En los últimos días hemos detectado un crecimiento importante de la familia Koobface en distintas redes sociales. Este comportamiento es el que adelantamos hace meses cuando hablamos de la utilización redes sociales para propagar malware, analizando justamente este malware. También se puede ver el video de una infección a través de redes sociales preparado por ESET Latinoamérica.

En el caso de las últimas variantes encontradas, el método utilizado sigue siendo el mensaje enviado a distintas redes sociales con el pretexto de ver un video:

Si el usuario acepta descargar el player ofrecido, en realidad descargará un archivo setup.exe que ESET NOD32 detecta como Win32/Koobface.NBG.

Este gusano es un ejemplo más de lo importante que es leer los mensajes y no aceptar cualquier contacto en nuestra red de amigos, para no ser engañados e infectados posteriormente.

Actualización 13:00: las direcciones utilizadas desde la red social son http://redir[número].com/go/ y siempre se descarga una nueva variante del gusano desde una dirección IP de un sistema previamente infectado.

Cristian

Categories: Alertas, Malware
1 Comment »

Las técnicas de SEO (Search Engine Optimization – Optimización de Motores de Búsqueda) se refieren a métodos utilizados para obtener un buen posicionamiento web en los buscadores (primeros resultados de una búsqueda), y conseguir así una mayor cantidad de visitas. Sin embargo, siempre hay una versión oscura y en Internet recibe el nombre de BlackHat SEO.

Las técnicas de BlackHat SEO también buscan obtener un adecuado posicionamiento web de los sitios que promocionan productos y servicios, pero abusando de determinados métodos que violan las políticas establecidas por los buscadores. De hecho, existe una clasificación de métodos de posicionamiento web abusivos de los cuales algunos de ellos son:

• Cloaking: se utiliza para mostrar en los motores de búsqueda contenidos diferentes a los que se le presenta al usuario que realiza determinada búsqueda
• Spamming Keywords: cuando se forman frases a través de palabras claves.
• Texto Oculto: también llamado palabras encubiertas, este método de BlackHat SEO utiliza contenido (texto) con el mismo color del fondo del sitio web.
• Keyword Stuffing: cuando se hace abuso de las palabras claves dentro del contenido de un sitio web.
• Contenido Duplicado: busca que varios sitios web alojen el mismo contenido, con el mismo significado, pero utilizando palabras diferentes.

En tal sentido y teniendo en cuenta que Internet se ha transformado en una plataforma de ataque en la que diferentes actores interactúan, en muchos casos en complicidad, para ejecutar actividades ilícitas, los códigos maliciosos no quedan exentos, incluso, en su propagación a través de técnicas de BlackHat SEO.

Un ejemplo concreto lo constituye el troyano Waledac cuya estrategia empleada para atraer potenciales víctimas, y propagarse, se encuentra canalizada en formar nombres de dominios en base a diferentes palabras claves que son unidas para crear la dirección web desde donde se descarga.

Algunas de estas palabras son: valentine, sms, news, mobile, love, online, free, portal, wireless, link, help, radio, report, chat, digital, country, zone, obama, greeting, company, service, entre una larga lista de otras palabras.

Las metodologías de BlackHat SEO están siendo adoptadas cada vez más por los propagadores de malware en un intento por captar un mayor volumen de potenciales víctimas hacia páginas web maliciosamente creadas para propagar códigos maliciosos.

En consecuencia, es fundamental mantener el equipo constantemente protegido con la instalación de una solución de seguridad antivirus como ESET NOD32 que detenga los ataques por malware, y nos permita disfrutar de la navegación sin preocuparnos por estas técnicas maliciosas.

Jorge

Categories: Alertas, Informes, Malware
47 Comments »

Los paquetes de aplicativos crimeware, dentro del organigrama delictivo que representa el malware, cumplen un rol fundamental para el delincuente informático debido a que le permiten propagar diferentes códigos maliciosos, entre otras tantas actividades de índole ilícita.

Ya dimos cuenta a través de una breve sinopsis sobre una de las botnets más activas actualmente llamada Zeus (o Zbot) donde se dió una pequeña aclaración de lo que significa este tipo de crimeware.

Sin embargo, no es la única botnet que se administra de manera remota a través de una interfaz web. Otra de ellas, que lleva ya bastante tiempo dentro del negocio del malware, es AdPack. Su interfaz de autenticación es como la siguiente:

Al igual que otras, permite su administración a través de un panel de control vía web desde el cuál el botmaster realiza todas las actividades delictivas y monitorea las estadísticas de infección permitiéndole obtener de manera muy rápida y visual, una idea global del índice de infección que poseen los códigos maliciosos que propaga.

Entre ellos, malware del tipo rogue y otros diseñados para explotar vulnerabilidades en lectores de archivos PDF. Por suerte para los usuarios de ESET NOD32, todos son bloqueados desde el momento que intentan descargarse desde Internet.

Jorge

Categories: Alertas, Malware
3 Comments »

En el día de ayer, hemos liberado un nuevo curso gratuito en nuestra Plataforma Educativa. Para ser más específicos, fue publicado el tercer curso disponible, dedicado a la Seguridad para PyMEs (Pequeñas y Medianas Empresas).

Este tipo de empresas cumple un rol importante en la economía de los países latinoamericanos, y es frecuente que los responsables de sistemas se encuentren con dificultades para implementar medidas de seguridad.

ESET tiene entre sus principales objetivos la capacitación de los usuarios a través de su estrategia de educación en seguridad informática. Esta iniciativa incluye: seminarios de Seguridad Antivirus en instituciones educativas de la región, conferencias y talleres prácticos en eventos y congresos de tecnología, preparación de material educativo y otras acciones con el fin de contribuir a la formación de profesionales en seguridad de la información.

El curso Seguridad para PyMEs ofrece una completa descripción de los conceptos clave para asegurar la implementación de prácticos programas de gestión de la seguridad considerando las necesidades y posibilidades reales de las compañías de pequeña y mediana envergadura.

En este sentido, se incluye información acerca de formalidades necesarias para elaborar una política de seguridad empresarial, la descripción de los niveles posibles de clasificación de la información corporativa, las especificidades de los acuerdos y contratos, las medidas de concientización y educación del personal de la empresa y toda la información necesaria para facilitar la gestión de medidas de seguridad informáticas.

El curso comprende cuatro módulos temáticos:

• Gestión de la seguridad
• Infraestructura y comunicaciones
• Prevención de incidentes
• Buenas prácticas

Para aquellos que ya tengan creado un usuario, y hayan realizado alguno de los cursos anteriores, deberán dirigirse a la sección de cursos disponibles, para poder acceder al nuevo curso. Aquellos que aún no se encuentran registrados, pueden hacerlo en forma gratuita.

Luego, se se realiza exitosamente una evaluación de preguntas multiple-choice, podrán obtener en formato digital un certificado de aprobación del mismo.

Esperamos que disfruten del curso y poder colaborar con las pequeñas y medianas empresas, para que puedan trabajar su seguridad.

Sebastián

Categories: Alertas, Educación
3 Comments »

Desde nuestro Laboratorio, hace ya bastante tiempo que venimos denunciando diferentes códigos maliciosos del tipo rogue dando una cobertura que intenta mantener a los usuarios alertados sobre las diferentes estrategias de infección utilizadas por estos códigos dañinos.

También habrán notado que en la mayoría de los casos, el rogue localiza sus malas intenciones en simular ser herramientas de seguridad, pero sobre todo, de seguridad antivirus y que, una vez instalado descarga distintos troyanos. Son muchos los casos que hemos mencionado a lo largo de la vida de este Blog.

Pero recientemente nos hemos encontrado con un caso que nos llamó la atención porque amplia el abanico de alternativas empleadas como engaño a las cuales estamos acostumbrados encontrar.

Se trata del código malicioso detectado por ESET NOD32 bajo el nombre de Win32/DNSChanger.NAO que se manifiesta ante el usuario simulando ser una aplicación diseñada para “prevenir” problemas de infección durante la navegación de los usuarios. En la siguiente captura vemos la interfaz de la página maliciosa.

Sin embargo, no solo nos llamo la atención que este malware simule ser una herramienta de supuesta protección diferente a las habituales, sino el hecho de intentar abarcar una problemática de seguridad que preocupa a muchos, como lo es el buen uso de la navegación en Internet, y que tiene dos perspectivas sumamente interesantes.

Por un lado, enfocada al ámbito hogareño que los padres encuentran cotidianamente en casa relacionada a la navegación de sus hijos, tema que de manera breve hemos abordado en ¿sabemos por dónde navegan nuestros hijos?, describiendo una solución eficaz al problema.

Pero por otro lado, el buen uso de Internet como recurso dentro de una organización es un tema que preocupa a muchos administradores de red; es decir, cómo evitar infecciones a través de Internet cuando los empleados navegan por determinados sitios web, que es, en definitiva, lo que propone solucionar la falsa aplicación, pero, como todo malware, hace exactamente lo contrario.

Con lo cual, la alternativa que se propone de bloquear contenido web a través de los productos de ESET es completamente válida, a nivel de entornos de trabajo, en ambientes corporativos complementando con una capa más de seguridad el bloque a nivel perimetral que pudiera existir en la red.

Jorge

Categories: Malware, Rogue
No Comments »