que se comportan distinto dependiendo del sitio que los referencie.

Este es el caso de algunas páginas que son visualizadas correctamente si se tipea la URL en el navegador pero, si se detecta que el usuario proviene de Google (es decir, que llego al sitio a través de una búsqueda), se inyecta un script dañino, que terminará llevando al usuario a un sitio de seguridad falso (rogue) o descargando un malware.

Para ver un ejemplo concreto veamos la siguiente imagen en donde un sitio determinado ha sido vulnerado agregando un script que verifica la procedencia del usuario a través de la etiqueta referer, la cual informa cual es el sitio web de donde proviene el usuario:

En este caso se “simuló” una navegación web (sin utilizar un navegador) a través de la herramienta wget y también se simuló que el usuario provenía de Google a través del modificador referer. Como puede verse en los enlaces subrayados, se ingresa a una serie de enlaces que el usuario no solicitó para terminar en sitios desde donde se descargan distintas variantes de Antivirus 2008 (variará con el tiempo).

Si verificamos la información a través del servicio de SafeBrowsing de Google, se nos informa de la misma situación:

Como ya mencioné, esto sólo sucede si el usuario proviene desde el buscador, pero si tipea la URL, no notará nada extraño e ingresará al sitio normalmente. Con esto los atacantes logran que cualquier usuario (no habitué del sitio) se infecte y además complica el análisis a los investigadores, que normalmente no notaríamos la modificación.

Como usuario no tenemos demasiadas herramientas para prever y/o prevenir este engaño ya que una vez más los creadores de malware han buscado una forma de pasar desapercibidos. Lo positivo es que la amenaza final (en este caso Adware y Rogue) es detectado por ESET NOD32 sin problemas, sólo tengamos cuidado al navegar y buscar.

Cristian

Categories: Alertas, Malware
2 Comments »

ESET Linux Security es el conjunto de aplicaciones de seguridad de ESET para plataformas NIX* que cuenta con protección para servidores de archivos (ESET File Security), servidores de correo (ESET Mail Security) y Gateway (ESET Gateway Security).

Contrariamente a lo que se puede pensar, implementar ESET Linux Security es sumamente sencillo. Por otro lado, si bien el caudal de programas dañinos existentes para este entorno es mucho menor comparado con plataformas Windows, existen. Además, nos permite asegurar aquellos entornos que interactúen con nuestro Linux, por ejemplo en el caso se servidores de archivos implementados sobre estas plataformas y que almacenan archivos que posteriormente serán utilizados en Windows.

En principio, debemos descargar el archivo binario desde el sitio web de ESET correspondiente a la distribución que tengamos. Por ejemplo, para Plataformas basadas en Debian, el nombre del archivo es similar a esets.i386.deb.bin. En este caso, se realizará la instalación de ESET File Security sobre Ubuntu 8.10.

A través del comando sh creamos el paquete de instalación:

# sh esets.i386.deb.bin

Aparecerá el contrato de licencia, el cual debemos aceptar para luego proceder a la instalación del paquete:

# dpkg –i esets-3.0.10.i386.deb

A continuación debemos importar el archivo de licencia (.lic) que recibimos a través de correo electrónico al adquirir el producto.

# esets_lic –import EAV-xxxxxxxx.lic

En esta instancia, ya habremos instalado ESET File Security pero es necesario modificar las líneas correspondientes al nombre de usuario y contraseña, que se encuentran en el apartado ESETS Update options, para poder mantener las actualizaciones al día. Para ello, editamos el archivo de configuración llamado esets.cfg que se aloja en /etc/esets/:

Como se aprecia en la imagen, debemos “descomentar” las dos líneas e ingresar la información correspondiente. Una vez realizada  la modificación, es necesario reiniciar el demonio para que se establezcan los cambios realizados:

# /etc/init.d/esets_daemon restart

Por último, cada vez que queremos explorar alguna carpeta, solo debemos ejecutar en una terminal el módulo correspondiente a la exploración bajo demanda, seguido de la ruta de la carpeta a explorar:

# esets_scan /[RUTA_A_EXPLORAR]

Por ejemplo:

# esets_scan /home/esetlab/download

De esta forma, de manera sencilla habremos implementado ESET Linux Security en nuestro Linux y podremos mantener el entorno seguro.

Nota: Si bien en este caso el procedimiento se realizó sobre Ubuntu, el mismo puede ser llevado a cabo con cualquier otra distribución de la misma forma, incluso si la distribución estuviera basada en RedHat (paquetes RPM).

Jorge

Categories: Educación, Productos, Tutoriales
No Comments »

Luego de nuestro aviso sobre la Campaña masiva de sitios e instaladores falsos en español, es bueno poder terminar de entender a qué nos referimos cuando hablamos de Scam y en este caso, de Scam vía SMS.

Se llama Scam al engaño deliberado hacia una persona con el objetivo de ocasionarle una pérdida económica, generalmente a favor de quien realizar el engaño (es decir que se trata de un fraude). Se diferencia del Hoax (bulo) en que este último no persigue un fin económico.

La forma más común de scam es aquella que utiliza el correo electrónico para engañar al usuario sobre una supuesta fortuna en algún país extranjero (generalmente de África), motivo por el cual también se conoce a este tipo de fraude como estafa nigeriana o timo 419 (por el número de artículo del código penal de Nigeria que viola).

Entonces, el SMS Scam es el mismo estilo de engaño (otro tipo de Ingeniería Social) pero realizado a través de mensajes de SMS. En el caso analizado de los instaladores falsos, se engaña al usuario para que envíe cierta cantidad de SMS a cambio de un servicio o producto que no será entregado y el usuario pierde el costo del SMS, que es embolsado por el estafador.

Como podemos ver, el medio tecnológico puede cambiar (correos, Fax, SMS, VoIP, etc.) pero los engaños permanecen y se adecuan al avance de la tecnología, siendo fundamental la educación y capacitación para no caer en los engaños de siempre.

Cristian

Categories: Educación, Hoax, Ingeniería Social
3 Comments »

Luego de la repercusión que ha tenido Conficker y de la cantidad de equipos infectados en todo el mundo, en ESET hemos desarrollado una herramienta gratuita para los usuarios, en caso de que no utilice ESET NOD32.

Esta herramienta sólo elimina el Conficker y está disponible para todos los usuarios interesados, aunque además es recomendable la exploración con ESET Online Scanner o la descarga de evaluación de ESET NOD32 o ESET Smart Security.

Cristian

Categories: Productos
11 Comments »

Con el ánimo de concienciar y desmitificar el miedo hacia los códigos maliciosos (debemos tenerle respeto, no miedo), nuestro Laboratorio viene alertando hace un tiempo sobre la aparición de determinados aplicativos que permiten crear y diseminar malware de una manera tan sencilla e intuitiva que resulta prácticamente una diversión para los usuarios que deciden hacer uso de las mismas.

Lo expuesto con la campaña masiva de sitios falsos, la creación automatizada de falsos instaladores, las técnicas maliciosas anti-análisis, los generadores de malware y la creación de falsos YouTube son sólo algunos de los ejemplos que muestran sólo una pequeña porción de la inmensa cantidad de aplicativos de este estilo que día a día inundan la red.

En este caso, la técnica consiste en la clásica descarga de un supuesto codec necesario para la visualización de un video que en ambos casos es falso. Si el falso codec no es ejecutado no pasa absolutamente nada, pero si por el contrario el mismo es ejecutado, el usuario habrá infectado su sistema con un malware.

Este tipo de contenidos son realizados con herramientas automatizadas que permiten generar las falsas páginas. La herramienta que recientemente hemos detectado está constituida por un archivo HTML que tiene la ruta al archivo ejecutable dañino. Lo único necesario para completar el proceso de propagación, es que el usuario malicioso modifique las líneas correspondientes a la descarga del malware que desee.

Entre otras opciones, el aplicativo también permite insertar una etiqueta iframe (para realizar Drive-by-Download) y un video.

Esta técnica está siendo empleada masivamente y uno de los últimos casos encontrados por nuestro Laboratorio fue la diseminación del código malicioso que ESET NOD32 detecta como Win32/Injector.HY. Por lo tanto, no está de más recomendar el empleo de programas de seguridad antivirus como los ofrecidos por ESET y, quienes necesiten descargar codecs, deben hacerlo desde sitios oficiales o confiables.

Jorge

Categories: Alertas, Malware
1 Comment »