Luego de nuestro post sobre la campaña de infección utilizando la bomba en Moscú como excusa, David Harley publicó en el blog de ESET en inglés un post respecto a la problemática de las short-URLs, un tema que me resulta interesante traer a colación.

¿Qué es una short-URL? Es una dirección URL de pocos caracteres (entre 20 y 30 caracteres por lo general) que es utilizada en servicios como Twitter para no tener la necesidad de utilizar las extensas direcciones al momento de enlazar un contenido.

Por ejemplo, la URL:
http://premios.eset-la.com/universitario/virus-bulletin.html
puede ser traducida a:
http://tinyurl.com/y8otx3m

Es decir, pasa de 60 a 26 caracteres.

Sin embargo, esta característica puede ser utilizada tanto para acortar direcciones benignas (así será en la mayoría de los casos) como maliciosas. Y los atacantes hacen uso de esta técnica, tal como mencionábamos por el ataque basado en los atentados en Moscú, o como puede observarse en esta imagen de otra campaña de infección:

¿Cuál es la ventaja para el atacante? Que el usuario no puede ver el dominio al que está siendo enlazado, y por lo tanto no puede decidir sobre la confianza del mismo.

Una alternativa para contar con una capa de protección ante esta amenaza, y recomendada para aquellos usuarios que utilicen Mozilla Firefox como navegador, es utilizar la extensión LongUrlPlease, que muestra las short-URLs de forma tal que puedan observarse los dominios y así permiten al usuario poder tomar una decisión respecto a la seguridad del enlace. El servicio funciona con cerca de 80 proveedores de short-URLs. Por ejemplo, en la siguiente imagen puede observarse un mismo enlace visto con y sin la extensión activada:

Nótese que en el segundo caso, el usuario puede ver el dominio al que está siendo enlazado, y así evitar hacer clic si el mismo no le parece confiable.

De todas formas, recuerden que como en todo ataque de ingeniería social, es importante que el usuario esté atento para no hacer clic en enlaces que puedan ser maliciosos, tengan o no un acortador de URL de por medio.

Sebastián Bortnik
Analista de Seguridad

Categories: Ingeniería Social
2 Comments »

Esta año comenzamos nuestra Gira Antivirus en a México, Costa Rica y Ecuador, donde estamos realizando seminarios esta misma semana.

Esta vez le toca la oportunidad a Argentina, donde comenzamos una vez más los seminarios que nos llevarán por el interior del país durante el año.

El próximo día viernes 9 de abril, estaré en la Universidad Católica Argentina en su sede Rosario. La cita es a la 17:00 hs. en Av. Pellegrini 3314 (en el auditorio). Allí daremos el seminario Seguridad Antivirus en Internet, donde veremos las principales amenazas y, como siempre, algunas demostraciones en vivo que tanto le gustan a los estudiantes universitarios.

La próxima semana, Cristian Borghello, Director de Educación de ESET para Latinoamérica, estará visitando la Universidad Tecnológica Nacional en la regional Córdoba, dónde el próximo viernes 16 de abril estará dictando el seminario Crimeware del Siglo XXI, desde las 18:00 hs. en Maestro M. Lopez esq. Cruz Roja Argentina (en el salón de actos).

Recuerden que pueden consultar el Calendario de Seminarios para ver las próximas fechas e inscribirse a los mismos. Todos los eventos son gratuitos.

Cada vez llegamos a más países y más universidades que nos siguen recibiendo con el placer de educarse en seguridad de la información.

Sebastián Bortnik
Analista de Seguridad

Categories: Educación, Eventos
No Comments »

En el día de la fecha se está llevando a cabo una nueva campaña de infección masiva a través de la popular red social Facebook. En esta ocasión lo que los delincuentes están propagando es el el conocido gusano Koobface, que hace tiempo estudiamos en el amplio informe “Utilizando redes sociales para propagar malware“.

En esta campaña en particular el gusano se propaga en la red social con mensajes relativos a supuestas cámaras ocultas con contenido erótico y con un enlace.  El mensaje llega a cada contacto del usuario infectado y el enlace redirige a sitios web cuyo título es “Video posted by… Hidden Camera”. Desde este sitio el usuario debe descargar un supuesto codec para visualizar el video:

Como es fácil adivinar, no se trata de ningún codec sino del archivo ejecutable del gusano Kooface. Si el usuario lo descarga y ejecuta, se infectará. A continuación muestro la detección de ESET Smart Security, al intentar descargar dicho archivo:

Lo curioso de este caso en particular es que el sitio al que se ingresa sólo funciona la primera vez que se ingresa al mismo y luego se informa de un supuesto error 404 (no se encontró la página). Los atacantes hacen esto para dificultar el trabajo de los investigadores y evitar que se analicen las distintas versiones del malware.

Todos los dominios involucrados tiene el formato http://[dirección IP]:[puerto]/números_y_letras_aleatorias/. En la captura de pantalla puede verse una de estas direcciones: http://[ELIMINADO].169.144.218:167/62f469a63f1a/.

En este momento nuestro Laboratorio ha encontrado y analizado más de 100 direcciones IP (usuarios ya infectados) responsables de la propagación de este malware por lo que es muy importante prevenirse, no creer cualquier tipo de mensaje en las redes sociales (evitar ataques de ingeniería social) y utilizar el antivirus actualizado.

Actualización 13:20 hs.: hemos detectado que algunas nuevas variantes poseen además un ataque del tipo rogue para descargar nuevos ejecutables al alertar al usuario sobre falsas amenazas en el sistema. Hemos detectado al momento variantes de Win32/Adware.Antivirus2009.AA y Win32/Adware.SafetyAntiSpyware.A

Actualización 15:45hs.: continuando con el estudio de las nuevas variantes, hemos identificado que las mismas poseen componentes del tipo downloader, por lo que luego de la infección son descargadas y puestas en ejecución, según el caso, distintas variantes de otros códigos maliciosos como los troyanos Win32/TrojanProxy.Small.NEB, Win32/PSW.Delf.NSE,  Win32/Qhost.NTN, Win32/Agent.QWU; y los gusanos una variante de Win32/Koobface.NCI y una variante de Win32/Koobface.NCP.

Actualización 08/04: hemos publicado un nuevo post con más información sobre la campaña, Malware y dominios utilizados por Koobface.

Cristian Borghello
Director de Educación

Categories: Alertas, Malware
7 Comments »