Se acerca fin de año y las actividades maliciosas no cesan. Constantemente buscan retroalimentar el negocio fraudulento que representan a través de diferentes técnicas y metodologías que en todos los casos intentan vulnerar la seguridad de los usuarios.

En este sentido noviembre no fue la excepción y, como lo hacemos habitualmente, a continuación ofrecemos un resumen mensual con las actividades maliciosas que más se destacaron.

• Sin lugar a dudas, el gusano Conficker fue uno de los códigos maliciosos del cual más se ha hablado a los largo de todo este año debido a la tasa de infección que provocó. Recientemente, ha cumplido un año de la aparición de su primera versión, por octubre del 2008, diseñada para explotar una vulnerabilidad en los sistemas operativos de Microsoft. En consecuencia, ESET Latinoamérica ha desarrollado un documento técnico llamado Conficker en números mediante el cual se explica de forma detallada las actividades maliciosas de este malware.
• También durante noviembre, los usuarios de iPhone fueron victimas de diversas actividades maliciosas. A principios de mes se conoció un ransomware diseñado para esta tecnología móvil que solicitaba U$S 5 a cambio de la solución para el problema; unos días después conocimos el primer gusano para iPhone y a posteriori, las noticias repercutieron con iPhone/Privacy.A, otro gusano que utiliza las mismas metodologías que el anterior pero más dañino.
• Siguiendo la misma actividad maliciosa de “secuestro”, a mediados de mes se conoció la actividad de un nuevo ransomware, en este caso detectado por ESET NOD32 bajo el nombre de Win32/Ransom.G que bloquea el sistema operativo exigiendo el envío de un SMS para obtener la clave de desbloqueo.
• Asimismo, a principios de mes fuimos testigos de la importante tasa de propagación de convite, un troyano detectado por ESET NOD32 como Win32/VB.ONU que, al igual que el caso reciente del malware que aprovecha el nombre del grupo Miranda!, utiliza Ingeniería Social para captar la atención de las potenciales víctimas.
• Por otro lado, nuevamente ha quedado en evidencia que existen actividades fraudulentas que muchas veces están asociadas a códigos maliciosos, y que buscan ejecutar, también de forma fraudulenta, para obtener algún beneficio. Casos como el spam en Twitter, scam con Microsoft y BMW y los ataques de phishing generados por ZeuS son ejemplos concretos.
• Otro factor importante que se destacó este mes fue la explotación de vulnerabilidades antiguas y la del tipo 0-Day que se detectó para Windows 7, que marcan una vez más la importancia de las actualizaciones en los sistemas operativos y las aplicaciones instaladas en estos.

Para obtener más información sobre las amenazas más destacadas de este mes, pueden visitar nuestro Ranking de propagación de amenazas de noviembre y el informe de amenazas. En ambos encontrarán más detalles sobre las diferentes amenazas mencionadas.

Jorge  Mieres
Analista de Seguridad

Categories: Informes, Malware, Reportes mensuales
4 Comments »

Hace instantes hemos encontrado decenas de Twit con el mensaje “hi. this you?? LOL.” y con un enlace que dirige al usuario a un sitio falso de Twitter que solicita las credenciales de login:

Por supuesto se trata de un caso de phishing a través de Twitter y con el objetivo claro de robar usuarios y contraseñas. Posteriormente los delincuentes usarán estos datos para seguir propagando el mensaje y para otros fines que crean convenientes.

El servicio acortador de URL pduda.mobi ya ha dado de baja la URL dañina, disminuyendo así la posibilidad de ataques similares, si bien la URL puede ser cambiada por los atacantes. Si has notado que desde tu cuenta de Twitter se ha enviado el mensaje mencionado o cualquier otro no generado por ti, cambia tus contraseña de inmediato.

Los Twit ya han sido denunciados a Twitter para que proceda a su eliminación y por su lado Twitter ya ha informado a los usuarios sobre el ataque.

Cristian

Categories: Alertas
No Comments »

Si de estrategias de engaño se trata, en mayor o en menor medida los creadores de malware dicen presente en todos los escenarios, como en este caso la creación de una página web que simula necesitar un Runtime de Java.

Bajo el slogan “novas novidades” (en español “nuevas noticias”), este malware del tipo troyano, detectado por ESET NOD32 bajo el nombre de Win32/TrojanDownloader.VB.NUI, se propaga a través de una página web maliciosamente creada para tal fin, y orientada a los usuarios de habla portugués. A continuación podemos ver una captura de la página:

Al momento de acceder a la página, se despliega la estrategia de engaño que consiste en simular la necesidad de instalar la aplicación mencionada. En esta instancia se intenta descargar un archivo binario llamado “video.exe“. El usuario desprevenido que lo ejecute, será víctima de un troyano desarrollado con el lenguaje VisualBasic y diseñado para descargar otros códigos maliciosos en el equipo comprometido.

A pesar de estar orientado al público que habla portugués, la metodología empleada es moneda corriente como estrategia de propagación, y sin bien constituye una de las técnicas más triviales, sigue manteniendo altos índices de infección.

Bajo este escenario, se torna indispensable instalar una solución de seguridad antivirus con capacidades proactivas como las que ofrece ESET y no hacer caso omiso a los consejos de seguridad que constantemente estamos remarcando.

Jorge

Categories: Alertas, Ingeniería Social, Malware
1 Comment »

Hace unos días les comentaba como se estaba propagando correos del tipo scam utilizando las marcas de Microsoft y BMW. En el primer caso decidí seguir el correo para poder compartir ustedes el intercambio completo de los mismos, hasta el momento que se me solicita el dinero.

En el post original podrán observar el primer correo electrónico que da comienzo al engaño, informando al usuario que ha ganado la suma de 500 mil libras que serán cobradas si el usuario brinda una serie de datos (nombre, apellido, ocupación, teléfono y otros). Contesté indicando que quería el dinero, otorgando datos personales falsos a modo de precaución:

No tardó mucho en llegar un nuevo correo, indicando que debía comunicarme con el banco para obtener mi dinero, y solicitando nuevamente que envíe información personal para poder avanzar con el cobro del dinero. Muestro los fragmentos más importantes del mensaje. Pueden hacer clic en la imagen para ver el correo completo:

Luego de brindar nuevamente información falsa, en esta oportunidad supuestamente al banco, llegó el correo final solicitando que deposite la módica suma de 640 dólares para cobrar mi dinero. Cabe mencionar que el correo también incluye una alternativa “más segura” y para cobrar el dinero más rápido que asciende a los 2 mil dólares (nuevamente pueden hacer clic en la imagen para ver el correo completo).

Por cuestiones de fondos no he podido avanzar en la transferencia, pero creo que ya es suficiente para comprender el ataque. Si el usuario deposita el dinero, ya habrá sido estafado por estos atacantes.

Recuerden nunca contestar este tipo de correos ni brindar información personal, y mucho menos ¡depositar dinero!

Sebastián

Categories: Malware
2 Comments »

En muchas ocasiones hemos mencionado que cualquier excusa es viable para que los desarrolladores de malware propaguen sus amenazas, valiéndose siempre de alguna metodología de engaño.

Es así que nuestro Laboratorio de Análisis e investigación ha encontrado una página web supuestamente del grupo pop argentino Miranda! exclusivamente creada para propagar un código malicioso. A continuación podemos ver una captura de la web.

Como vemos en la captura, la página presenta un enlace incrustado con la leyenda “Has click aquí para descargar“, ofreciendo supuestamente la descarga del último disco de Miranda!. Sin embargo, el usuario desprevenido que haga clic sobre dicho enlace estará descargando un archivo ejecutable con el nombre “Esimposible-miranda.mp3.exe“, detectado por ESET NOD32 bajo el nombre de Win32/VB.OQE troyano.

Esta amenaza se encuentra diseñada para comprometer la privacidad ya que se encarga de monitorear las actividades del usuario y realizar otras acciones propias de todo tipo de malware como por ejemplo crear claves maliciosas en el registro del sistema para asegurar su ejecución en cada inicio del equipo.

Vale la pena remarcar que el desarrollador está haciendo uso de una de las técnicas más triviales: la doble extensión. De esta manera logra disfrazar el malware intentando hacerlo pasar como un archivo del tipo .mp3 cuando en realidad no lo es.

En consecuencia, además de contar con una solución de seguridad antimalware proactiva como las ofrecidas por ESET, es importante configurar cuestiones básicas en el sistema operativo; en este caso, la visualización de las extensiones de los archivos.

Actualización noviembre 30, 2009: Este código malicioso ya no se propaga. Desde el Laboratorio de Análisis e  Investigación de ESET Latinoamérica hemos podido gestionar la baja del redireccionamiento a la descarga del archivo dañino.

Jorge

Categories: Alertas, Ingeniería Social, Malware
2 Comments »