Una de las cuestiones más conocidas por las cuales se caracteriza el segundo mes del año, son los festejos por el día de San Valentín o Día de los enamorados; sin embargo, este festejo no fue una limitación en materia de malware, ya que además de aprovechar esta fecha particular, siguen esparciendo nuevas estrategias de engaño como las que describimos a continuación:

• Febrero se caracterizó por las estrategias de engaño que se enfocaron en tarjetas virtuales bajo temáticas “amorosas” aprovechando el día de San Valentín como excusa para propagar malware. Uno de los casos más resonantes fue el troyano que ESET detecta por heurística como Win32/Waledac o Win32/Kryptic que,  si bien tuvo un alto nivel de propagación, los usuarios de ESET NOD32 no se vieron afectados ya que  las direcciones IP utilizadas por el malware fueron bloqueadas desde un principio, dejando en total evidencia el concepto de proactividad.
• Por otro lado, también a principios de mes dimos a conocer una nueva alternativa de infección empleada por malware del tipo adware/spyware para engañar e infectar los sistemas de los usuarios: los códigos maliciosos en casinos online. La importancia de esta temática en materia de malware dio origen a un breve análisis que describe el funcionamiento y propagación de estas amenazas.
• Asimismo, luego del fuerte viento provocado por el gusano Conficker, aún hoy sigue provocando problemas a nivel mundial; sin embargo, sus acciones maliciosas y sus métodos de propagación nos dejaron algunas enseñanzas muy importantes como la importancia de no utilizar contraseñas débiles, el porqué de los parches y la importancia de actualizar el sistema operativo.
• Con menos incidencia se encuentra uno de los vectores de propagación más empleados por los creadores de malware como lo es el spam, que a mediados de mes conocimos casos como el de TIM Brasil con propagación de binarios maliciosos con extensión .CPL, y el que simula provenir desde Windows Live Messenger bajo la excusa de ser un protector de pantalla.
• En el mismo orden de incidencia  pero no por ello menos peligroso, continúa la aparición de falsos programas de seguridad (rogue) cuyos diseños son cada vez más elaborados como el que simula ser el explorador de Windows mostrando una falsa exploración del equipo.

Al igual que lo sucedido durante el mes anterior, el malware tampoco se ha tomado descanso en Febrero. Recuerden que cuentan con mayor recursos de información como nuestra sección de Videos Educativos y, como todos los meses, nuestro Ranking de propagación de amenazas e informe de amenazas de Febrero.

Jorge

Categories: Informes, Reportes mensuales
1 Comment »

Luego de la campaña del gusano Waledac por el día de los enamorados, el mismo logró altos índices de propagación. Finalizando el mes de Febrero, y disminuyendo el número de personas buscando en Internet por el día de San Valentín, los autores del troyano han modificado las técnicas de Ingeniería Social, para seguir infectando a los usuarios.

Utilizando los mismos dominios que hasta hace pocos días mostraban imágenes de corazones, peluches y flores; ahora los usuarios pueden observar una nueva interfaz:

Ahora, la técnica para tentar al usuario es el ofrecimiento de “increíbles ofertas” en más de 100.000 tiendas. Para acceder a las supuestas ofertas, el usuario debe hacer solo un clic para descargar el cupón de descuento. También se han modificado los nombres de los archivos de descarga. Hasta el momento, hemos detectado:

• couponlist.exe
• coupons.exe
  
• disc.exe
• discounts.exe
  
• list.exe
• nocrisis.exe
  
• print.exe
• run.exe
• sales.exe
• save.exe
  
• stopcrisis.exe

A pesar de que han variado los nombres, los archivos continúan siendo detectados por la heurística de ESET NOD32 como una variante de Win32/Kryptik.

Aunque ya pasó el día de los enamorados, el usuario debe seguir prevenido. Los atacantes modifican las técnicas con el fin de continuar la propagación del mismo código malicioso, modificado miles de veces.

Actualización 01/04/2009: desde ESET hemos publicado un informe sobre Waledac.

Sebastián

Categories: Alertas, Ingeniería Social, Malware
1 Comment »

En las últimas horas se ha detectado un alto porcentaje de correo electrónico no deseado que propaga malware simulando ser enviado por Windows Live de Microsoft.

El spam es generado desde una computadora infectada con el malware desde la cual se reenvía el correo a los contactos que se encuentran en el equipo víctima. En este caso, la estrategia de engaño consiste en la recepción de un correo electrónico de un contacto conocido. El correo electrónico malicioso (en portugués) es similar al siguiente:

En el remitente del correo, se agrega una dirección falsa que simula el dominio microsoft.windowslive.com.  Con esta acción, los creadores del malware intentan ganar la confianza del usuario.

Un detalle importante a destacar es la dirección que figura en la barra de tareas cuando se posiciona el cursor sobre el enlace. El mismo, no muestra la descarga de un archivo ejecutable sino las direcciones de correo involucradas (remitente y emisor); sin embargo, el malware es llamado desde el servidor a través del archivo panico.php. Este accionar también responde a la estrategia de engaño.

Ese enlace direcciona a la víctima hacia la descarga de un archivo binario llamado panico.scr que es el código malicioso intentando pasar como un protector de pantalla. El malware es detectado por ESET NOD32 bajo el nombre de Win32/VB.EA.

Este correo está siendo empleado de manera activa, por lo que recomendamos, además de la implementación de los productos de ESET, hacer caso omiso de correos similares, más aún, cuando el mensaje se encuentra, como en este caso, en otro idioma.

Jorge

Categories: Alertas, Malware, Spam
No Comments »

La aparición del gusano Conficker ha puesto en alerta a todos los usuarios sobre la importancia de actualizar el sistema operativo, cuyas vulnerabilidades pueden ser explotadas para propagar malware. Sin embargo, la última semana, nuevas vulnerabilidades encontradas en dos populares aplicaciones nos recuerdan los riesgos de no mantener actualizados los productos.

En las actualizaciones mensuales de Microsoft del mes de Febrero, el parche MS09-002, catalogado como crítico, es una actualización de seguridad para el Internet Explorer. Las vulnerabilidades que el parche remedia, pueden permitir la ejecución de código remoto, con páginas web especialmente diseñadas para tal fin.

Pocos días después, fueron detectados sitios web chinos con un exploit para aprovechar la vulnerabilidad y descargar malware que infectaba al equipo dejándolo en una Botnet. Como se puede observar, los altos índices de propagación del gusano Conficker han demostrado a los atacantes que, aún existiendo un parche disponible, muchos usuarios se toman su tiempo para actualizar sus aplicaciones, dejando una ventana de tiempo a los atacantes para infectar ordenadores explotando vulnerabilidades públicas.

El último jueves, la empresa Adobe publicó un boletín de seguridad identificando la vulnerabilidad APSA09-01 que afecta a los productos Adobe Reader y Acrobat. Al igual que en el caso anterior, la vulnerabilidad ya está siendo explotada por atacantes distribuyendo archivos PDF que instalan un troyano en el equipo de la víctima. Lamentablemente, el parche para remediar la vulnerabilidad será publicado por Adobe el día 11 de Marzo, por lo cual los usuarios deberán estar expuestos a esta vulnerabilidad hasta la fecha.

La empresa ha informado a los usuarios de un workaround para mitigar temporalmente el riesgo de infección: deshabilitar javascript en Adobe Reader, tal y como indicamos en la solución del Sexto Desafío. Aunque se pierde una funcionalidad de la aplicación, es recomendable aplicar las configuraciones sugeridas por la empresa. Lamentablemente, los atacantes trabajan rápido en la diseminación de códigos maliciosos y logran distribuir sus creaciones antes que las empresas publiquen los parches.

Por lo tanto, recomendamos a los usuarios:

• Actualizar sus sistemas operativos Windows con todos los parches disponibles para Febrero de 2009
• Deshabilitar javascript en Adobe Reader hasta la publicación del parche (Posteriormente, el 11 de Marzo, instalar las actualizaciones y habilitar nuevamente el soporte javascript)
• No visitar sitios web desconocidos ni abrir archivos PDF cuyo origen no sea confiable por el usuario

Sebastián

Categories: Alertas, Educación
1 Comment »

Luego de la gran cantidad malware propagado en el día de los enamorados, la campaña del troyano Waledac y el viagra continúa  y una semana después se puede encontrar los sitios dañinos listados en los buscadores, como por ejemplo en Google:

Es decir que estos sitios han logrado buen posicionamiento en los buscadores y cualquier usuario que busque postales puede llegar al sitio dañino que permite la descarga del troyano:

Si bien todos estos sitios son bloqueados por ESET, algunos de los nombres de archivos que utiliza el troyano Waledac, detectado por heurística por ESET NOD32 como una variante de Win32/Kryptik son:

• card.exe
• ecard.exe
• dev.exe
• install
• love.exe
  
• loveexe.exe
• loveu.exe
  
• loveyou.exe
• luvu.exe
• meandyou.exe
  
• mylove.exe
• onlyyou.exe
• patch.exe
  
• postcard.exe
  
• kit.exe
• readme.exe
  
• run.exe
• save.exe
• you.exe
  
• youandme.exe
  

…y algunos otros, elegidos aleatoriamente al momento de cargar la página.

Como podemos ver una semana después los creadores de este troyano incluso han mejorado su propagación con la utilización de los buscadores.

Actualización 01/04/2009: desde ESET hemos publicado un informe sobre Waledac.

Cristian

Categories: Heurística, Malware
1 Comment »