En el ambiente informático es bien conocido un viejo mito: “Mac no necesita antivirus”.

Sin embargo, si se pensara que todos los sistema informáticos tienen algo en común, esa frase cae por su propio peso: todos los usuarios somos vulnerables y cualquiera de nosotros puede ser engañado por técnicas de Ingeniería Social.

Este es el caso del troyano OSX.Trojan.iServices.A (o Krowi) que infectó miles de usuarios de Mac en la última semana, al ser descargado desde Torrent en la aplicación Apple iWork 09, previamente troyanizada por los atacantes (archivo iworkservices).

Un comportamiento similar ya lo habíamos visto en el rogue para Mac y, una vez más, las versiones pirateadas sirven de base para infectar a los usuarios.

La aplicación dañina está basada en una presentación realizada en la última Black Hat, donde se demostró una técnica de inyección sobre el sistema operativo Mac OS X. Supongo que esta noticia es falsa, porque los usuarios de Mac no tienen porqué preocuparse por el malware y por eso Apple lanzó una herramienta para eliminar el troyano.

No se deje engañar, no importa el sistema operativo o la aplicación que usa: todos somos vulnerables.

Actualización 27/01/2009 11:00: Intego anuncia la aparición de otra variante del mismo troyano, pero esta vez en un crack de una versión de Adobe Photoshop CS4.

Actualización 27/01/2009 21:00:MacUpdate ya ha actualizado su herramienta de eliminación.

Cristian

Categories: Malware, Piratería
7 Comments »

Ante todo quiero agradecer al diario InfoBae y Clarín de Argentina por hacerse eco de nuestra preocupación por la cantidad de infecciones realizadas por Conficker.

Según los datos obtenidos por nuestro Servicio Estadístico de Alerta Temprana, ThreatSense.Net, este gusano ha alcanzado un porcentaje de propagación mundial del 5% y del 8% en América Latina.

Sin embargo, en la Argentina, el gusano alcanzó el récord del 25% de todo el malware propagado en el país durante enero, dejando en evidencia la necesidad de gestionar la seguridad en forma adecuada.

Este porcentaje refleja una alarmante situación que repercute directamente en la falta de concientización, no sólo a nivel hogareño sino que, mucho más preocupante, en entornos corporativos. Una gran cantidad de infecciones se pudieron haber evitado de manera sencilla a través de la correspondiente actualización de seguridad y procedimientos claros tendientes a mitigar el impacto generado por este tipo de amenazas, las cuales no son novedosas ni sorpresivas.

En este caso en particular, la situación de la Argentina comparada con América Latina y el mundo demuestra la necesidad gestionar la seguridad de la información para evitar que estas historias se repitan, como ya sucedió con casos de códigos maliciosos altamente propagados en los últimos tiempos como Blaster, Sasser, RedCode, Zotob y otros tantos.

Cristian

Categories: Curiosidades, Declaraciones, Estadísticas, Malware
5 Comments »

Hemos hallado una gran cantidad de sitios web falsos y que simulan descargar distintos instaladores de herramientas muy conocidas como WinRar, WinZip, EMule, Torrent, Azureus, MSN Messenger, Zone-Alarm, Open Office, Opera, Firefox, Microsoft Internet Explorer, DirectX, RegCleaner y muchos otros.

Estos sitios descargan falsos instaladores generados por herramientas similares a la comentada por nosotros en creador de falsos navegadores web y, si bien esta técnica es muy conocida, lo realmente peligroso en esta ocasión es que esta campaña de distribución ha sido orientada a distintos idiomas y, si el usuario proviene de Latinoamérica o España el sitio web mostrado, estará en español, como puede verse a continuación en este sitio falso de Emule:

Como si esto fuera poco, la campaña ha sido orientada a lograr posicionamiento web a través de los buscadores (SEO – Search Engine Optimization) y es posible llegar a los sitio falsos a través de cualquiera de ellos con búsquedas muy sencillas:

Es decir, cualquier usuario puede llegar a estos sitios y descargar la herramienta falsa. Lo extraño es que, al comenzar la instalación, se descarga el programa original desde el sitio oficial de la aplicación, pudiendo tardar varios minutos dependiendo del tamaño de la aplicación y de la velocidad de descarga. Por ejemplo, aquí se muestra la descarga del paquete de Open Office:

Pero, luego de dicha descarga y, debido a que los programas supuestamente son gratuitos, se solicita el envío de cierta cantidad de SMS (de 2 a 4) para proporcionar un supuesto número de instalación y finalizar la instalación. Este evento, que puede parecer aislado, da cierto sentido de frustración al usuario que, después del tiempo invertido en la descarga e instalacióndel programa, prefiere enviar los SMS que seguir perdiendo tiempo.

En este caso se muestra la solicitud del código al intentar instalar el falso Flash Player. El mensaje remarcado muestra la cantidad de mensajes y el costo de los mismos, que varía dependiendo del país en que nos encontremos:

Luego de enviar los SMS solicitados, por supuesto no se recibe respuesta y ya se ha perdido el dinero (en este caso 8 pesos). Además a partir de este momento se ha instalado una barra llamada Peer2Peer en el navegador y los delincuentes recibirán un monto determinado de dinero por cada búsqueda que se hace en ella. Es importante destacar que esta barra ha sido realizada a través de la empresa Conduit legal que ofrece este tipo de servicios para construir barras de búsquedas gratuitas (la cuenta fue creada en octubre de 2008).

Como comentario al margen y orientado a la cantidad de trabajo necesario para realizar esta campaña, en uno de estos dominios puede verse la cantidad de instaladores falsos en distintos idiomas creados para este engaño… los cuales alcanzar los 1899 en el momento de escribir esto:

Entonces, en esta campaña es importante destacar las siguientes consideraciones:

• el tiempo invertido en construir la gran cantidad de sitios falsos (registrados la mayoría de ellos en noviembre pasado)
• el tiempo invertido en crear la gran cantidad de instaladores falsos (repito, 1899)
• el tiempo invertido en crear los sitios y los instaladores en distintos idiomas
• simular el proceso de instalación completo, incluso descargando la herramienta verdadera
• el tiempo invertido en realizar la campaña de SEO que bajo ningún punto de vista es algo sencillo de llevar a  cabo sobre los buscadores
• lograr el cobro de los SMS recibidos

Estos puntos dan una idea del tamaño de la campaña y del dinero que pueden recolectar estos delincuentes. ¿Queda alguna duda de la orientación económica de este tipo de engaños?

Actualización: al finalizar de escribir este post, la barra mencionada ha sido dada de baja por violar los términos de uso de la empresa que ofrece el servicio ya que fue utilizada para actividades fraudulentas.

Cristian

Categories: Alertas, Malware
10 Comments »

En el día de hoy hemos detectado una nueva campaña para engañar e infectar usuarios: se trata de correos y sitios web en donde se ofrece la posibilidad de enviar mensajes SMS en forma gratuita:

Por supuesto se trata de un engaño. Supuestamente para utilizar la herramienta se debe descargar una aplicación para actualizar Java, pero en realidad se termina descargando  el archivo Java_update.exe que es un programa dañino detectado como Win32/IRCBot.ALD por ESET NOD32.

Lamentablemente en la actualidad este tipo de prácticas son muy comunes por parte de las personas que buscan infectarnos ya que muchas veces nos dejamos llevar por las palabras Gratis o Free, sin pensar en las consecuencias que ello puede acarrear.

Cristian

Categories: Malware
3 Comments »

Para este Quinto Desafío de ESET los lectores fueron muy rápidos y la solución apareció enseguida.

Efectivamente como se indica en los comentarios, el archivo original estaba revertido (el primer caracter en la ultima posición, el segundo en la penúltima y así sucesivamente). Esta técnica de “ocultamiento” es bastante utilizada por los creadores de malware para intentar engañar a los antivirus.

Para revertir el archivo basta utilizar alguna herramienta para ese fìn o desarrollar una propia, como bien hizo uno de nuestros lectores.  Analizando el código hexadecimal o utilizando una herramienta como PEiD o similar se puede determinar  que el packer utilizado fue MEW 11 SE 1.2 de NorthFox.

Desempaquetando el archivo o bien simplemente ejecutándolo empaquetado, se puede constatar que se trata del viejo y conocido Notepad.exe de Windows XP SP2 sin ninguna modificación realizada.

En esta ocasión, la primera persona en responder correctamente las preguntas fue Miguel Febres a quien le estaremos enviando su Licencia en estos días. Una mención especial se la lleva RDGMax, quien desarrolló un pequeño programa para revertir el archivo y además utilizó su propia herramienta para detectar el packer. Felicitaciones a ambos por el trabajo desarrollado y nos vemos en el próximo.

Cristian

Categories: Desafío
1 Comment »