En las últimas horas hemos detectado una gran cantidad de correos en español, propagados mediante spam, que simulan provenir de alguna entidad y que contienen una factura falsa, que el usuario debe abonar con urgencia, abriendo el archivo adjunto.

Los correos suelen verse de la siguiente manera:

Como pueden verse el correo es sumamente básico y a la vez efectivo ya que llama la atención del usuario para que abra  el archivo ejecutable. Este correo aprovecha una de las técnicas más antiguas de disfrazar códigos malicioso y lograr su propagación a través de archivos adjuntos en correos: la colocación de muchos espacios entre la extensión .doc y la real (.exe).

El archivo recibido puede llamarse “factura[NÚMERO].doc______ESPACIOS______.exe”, donde el número es aleatorio y, en cualquier caso, ESET NOD32 detecta proactivamente el adjunto como una variante del troyano Win32/TrojanDownloader.Delf, un conocido malware que, luego de ejecutarlo, descarga otros programas dañinos al sistema del usuario.

Por favor permanezcan alerta a esta nueva amenaza y utilice herramientas que permitan su detección y eliminación.

Actualización 19/07/2009: en el día de la fecha siguen llegando más correos con distintos asuntos y textos, entre los cuales se destacan algunos como estos (errores incluidos):

ASUNTO: Re: Llamame!!

> Hola.
> Te quiero con todo mi corazon y el alma. Te extrano tanto.
> Envio mi foto. Por favor, no lo muestras a su familia y  amigos.
> Muchos besos, tu amor.

Hola! Super bonita foto Llamame: 34 9866816[ELIMINADO]

Los archivos adjuntos tienen como nombre “DC[NÚMERO].jpg______________________.exe”, simulando el nombre de un archivo de una cámara digital. En este caso estos archivos son detectados a través de la Heurística Avanzada de ESET NOD32 como probablemente una variante de Win32/Statik aplicación potencialmente indeseable.

Cristian

Categories: Alertas, Malware, Spam
3 Comments »

Es muy común encontrarnos con herramientas que permiten crear malware a cualquier usuario sin experiencia. Este es el caso de algunas aplicaciones que permiten, con un par de clics, generar “troyanos indetectables” para que cualquier usuario pueda infectar a otros y controlar su sistema remotamente.

Por ejemplo, una de estas aplicaciones anuncia en su sitio web (en inglés):

Turk[ELIMINADO] es una herramienta de administración remota para el espionaje sobre sistemas operativos  Microsoft Windows. Con él, puedes controlar y supervisar un equipo remoto y ver fácilmente lo que el usuario hace. El uso ilegal de este software no está permitido.
Su creador y este sitio no se hacen responsables de cualquier abuso del software. Si no acepta los términos y condiciones, por favor, no use el software.

A continuación una captura de esta aplicación, en donde puede verse la cantidad de opciones que se pueden configurar en el troyano a medida creado por cualquier usuario (por supuesto, sin fines ilegales como aclara su autor):

En el caso de esta aplicación “indetectable” ESET NOD32 lo detecta proactivamente como probablemente una variante de Win32/Agent Troyano. Y, el troyano “indetectable” generado por la aplicación es detectado de la siguiente manera:

Como puede verse en sencillo para cualquier usuario con malas intenciones generar aplicaciones dañinas, otro motivo para la gran cantidad de malware actual y para estar prevenidos con las mejores herramientas proactivas.

Cristian

Categories: Malware
8 Comments »

El phishing es una amenaza que, a pesar de sus años afectando a los usuarios, no ha perdido su efectividad, y a logrado mantenerse como uno de los principales vectores de ataque para obtener información sensible de los usuarios.

Por estos días, el servicio de webmail de Google, Gmail, ha dado una grata noticia para quienes nos desempeñamos en el mundo de la seguridad. Y más aún para aquellos que, como el Laboratorio de ESET Latinoamérica, hemos venido anunciando, alertando y educando respecto a los peligros del phishing y las formas de protección.

Desde hace dos días, los usuarios de Gmail cuentan con una funcionalidad (aún en prueba) que permite brindar una capa de protección adicional respecto al phishing, específicamente a aquel que utiliza el correo electrónico como medio de propagación.

Para ello, han incorporado la funcionalidad de autenticación de remitentes verificados. ¿Cómo funciona? Muy sencillo: para ciertas entidades que son frecuentemente utilizadas como falsos remitentes en correos electrónicos no deseados, Gmail recibe de estas un listado de las direcciones de correo válidas que son utilizadas legítimamente como remitentes de la organización, y que envían correos benignos. De esta forma, si llega un correo con remitente de PayPal, solo aparecerá el candado, si la dirección de correo coincide con el listado ofrecido por la empresa como válidas.

Cabe destacar que por el momento, siendo el lanzamiento de esta nueva funcionalidad, solo está disponible para PayPal y eBay. De todas formas, personal de Google afirmó que espera “agregar más remitentes“.

Aquellos que quieran utilizar dicha funcionalidad, deberán dirigirse a la sección de configuración del servicio, en la pestaña de Gmail Labs, y habilitar el mismo:

De todas formas, cabe mencionar que esta funcionalidad solo ofrecerá una capa de protección a aquellos usuarios que habiliten la funcionalidad, y tengan la educación suficiente para analizar el correo y verificar si existe o no la llave de seguridad. Es por ello que la educación sigue siendo un pilar básico en materia de protección de amenazas informáticas.

Es decir, aunque no es “la solución” respecto a la problemática del phishing, sí es un avance para ofrecer mayor protección a los usuarios, reforzar el peligro que representa el phishing, y confirmar la relevancia de tomar medidas de este tipo para frenar a los atacantes: el trabajo en equipo entre las organizaciones. De esta forma, siempre podremos avanzar en la protección del usuario, el interés primario en esta materia.

Además, recuerden que también tenemos a su disposición un video educativo sobre phishing y las instrucciones para denunciar casos de phishing.

Sebastián

Categories: Phishing
No Comments »

Luego de aprovechar como excusa la muerte de Michael Jackson, nuevamente un hecho trágico pone de manifiesto que los propagadores de códigos maliciosos no dejan escapar ninguna oportunidad para intentar infectar los equipos de los usuarios.

Recientemente, nuestro Laboratorio ha detectado la propagación de un correo electrónico malicioso que, aprovechando la noticia sobre la reciente muerte del estilista peruano, insta a los usuarios a visualizar un supuesto video que, bajo el título “Difunden Video De La Tortura De Marco Antonio Gallego” busca despertar características innatas del factor humano (ampliamente abusadas en ataques de Ingeniería Social): la curiosidad y el morbo.

A través de un enlace incrustado en el cuerpo del mensaje se redirige al usuario a una página llamada ver-video.php desde donde se intenta descargar un archivo ejecutable llamado video.exe que ESET NOD32 detecta bajo el nombre de Win32/Spy.VB.NEN, un troyano diseñado para robar información de los equipos infectados.

La estrategia de propagación no emplea aspectos novedosos constituyendo un ejemplo más de las técnicas que no pasan de moda, pero que resultan altamente efectivas. Lo que requiere ser cautelosos y atender a las buenas prácticas de prevención que constantemente estamos informando. Por ejemplo, para este tipo de casos es necesario verificar hacia dónde redirecciona cada enlace al momento de hacer clic sobre los mismos.

Jorge

Categories: Alertas, Ingeniería Social, Malware
1 Comment »

En varias oportunidades hemos abordado en nuestro Blog algunos aspectos interesantes de aplicativos web utilizados para administrar botnets a través del protocolo http, es decir, vía web, como ZeuS y AdPack.

En esta oportunidad, analizamos otro dominio que utiliza un crimeware llamado ElFiesta, que aparenta haber sido recientemente implementado si nos guiamos por el volumen de computadoras infectadas (zombis) que posee reclutadas hasta el momento.

ElFiesta, al igual que ZeuS es de origen ruso, y posee similitudes notorias con respecto al crimeware de su estilo, focalizado puntualmente en la propagación de códigos maliciosos a través de técnicas exploiting (utilizando archivos con formato PDF – Portable Document Format, y SWF – Small Web Page) y scripting (sometiendo el código a técnicas de ofuscación).

Además, a través de esta interfaz web, el botmaster (persona que administra una botnet) puede monitorear toda la información que necesita para lanzar diferentes exploits. A continuación observamos una captura donde se aprecia parte de la información estadística.

En el primero de los cuadros, se visualiza información relacionada a los acrónimos de cada uno de los países en los cuales ElFiesta ha reclutado algún zombi. En el segundo los tipos de plataformas afectadas, y en los siguientes el tipo de navegador mediante el cual se descargó el malware y, por ende, utilizan los equipos infectados.

En este sentido cabe mencionar que en el apartado correspondiente a las plataformas atacadas, el ítem “other” corresponde a sistemas operativos basados en UNIX como por ejemplo GNU/Linux y MacOS, ambos con un notable crecimiento en cuanto a utilización por parte de los usuarios.

En relación a las amenazas utilizadas por ElFiesta para reclutar zombis, todos son detectados por ESET NOD32 de manera proactiva y en su mayoría forman parte de las familias de códigos maliciosos que se identifican bajo los nombres de PDF/Exploit.Pidief y SWF/Exploit.Agent. En consecuencia, es necesario tomar todas las precauciones necesarias para evitar ser víctimas de estas amenazas.

Jorge

Categories: Malware
1 Comment »