La semana pasada fue publicado por innumerables sitios de seguridad, el ataque realizado a 40.000 sitios web.

El mismo, consistió en la inyección de código malicioso en sitios web legítimos. De esta forma, a través de un script ofuscado, los atacantes intentaban infectar a los visitantes de dichos sitios. El incidente fue reconocido como “The Nine-Ball Attack“, por uno de los dominios utilizados para el ataque.

Para agregar código malicioso en sitios legítimos, los atacantes se valieron del robo de credenciales de acceso a los servidores FTP de los sitios web.

Asimismo, cada vez que un usuario visita algún sitio comprometido, comienza, con el script antes mencionado, una amenaza multi-stage donde la víctima es direccionada en segundo plano a diversos sitios, y se ejecutan diversos exploits en busca de vulnerabilidades que permitan descargar el código malicioso.

Este ataque, no es el primero en su especie. En enero de 2009 fue detectado otro ataque masivo, infectando más de 20.000 sitios web. Posteriormente, fueron detectados otros ataques similares, identificados como Beladen y Gumblar, este último afectando, en Marzo de este año, también a miles de sitios web legítimos.

Como mencionaba previamente, los ataques muli-stage son una de las tendencias más importantes en lo que refiere a ataques web. Estos, combinan las ya conocidas técnicas de Drive-by-Download, con métodos masivos de infección y la utización de multiples exploits para infectar al usuario.

Al utilizar sitios legítimos, que no poseen fines maliciosos, aprovechan las visitas de estos para propagar códigos maliciosos.

Según el script y el ejecutable, tanto los exploits como los archivos maliciosos son detectados por ESET NOD32, por lo que los usuarios están protegidos de esta amenaza.

Sebastián

Categories: Alertas, Malware
3 Comments »

Hemos observado, en el día de ayer, dos correos electrónicos que han sido detectados en gran cantidad; ambos para propagar códigos maliciosos.

El primero de ellos nos resultó interesante, por utilizar un método bastante primitivo: el malware está adjuntado al correo electrónico. Es llamativo el método ya que en la actualidad, gran cantidad de clientes de correo, servidores de correo y soluciones antivirus bloquearán un archivo adjunto ejecutable. Además, está técnica es antigua y gran cantidad de usuarios están alertados sobre los riesgos de ejecutar un archivo de este tipo adjuntado en un correo electrónico. El código malicioso es detectado por  ESET NOD32 como Win32/Agent.PHC Troyano.

El segundo caso confirma el alerta publicado en este mismo blog hace unos días, respecto a la propagación de troyanos enmascarados como actualizaciones de Windows. Luego del caso del gusano Conficker, y habiéndose hablado mucho sobre la importancia de las actualizaciones, los atacantes han estado atentos y han comenzado a utilizar esto como técnica de Ingeniería Social. Ahora, podemos observar correos electrónicos con falsas actualizaciones de Outlook Express y Microsoft Outlook:

El enlace lleva a un sitio web que está muy bien realizado, y que descarga un archivo EXE malicioso, detectado proactivamente por  ESET NOD32 como una variante de Win32/Kryptik.TL.

Además de observar las técnicas utilizadas, recomendamos prestar especial atención en sus correos electrónicos, y eliminar cualquier mensaje que se asemeje a los descritos en este post.

Sebastián

Categories: Alertas, Eventos, Malware, Productos
No Comments »

ESET Online Scanner es nuestra versión web del antivirus. Funciona de forma sencilla, rápida y, además, es gratuito. Ponemos esta herramienta a disposición de la comunidad, de forma tal que, aquellos usuarios que no tengan instalado un antivirus en sus computadoras, puedan escanear sus sistemas y eliminar códigos maliciosos.

En el día de la fecha, hemos lanzado una nueva versión de ESET Online Scanner, que ya está disponible en nuestro sitio web. Las principales mejoras introducidas, han sido las siguientes:

• Soporte para múltiples navegadores: hemos incorporado soporte para nuevos navegadores, ofreciendo ahora completa compatibilidad con los navegadores Firefox, Chrome, Opera y Safari además de Internet Explorer.
• Motor de ESET NOD32 v4: la nueva versión, posee el motor de la nueva versión de ESET NOD32, lanzada en Marzo de este año; incluída la tecnología Anti-Stealth para detección anti-rootkit
• Configuración del escaneo: ahora los usuarios podrán seleccionar en qué carpetas desea buscar códigos maliciosos
• Soporte para plataformas de 64 bits: ESET Online Scanner se ejecuta ahora, sin inconvenientes, en plataformas de 64 bits.
• Nueva interfaz gráfica (GUI): la nueva GUI fue rediseñada para mejorar la usabilidad y experiencia del usuario
• Información sobre software antivirus: la nueva versión identifica el antivirus instalado en el sistema, e informa al usuario dicha información, alertando que la ejecución de dicho software, puede afectar los resultados del escaneo
• Cuarentena: los archivos detectados, serán colocados en una carpeta de cuarentena, para que no representen más una amenaza. Adicionalmente, los archivos pueden posteriormente restaurarse o eliminarse definitivamente.

Como podrán observar, las mejoras no son pocas, y todas están destinadas a la satisfacción de los usuarios. Estamos muy contentos de poder brindar este tipo de herramientas gratuitas a la comunidad, y esperamos que puedan utilizarla de forma satisfactoria.

Los invitamos una vez más, a probar ESET Online Scanner.

Sebastián

Categories: Productos
4 Comments »

Una vez más nos complace enterarnos de una nueva calificación Advanced+ para ESET NOD32 Antivirus en las evaluaciones de AV-Comparatives así como es grato leer la opinión de Andreas Clementi, un profesional independiente especialista en este tipo de comparativas.

En esta evaluación se midió el nivel de detección proactiva y ESET se ha convertido en líder en la historia de las evaluaciones retrospectivas, teniendo a su competidor más cercano seis menciones por debajo de su total.

Pueden conocer más de AV-Comparatives y también leer nuestra nota de prensa al respecto.

Cristian

Categories: Certificaciones, Productos
No Comments »

En el día de la fecha, usuarios nos han reportado la recepción de correos electrónicos, supuestamente provenientes de DineroMail (y con el también supuesto apoyo de dos reconocidos bancos). Lo interesante de estos correos, es que alertan a los usuarios sobre la necesidad de instalar parches de seguridad de Microsoft, una nueva técnica de  Ingeniería Social,  utilizada por los atacantes:

Obviamente, si los usuarios hacen clic en los enlaces, serán direccionados a un sitio web falso, y descargarán archivos maliciosos, detectados por ESET NOD32 como Win32/TrojanDownloader.VB.

Además, es interesante observar que, a pesar de ser una amenaza actual (ayer fue la primera vez que la observamos), comenten algunos errores burdos, dignos de amenazas de hace 10 años:

• El remitente de correo dice ser DineroMail, sin embargo la dirección de correo posee otro dominio (@hi5.com)
• Los enlaces apuntan a un sitio web cuya URL no posee ningún tipo de interés en engañar al usuario. Es claro que no se está descargando ningún archivo de Microsoft.

Es llamativo el uso de la empresa DineroMail, en lugar de simular directamente un correo de Microsoft, los atacantes decidieron intentar engañar a los usuarios, poniendose en el lugar de una empresa que se responsabiliza por la seguridad de sus usuarios.

Como siempre, recuerden no hacer clic en este tipo de enlaces en correos electrónicos, y descarguen los parches de seguridad solo desde los sitios web oficiales.

Sebastián

Categories: Alertas, Malware
1 Comment »