El próximo jueves 26 a las 18.30 hs tendremos en placer de volver a dictar un seminario gratuito en la Universidad Tecnológica Nacional (UTN), Regional Córdoba (Argentina).

Como siempre, la intención de este seminario es mostrar los últimos tipos de amenazas así como sus funcionalidades y también estaremos realizando demostraciones en vivo sobre su forma de actuar.

En esta oportunidad me acompañará Sebastián, quien me estará ayudando en las demostraciones y también aprovecharemos para pasear algunas horas por esa hermosa ciudad y visitar algunos amigos.

Desde ya quedan todos invitados. ¡Allí nos vemos!

Cristian

Categories: Eventos
1 Comment »

En los últimos días hemos recibido gran cantidad de reportes sobre un correo electrónico circulando con el siguiente contenido:

Las técnicas de Ingeniería Social utilizadas no incluyen nada nuevo, sino las técnicas de siempre… tan efectivas como siempre:

• Los campos “De” incluyen una supuesta cuenta de correo representativa de la marca y el campo “Para” muestra un correo enviado, supuestamente, únicamente al usuario.
• Se destacan las importantes ventajas del producto que se ofrece al usuario.
• Se brinda al usuario un código “personal” para acceder a la descarga y un link para efectivizarla.

Si el usuario accede al sitio web observará una interfaz como la siguiente:

La curiosidad en este caso, es que Open Office es una herramienta de software libre, y su distribución es realizada de forma gratuita a través de su sitio web oficial. Sin embargo, si el usuario presiona el botón de descarga, se le solicitarán los datos de la tarjeta de crédito:

¿Los datos de la tarjeta de crédito? ¿Para pagar algo sin costo? Como podrán observar en la imagen, para aquellos usuarios que desconozcan la naturaleza de la aplicación podrían estar pagando por ella.

Aunque esta actividad resultaría ilícita también con aplicaciones pagas (comercializar un producto sin permiso), resulta curioso que utilicen herramientas libres y gratuitas para llevar adelante el delito. Independientemente de la aplicación, su costo y su fabricante, recuerden siempre descargar desde los sitios oficiales, el único lugar donde el usuario puede estar seguro que nadie robará su dinero.

Sebastián

Categories: Alertas, Ingeniería Social, Malware
4 Comments »

El día de ayer estuvimos presentes en SEGURINFO 2009, la exposición más importante de Seguridad Informática en Argentina. Como ya habíamos adelantado sobre nuestra presencia en el evento, además del stand que compartimos junto a ZMA, nuestro Distribuidor Exclusivo para Argentina, hemos participado con dos charlas y un taller a lo largo de la jornada. Los resultados han sido muy satisfactorios tanto para nosotros como para los asistentes, que se mostraron muy activos en todas las presentaciones.

En lo que fue nuestra participación inicial, temprano por la mañana, Richard Marko, Chief Technical Officer de ESET, brindó una charla resumiendo el escenario mundial del malware, analizando importantes estadísticas junto a los asistentes, que disfrutaron la posibilidad de contar con la presencia de un profesional con amplia experiencia en el mercado, y escuchando la charla en idioma español, uno de los tantos que Richard maneja.

Después del almuerzo, y con el desafío de superar el éxito del año anterior, Cristian Borghello, Technical & Educational Manager de ESET Latinoamérica, llevó adelante el taller “Mi secretaria me infectó… de vuelta”, una de las actividades con mayor participación del público de la jornada. Muy a pesar de que el horario invitaba a la siesta, la gente se mantuvo más que activa participando con ideas a lo largo de los 45 minutos del taller.

Finalmente, pasadas las seis de la tarde, en lo que fue el último turno de charlas de la jornada, Cristian Borghello e Ignacio Sbampato, Vicepresidente de ESET Latinoamérica, dictaron una de las charlas más esperadas por gran parte de los asistentes: “Conficker: Gestión de Seguridad del Siglo Pasado“. El abordar una temática con tanto impacto en los últimos meses, fue valorado por el público, que tuvo más preguntas de las que se pudieron realizar, dado que el evento se acercaba a su fin y Alfredo Caseros ya estaba empezando su monólogo, con el que se cerró con una dosis de humor la jornada.

Además de disfrutar de los tres espacios con los que contamos, la jornada fue un éxito, reuniendo a cientos de profesionales de la seguridad. Durante el resto de las charlas, se trataron temáticas como la Ingeniería Social, los menores en Internet y se hizo mucho énfasis, a lo largo de toda la jornada, en la importancia de la gestión y educación en seguridad en los entornos corporativos.

Participar en este tipo de eventos, con amplia convocatoria, es para nosotros una gran oportunidad para poder compartir con la comunidad el trabajo que realizamos diariamente. Les dejamos, para cerrar, una foto de Richard en su presentación:

Gracias a todos los asistentes por hacernos pasar un día más que importante.

Sebastián

Categories: Eventos
4 Comments »

Luego de haber aportado una pequeña ayuda, han respondido correctamente a nuestro séptimo desafío.

Originalmente se descargaba un archivo ZIP conteniendo un correo (archivo EML) en el cual se podían ver algunas cabeceras sin importancia y luego una serie de caracteres codificados en Base 64, codificación de 7 bits característica cuando se envía un archivo adjunto.

Por lo tanto, nuestro correo disponía de un archivo adjunto que podemos decodificar de Base 64 a binario. Para ello utilizamos alguna aplicación o algún sitio que lo haga en forma online y tomamos como fuente a transformar los caracteres codificados desde “——=_NextPart_000_01D5_01C9A3DC.66898190″ en adelante (comienza con “UEsDBBQ” y finaliza con “MQEAAAA=”).

Nota: Este proceso también se puede realizar desde un cliente de correo.

Luego de decodificado, podemos ver que los primeros caracteres del mismo son PK, lo cual indica que se trata de un archivo comprimido del tipo ZIP.

Renombramos el archivo, lo abrimos y desde este comprimido obtenemos el archivo virtual.txt (nuevamente con la misma contraseña) y observamos su contenido, para constatar que se trata de un archivo del tipo XML.

Este archivo puede ser recorrido manualmente nodo por nodo o se puede utilizar la aplicación gratuita ESET SysInspector, con el cual fue generado, para leer su contenido. De hecho casi al final del archivo, se indica que el archivo ha sido originalmente generado con esa aplicación.

Con esta herramienta, diseñada por ESET para este propósito, podemos constatar que efectivamente existen procesos sospechosos, simulando ser la aplicación VMWare. Al iniciar el sistema,  se ejecutan los siguientes procesos:

• vmware2 = C:\Documents and Settings\All Users\Application Data\1432976623\vmware2.exe
• 359F5809-00B8-4455-A73A-9EA62A51101B = C:\Documents and Settings\All Users\Application Data\vmware.exe

Estas dos aplicaciones en realidad ejecutan procesos en carpetas que nada tienen que ver con VMWare y utilizan nombres extraños, como un número en su carpeta.

Como dato adicional al desafío, podemos agregar que, una vez instalado y ejecutado esta aplicación puede verse de la siguiente manera:

Este programa corresponde a un Adware y un Rogue que son detectados por ESET NOD32 como una variante de Win32/Adware.WinWebSecurity.

La persona que ha resuelto el desafío, luego de algunos intentos es Raúl, para quien van nuestras felicitaciones y Licencia.

Cristian

Categories: Desafío
4 Comments »

Hemos recibido algunos comentarios reclamando que los desafíos deberían ser más difíciles pero sin embargo, en este caso, el séptimo desafío sigue en pie.

La respuesta más cercana, si bien incorrecta, hasta ahora ha sido la de Raúl. La misma aún no ha sido publicada para no dar pistas al resto de los participantes.

Según los comentarios, podemos resumir que el archivo entregado en el desafío no es un archivo ejecutable y no se encuentra ni ofuscado ni cifrado.

Algunas pistas extras:

• Las cabeceras del correo no tienen que ver. De hecho han sido modificadas para no brindar ningún tipo de información.
• Hay muchas maneras de saber si un sistema está infectado
• Hay formas de expresar una idea en 7 bits

Cristian

Categories: Desafío, Malware
3 Comments »