En el día de hoy se ha comenzado a difundir una noticia falsa sobre un supuesto accidente de la popular animadora brasileña Xuxa. El correo que supuestamente proviene de la agencia de noticias de Terra y que se recibe mediante spam, es el siguiente:

Si el usuario intenta ver las fotos o el video, el sitio que aparece en la imagen lo redireccionará a la descarga del siguiente archivo ejecutable: http://www.film[ELIMINADO].com/usage/.la/Terra.Xuxa-sofre-acidente.scr que ESET NOD32 detecta proactivamente y sin necesidad siquiera de actualizar el motor de firmas, como una variante de Win32/TrojanDownloader.VB.NVS.

Esto no hace más que demostrar que cualquier pretexto es bueno para engañar al usuario y que por eso siempre hay que estar protegido con las mejores herramientas y la educación que desde aquí intentamos llevar a ustedes cada día.

Actualización 14:00 hs: en el análisis del archivo dañino hemos podido determinar que el troyano descarga otro programa dañino desde http://evolu[ELIMINADO].org/hctd/olha.gif que se encarga de robar credenciales bancarias. Este último troyano es detectado proactivamente por ESET NOD32 como una variante de Win32/Spy.Bancos.NMV.

Cristian

Categories: Alertas, Ingeniería Social, Malware
1 Comment »

Contar con un Laboratorio de análisis de malware en Latinoamérica brinda a ESET y a sus clientes la posibilidad de dar respuesta inmediata a casos de infecciones poco comunes, ya que no se debe esperar los tiempos excesivos que puede demandar enviar los archivos a Europa o EE.UU. esperando respuesta. Por ejemplo el caso del fuego en Atenas, fue cubierto de forma inmediata y detectado en forma proactiva, apenas había comenzado a propagarse un nuevo rogue.

Otro caso lo representa un malware recibido recientemente en nuestro Laboratorio, ante el cual ningún antivirus (de los 41 disponibles en el popular servicio Virustotal) detectaba el archivo dañino:

Esto se debe a que el troyano es creado y probado por su desarrollador hasta que se logran estos índices de no-detección, si bien es poco común que se llegue a cero, como en este caso. Esta técnica es muy utilizada por los creadores de malware ya que les permite maximizar sus infecciones y ganancias económicas mientras los antivirus no lo detecten.

Nuestro Laboratorio recibió el caso proveniente de un cliente y, luego de analizado el archivo en cuestión, en pocas horas ESET NOD32 detectaba la amenaza como Win32/TrojanDownloader.VB.OCQ, un troyano que luego de instalado descarga otros malware al sistema afectado.

Esta velocidad de respuesta a los clientes sólo puede ser lograda con el respaldo que ESET se compromete dar a sus clientes y usuarios y para lo cual hemos creado nuestro Laboratorio de análisis local, dando la mayor capacidad de detección y respuesta proactiva en todo momento.

Cristian

Categories: Productos
2 Comments »

En el Laboratorio de ESET estamos en búsqueda contante sobre nuevas alternativas de ataques por parte de los delincuentes y, hace instantes hemos encontrado decenas de sitios que bajo el pretexto de informar a los usuarios sobre la crisis de los incendios en Atenas, Grecia, en realidad descargan un malware al equipo del usuario.

Con técnicas de Black Hat SEO los delincuentes han logrado posicionar sitios falsos de noticias en los buscadores:

Si el usuario ingresa a estos sitios, será redirigido a varios dominios y, en el último de ellos (http://removeallthreat[ELIMINADO].com) se terminará descargando un malware del tipo rogue que ESET NOD32 detecta Win32/Adware.Antivirus2009.

Como puede verse en la imagen, existen varios sitios intermedios que sólo son utilizados para engañar al buscador y al usuario pero, que en última instancia siempre son amenazas.

Por eso esté siempre alerta cuando aparecen nuevos temas de difusión masiva como en este caso, el incendio en Atenas.

Actualización 19:oo hs: hemos hallado otros dominios que comparten los mismos servidores y desde donde se descargan otros malware semejantes:

• removeallthreat[ELIMINADO].com
• removepc[ELIMINADO].com
• scan-my-pc[ELIMINADO].com
• remove-pc[ELIMINADO].com
• homevirus[ELIMINADO].com
• scan-your-pc[ELIMINADO].com

Por favor manténgase alerta sobre esos dominios y bloquee el tráfico desde su red a cualquiera de ellos a través de su firewall o proxy.

Cristian

Categories: Alertas, Black Hat SEO, Rogue
2 Comments »

El phishing consiste en el robo de información personal y/o financiera del usuario, a través de la falsificación de un ente de confianza.

El ataque más frecuente es aquel que consiste en duplicar un sitio web de una entidad, y enviar un correo a la víctima con un enlace a dicho sitio. Si el usuario accede a la página falsa, estará brindando sus credenciales de acceso a un atacante. Como estos casos, ya hemos reportado gran cantidad de veces en el Blog, incluidos ataques a instituciones financieras, correos electrónicos y redes sociales. Este es el vector de ataque más frecuente en casos de Phishing y sobre el cual pueden observar un video educativo.

Sin embargo, es un error frecuente el pensar que esta es la única forma de llevara delante un ataque de Phishing. Entre otros, la simulación por mensajes telefónicos de voz y por mensajes de texto (vishing y smishing, respectivamente) son algunos de los ataques relacionados. También es posible simular la identidad a través de un archivo ejecutable.

Tal es el caso que llegó a nuestro laboratorio en los últimos días. Se trata de la amenaza detectada por ESET NOD32 como Win32/Spy.Banker.PBS Troyano, que llega al usuario a través de un correo electrónico no solicitado, simulando provenir del banco Bradesco:

El enlace del correo descarga un archivo ejecutable de extensión EXE, que al ser ejecutado abre una ventana de aplicación que solicitará datos de acceso a la banca en línea:

También son solicitados los datos de la tarjeta de coordenadas, para poder luego realizar transferencias desde las cuentas afectadas:

Como se puede observar, el Phishing puede tener diversos vectores de ataque, y los usuarios deben tener como premisa no brindar información personal, salvo que la identidad del receptor haya sido confirmada.

Sebastián

Categories: Phishing
No Comments »

Como reportamos hace ayer, un nuevo tipo de amenaza está siendo propagada a través del lenguaje de programación Delphi y es detectado por ESET NOD32 como Win32/Induc.A virus.

Ante la gran cantidad de consultas recibidas, hemos preparado la siguiente FAQ (Freguntas Frecuentes) sobre este virus.

1. ¿Qué significa si un archivo es detectado por ESET NOD32 como Win32/Induc.A?

Significa que el archivo contiene una porción de código que posee rutinas para modificar los archivos del lenguaje de programación Delphi y que, posteriormente, todas las aplicaciones compiladas en dicho sistema también contendrán el virus.

2. ¿Qué daños puede sufrir mi sistema si ejecuto el archivo infectado?

El virus no es destructivo. Para los usuarios Induc no es una amenaza para preocuparse. Para los programadores, se trata de una amenaza importante: cualquier aplicación que se compile posterior a la infección, contendrá el código del virus y será maliciosa en los sistemas que se ejecute.

3. ¿Qué modificaciones realiza el virus en mi sistema?

En los sistemas que no poseen instalado Delphi, no se realiza ninguna modificación.

En los sistemas de desarrolladores, con Delphi instalado, el virus realiza las siguientes acciones:

1. Copia el archivo SysConst.pas en la carpeta %delphirootdir%\Lib\
2. Modifica el nuevo archivo SysConst.pas
3. Recompila el archivo SysConst.pas generando un nuevo archivo (ahora infectado) %delphirootdir%\Lib\SysConst.dcu

Este último archivo es utilizado en las futuras compilaciones y todos los programas que se generen a futuro también lo estarán.

4. ¿Cómo puedo saber si mi instalación de Delphi está infectada?

En primer lugar, si las aplicaciones compiladas son detectadas por el antivirus como Win32/Induc.A virus, es porque el sistema está infectado.

Para realizar un chequeo manual, existen dos alternativas. En primer lugar, puede buscarse en las aplicaciones compiladas o en el archivo SysConst.pas. Si se encuentra,  el sistema está infectado.

En segundo lugar, el código malicioso hace un backup del archivo SysConst.dcu antes de modificarlo. Si el usuario accede a la carpeta donde se aloja este archivo debería observar dos archivos de extensión BAK (el original) y DCU (el malicioso) respectivamente, y estos deben diferir en su tamaño (el malicioso debe tener mayor peso):

5. ¿Cómo puedo arreglar mi instalación de Delphi?

Para arreglar la instalación de Delphi, debe borrarse el archivo sysconst.dcu modificado y colocar nuevamente el archivo de backup (extensión BAK) con el nombre original.

Otra alternativa es recompilar el archivo PAS original para generar el DCU con el siguiente comando (se recomienda por su simpleza la acción anterior):

"%delphi rootdir%\Bin\dcc32.exe" "%delphi rootdir%\source\rtl\sys\SysConst.pas"

6. ¿Cómo puedo arreglar las aplicaciones compiladas infectadas?

Las aplicaciones que hayan sido compiladas con el sistema infectado, y por lo tanto se encuentren infectadas; deben ser compiladas nuevamente una vez arreglado el sistema (pregunta 5).

Cristian

Categories: Alertas, Educación, Malware
9 Comments »