En los últimos días hemos detectado en nuestro Laboratorio la reaparición de correos referidos a la empresa TIM Brasil, que son propagados como spam indicando el supuesto envío de un video por parte de otro usuario:

En la imagen se puede observar el enlace para visualizar el video. Además, bajo el otro recuadro rojo se destaca la técnica de Ingeniería Social utilizada para obtener la confianza del usuario, indicando que el correo no posee ningún virus, “chequeado por TIM ORG” que, obviamente, no es ningún antivirus.

Si el usuario accede al enlace, tentado por el supuesto video, verá un error indicando que “no posee la última versión de Flash Player” y se ofrecerá un botón de descarga.

Al realizar clic sobre el botón de “Instale agora” se descargará en el sistema un archivo de extensión .CPL. Si el usuario lo ejecuta, el mismo descarga otro archivo malicioso desde http://sipriano.[eliminado].net/sysmod.mod, que  ESET NOD32 detecta como Win32/Spy.Banbra, un troyano bancario que roba contraseñas al usuario.

Una de las claves del ataque, es la extensión del archivo que se descarga, desconocida por la gran mayoría de los usuarios. La extensión .CPL es utilizada por los Sistemas Operativos de Microsoft Windows para los componentes del Panel de Control.

Muchos usuarios ya han tomado la costumbre de cuidarse de los archivos ejecutables más populares: .BAT, .EXE y .COM. Sin embargo, estos no son los únicos archivos que pueden ejecutar código y los estos ataques están utilizando otras extensiones (.CPL, .SCR, .DAT) para que el usuario no crea que puede infectarse con ellos.

Como precaución, no se deben descargar archivos de ninguna extensión cuando se trata de sitios desconocidos y, ante la duda, explorar el mismo con un antivirus con capacidades proactivas.

A seis meses de nuestro primer reporte sobre videos de TIM Brasil, se sigue utilizando la difusión de malware con estos contenidos, lo que demuestra la efectividad de estas técnicas y lo simple que les resulta engañar al usuario, si este no esta concientizado respecto a las técnicas actuales de Ingeniería Social.

Sebastián

Categories: Alertas, Ingeniería Social, Malware, Spam
3 Comments »

Luego de todo el agua que ha pasado debajo del puente Conficker sigue creciendo, o al menos no se detiene, como puede verse en este gráfico de ISC que muestra el tráfico en el puerto 445, utilizado por el gusano:

Por este motivo desde el 15 del corriente mes, Microsoft ha ofrecido U$S 250.000 a quien aporte información sobre el autor del gusano y diversas organizaciones siguen trabajando para detener las infecciones y evitar un daño mayor, que podría venir provenir de los dominios a los cuales se intenta conectar el gusano de forma “aleatoria”. Así mismo muchas compañias ofrecen información detallada y al instante, como puede verse en este resumen de ISC (en inglés).

Mientras tanto y para tener en cuenta un dato relacionado a las estadísticas del gusano:

• El 24 de enero publicamos que Conficker alcanzaba el 5,08% de las detecciones mundiales de ESET, el 8,07% en América Latina y el 25,3% en Argentina
• Hoy, representa el 3,52% del malware detectado en el mundo, el 8,86% en América Latina y el 22,06% en Argentina; una diferencia ínfima a pesar de que han pasado 20 días.

Como dijimos desde el primer momento: utilice un antivirus como ESET NOD32 que lo protege de posibles infecciones y parchee inmediatamente.

Actualización 28/02/2009: en el último día de febrero representa el 8,32% del malware detectado en el mundo, el 10,62% en América Latina y el 24,87% en Argentina, lo cual indica que su propagación continúa.

Cristian

Categories: Estadísticas, Malware
No Comments »

En algún momento he leído sobre un “servicio de investigaciones” que promete descubrir las contraseñas de los correos electrónicos para que, quien contrata el “servicio” pueda ingresar sin problemas a la casilla de la víctima. Sin dar vueltas es un “servicio” que prometen robar las contraseñas de correo de otra persona.

Si bien es posible que se le proporcione la información de acceso de la casilla solicitada, en cualquier parte del mundo constituye un acto que escapa de toda condición de ética y puede rozar cuestiones legales como violación a la privacidad.

En este caso, el “investigador” envía a la dirección de correo de la víctima un mensaje engañoso bajo la cobertura de provenir de la entidad donde tenemos registrada la casilla, en nuestro ejemplo es Gmail, y un asunto alusivo al chequeo por algún problema en la cuenta. No es otra cosa que un ataque de phishing que busca robar información:

Aún así, resulta interesante saber cuáles son las pautas que debemos atender para detectar este tipo de acciones:

En la captura podemos observar una serie de características que presenta la página fraudulenta que debemos observar para detectar su falsedad:

• En la barra de dirección se debe asegurar que la URL comienza con el protocolo de seguridad HTTPS utilizado por Gmail, Yahoo!, Hotmail o la mayoría de los sistemas de webmail actuales. Este punto en particular debe ser verificado al acceder a sitios que solicitan información confidencial para poder utilizar sus recursos, como por ejemplo, el acceso a la zona de Home-banking de las entidades bancarias.
• Si observamos con atención, la leyenda de bienvenida real no es  la que figura en la captura sino que es “Bienvenido a Gmail”.
• Esto también sucede con la URL que figura en la captura
• Por último, se debe chequear la fecha que figura al pie de la página. Esta debe corresponder al año en curso; si escribimos en nuestro navegador www.gmail.com, observaremos que la dirección comienza con https:// y que la fecha del pie de página es 2009.

Observando con cuidado estos simples y visibles detalles evitaremos ser víctimas de este tipo de maniobras maliciosas. Por otro lado, para aprender más sobre phishing, pueden visitas la sección de Videos Educativos de ESET Latinoamérica.

Es importante remarcar que no hay coincidencia entre la página falsa y la real porque el “investigador” (autor de este engaño) hace tiempo que no actualiza su copia de la página web. Si se hubiese tomado ese trabajo las diferencias no serían tantas y deberíamos observar con más atención.

Jorge

Categories: Educación, Phishing
2 Comments »

Conficker ha ocupado los primeros lugares en los índices de propagación de los últimos dos meses. Como ya vimos, se trata de  un gusano que explota la vulnerabilidad MS08-067 de Microsoft.

Luego de su detección inicial han aparecido nuevas variantes que explotan distintos métodos de propagación.

Una de ellas es la transmisión vía dispositivos de almacenamiento removibles, utilizando el archivo Autorun. Otro de los métodos explotados por el gusano es la propagación a través de recursos compartidos de Windows. Ambas variantes, detectadas por ESET NOD32 como Win32/Conficker.AA/AE,  intentan contactar con el recurso compartido ADMIN$ en el resto de los equipos de la red.

Dicho recurso ofrece acceso a unidades del sistema en el equipo remoto, sólo para usuarios administradores. Para tal fin, el gusano intenta utilizar la identidad local del equipo infectado y, de no resultar exitoso el acceso, obtiene una lista de usuarios en el equipo a infectar y prueba acceder con una lista de más de 200 contraseñas comunes, entre las que se encuentran “123456“, “admin“, “password“, “login” o “default“, entre otras. Es decir, el gusano prueba una por una las contraseñas del listado para verificar si alguna de ellas es la que permite acceder al equipo.

Cabe destacar que este no es el primer código malicioso que utiliza estas técnicas de propagación a través de contraseñas débiles en recursos compartidos. Algunos de los casos que utilizaron esta técnica previamente son el el Win32/Nimda (del año 2002), Win32/IRCBot (del año 2005) o el Win32/Vanbot (del año 2007). Como se puede observar, una técnica con varios años de utilización sigue siendo efectiva, producto de la gran cantidad de usuarios que continúan utilizando contraseñas débiles.

Las consecuencias de utilizar contraseñas débiles son extensas, y la propagación de malware a través de la red es una de ellas. En entornos corporativos, los administradores deben tomar control de las cuentas de todos los sistemas, tanto cuentas de dominio como cuentas locales. Proteger todas las cuentas con contraseñas fuertes es indispensable para mitigar los riesgos de propagación del Conficker.

Por lo tanto, como protección, el usuario debe utilizar siempre contraseñas fuertes y modificar especialmente cualquier contraseña simple o con palabras comúnmente utilizadas.

Se recomienda especialmente consultar la lista de contraseñas utilizadas por Conficker en el informe de Microsoft (pestaña Analysis) y, en caso de estar utilizando alguna de ellas, cambiarlas a la brevedad.

Sebastián

Categories: Educación, Malware, Vulnerabilidades
10 Comments »

Nuestro Laboratorio ha detectado una nueva estrategia de engaño que utiliza como pretexto la descarga de la supuesta versión beta del programa de mensajería instantánea MSN Messenger de Microsoft, el cual podría ser utilizado para el envío de mensajes SMS a través del mismo.

Obviamente se trata de un caso de Ingeniería Social que se distribuye a través del siguiente correo electrónico:

Cuando el usuario hace clic sobre el botón “descargar ahora”, se intenta descargar un archivo ejecutable llamado windowslivesms.exe que lejos de ofrecer la posibilidad de hacer uso de esta tecnología para el envío de mensajes de texto, infecta el sistema del usuario con un troyano del tipo Qhost.

Nota: este caso no debe confundirse con lo que advertimos anteriormente sobre la utilización de mensajes SMS para cometer estafas, lo que se conoce como SMS Scam.

Jorge

Categories: Alertas, Ingeniería Social, Malware
2 Comments »