Ya hemos comentado en este blog que Brasil se caracteriza por tener un extenso desarrollo de troyanos diseñados para robar información de índole financiera y bancaria. Un nuevo troyano bancario brasileño ha sido identificado y nuestro compañero Josep Albors, de Ontinet (distribuidor exclusivo de ESET para España), nos acercan este interesante informe sobre él:

Las técnicas usadas por muchos creadores de malware latinoamericanos (y especialmente los brasileños) para lograr infectar a los usuarios, se han basado tradicionalmente en la ingeniería social y no ha sufrido grandes cambios en los últimos años. Lo habitual es que se incluya un archivo adjunto o un enlace a una dirección web maliciosa concreta donde se encuentra el código malicioso y, en la mayoría de ocasiones, este malware es un troyano bancario.

No obstante, en las últimas semanas hemos visto como se ha ido evolucionando de un simple correo con adjunto o enlace a algo más elaborado. En este mismo blog hemos comentado algunos casos de la evolución de los métodos de propagación de este tipo de malware y en los últimos días, hemos analizado otra más.

En esta ocasión nos encontramos con un correo de una supuesta empresa de transportes que solicita que rellenemos un formulario:

Aparentemente, no se observa ninguna novedad con respecto a otros casos similares. Si pulsamos sobre el enlace para descargar el archivo .pdf se nos mostrará una ventana de descarga indicando que vamos a proceder a descargar el fichero Arquivo_DSCF3197.cpl.

Aquí observamos una diferencia con respecto a los casos de infección clásicos de este tipo de troyanos. Normalmente se procede a descargar un archivo ejecutable .exe o un documento .pdf modificado para aprovechar alguna vulnerabilidad. No obstante, en esta ocasión se usa un archivo .cpl, utilizados por Windows para representar las herramientas del panel de control.

Asimismo, la dirección web que se usa para realizar la descarga pertenece a un club de artes marciales brasileño que nada tiene que ver con la propagación de esta amenaza. Recientemente hemos visto muchas páginas webs legitimas usadas para propagar malware por lo que debemos extremar las precauciones. Está también es una novedad en este tipo de ataques ya que lo normal era preparar una dirección web concreta y no utilizar una web legítima.

La utilización de los archivos con extensión .cpl para propagar malware no es habitual y puede que esta sea una de las causa por las que, en el momento de escribir este artículo, aun pocos motores antivirus detectaban esta amenaza. Tanto ESET NOD32 Antivirus como ESET Smart Security detectan este código malicioso como el troyano Win32/TrojanDownloader.Banload.PNO.

Cabe recordar que este tipo de amenazas sigue dependiendo en gran medida de las técnicas de ingeniería social para poder propagarse. Es por eso que, desde el laboratorio de ESET en Ontinet.com recomendamos extremar las precauciones a la hora de abrir correos no solicitados y contar con la protección de un antivirus actualizado capaz de detectar este tipo de amenazas.

Josep Albors
Ontinet

Categories: Malware
1 Comment »

Hace dos semanas anunciábamos la aparición de la vulnerabilidad 0-day para sistemas Microsoft Windows , que estaba siendo aprovechada por el código malicioso Stuxnet, del cual ya hemos respondido las preguntas más importantes respecto a sus métodos de propagación e impactos.

En los últimos días el malware Sality ha comenzado a utilizar también esta vulnerabilidad y las tasas de infección de todos los códigos maliciosos relacionados han ido en aumento, y Microsoft no está ajeno a ello. Por tal motivo, en el día de hoy han anunciado a través de uno de sus blogs oficiales que en breve liberarán un parche fuera de ciclo para remediar la vulnerabilidad CVE-2010-2568. A pesar de estar cerca de la próxima actualización, la empresa ha decidido publicar al instante el parche, tal cual lo hiciera en su momento con el bug MS08-067 que fue utilizado por el gusano Conficker.

Además, otro aspecto interesante es que el equipo de Microsoft ha detectado un importante crecimiento de actividad de explotación de esta vulnerabilidad en Brasil, lo que confirma a este país como el principal desarrollador de malware en la región latinoamericana, y su ya conocida relación con las variantes de Sality, tal cual se indica en la siguiente imagen:

Recuerden que, mientras tanto, existe un procedimiento para mitigar este problema, y que aquellos usuarios que cuenten con ESET NOD32 Antivirus están detectando los diversos códigos maliciosos que aprovechan esta vulnerabilidad: LNK/Autostart.A, Win32/Stuxnet (existen variantes), Win32/Exploit.CVE-2010-2568, LNK/Exploit.CVE-2010-2568, Win32/TrojanDownloader.Chymine.A, Win32/Spy.Agent.NSO, Win32/Autorun.VB.RP y Win32/Sality.NBA.

Sebastián Bortnik
Analista de Seguridad

Categories: Alertas, Malware
5 Comments »

Hoy 30 de julio se celebra el Día del Sysadmin (Sysadmin Day), una iniciativa a nivel mundial para reconocer el trabajo de los Administradores de Sistemas, ellos que deben garantizar el correcto funcionamiento de todos los recursos informáticos de la empresa, ellos que trabajan fuera de hora para hacer implementaciones, que corren ante cada “incendio” y que reciben todos nuestros reclamos cuando algo no funciona. Para ellos, este día reconociendo el esfuerzo por su labor.

En ESET no nos queríamos quedar afuera de esta celebración y por ello hemos organizado un concurso que pueden visualizar en nuestro Blog Corporativo, para que todos los Sysadmin nos cuenten su historia más divertida en su experiencia laboral, y participarán por premios como kits que ESET, Mochilas, jarros térmicos, CD’s, y unas remeras diseñadas especialmente para la ocasión. Tienen tiempo hasta el viernes 6 de agosto para enviarnos su historia.

Además, como todo es una buena oportunidad para dar más educación, con el equipo de Laboratorio de ESET Latinoamérica hemos preparado los 10 mandamientos de seguridad para el Sysadmin. Sabemos que su trabajo es muy complejo y son muchos los factores a tener en cuenta, pero aquí algunas ideas importantes para que ¡no se olviden de la seguridad!

10 mandamientos de seguridad para el Sysadmin

1. Utilizarás contraseñas fuertes. Las claves son las llaves de acceso a muchos recursos: servidores, routers, appliance, etc. La seguridad en las contraseñas es fundamental para minimizar los riesgos de acceso indebido a estos recursos.
2. Instalarás los parches de seguridad. La explotación de vulnerabilidades es una de las vías más importante de acceso de amenazas, tanto dirigidas como de gusanos informáticos. Para evitar estas intrusiones, es necesario mantener instaladas las actualizaciones de seguridad, no sólo del sistema operativo, sino también del resto de las aplicaciones como navegadores u ofimática.
   
3. Asignarás permisos limitados a tus usuarios. La utilización de usuarios con permisos administrativos puede ser aprovechada por los códigos maliciosos para ejecutar acciones en los archivos de sistema, así como exponer a otra serie de riesgos como la instalación de programas no autorizados. Por lo tanto, los usuarios en la red deben tener sólo los permisos suficientes para desarrollar sus tareas cotidianas sin inconvenientes.
4. Utilizarás tecnologías de seguridad. La triada compuesta por software antivirus, antispam y firewall son las herramientas mínimas para pensar una estrategia de defensa en profundidad. Herramientas como detectores de intrusos (IDS), software de cifrado de información, entre otros; deben ser consideradas al momento de diseñar la seguridad de la información en la red.
5. Redactarás (o utilizarás) políticas de seguridad. Una política de seguridad es un documento que define qué pueden (y qué no) realizar los usuarios con los recursos de información que utilizan en la red, así como también sus obligaciones y responsabilidades para con estas. Es un componente fundamental para complementar con estrategias de gestión el aporte de las tecnologías y …
6. Educarás a tus usuarios. Para complementar el triangulo de protección con las tecnologías, la gestión y… la educación. Concienciar a los usuarios respecto al uso de las tecnologías y las amenazas existentes es otro factor importante para la protección de la red y su información. Capacitaciones, cursos, afiches, charlas, mensajes de login, entre otros; son algunas de las iniciativas posibles para educar al usuario, así como también aprovechar los recursos gratuitos que hay en la web (pueden consultar el Centro de Amenazas o la Plataforma Educativa de ESET Latinoamérica).
7. Utilizarás software legítimo. La descarga indiscriminada de aplicaciones de las cuales se desconoce su reputación o de fuentes ilegítimas puede causar que se descargue software troyanizado, que incluya funcionalidades maliciosas y del cual además no puede garantizarse su correcto funcionamiento.
8. Auditarás. Recomendable en toda la red, pero especialmente en servidores o donde haya información sensible o crítica, es importante que exista un registro de lo que ocurre en el sistema y de quién es el usuario que está realizando la tarea. De esta forma, será posible conocer qué ocurrió si aparece un incidente, así como poder analizar los logs y poder identificar con estas herramientas la ocurrencia de algún problema.
9. No harás excepciones de seguridad injustificadas. Mientras que la seguridad debe estar pensada para toda la red, basta un único inconveniente para que ocurra un incidente de seguridad. Las responsabilidades del Sysadmin incluyen sostener las políticas de seguridad para toda la red, y excepciones a un gerente, un amigo o un desarrollador pueden ser el causante de un problema, por más que todo el resto de los usuarios estén cumpliendo al pie de la letra las medidas de seguridad.
10. Lea el Blog de Laboratorio de ESET Latinoamérica. Lo que también podría ser estarás informado, ya que en materia de seguridad las amenazas evolucionan día a día, y por lo tanto es importante entonces mantenerse atento a las nuevos ataques. La medida de seguridad que hoy es efectiva, mañana puede no serla, y por lo tanto es bueno conocer las últimas tendencias.

Aquellos que sean Sysadmin, recuerden que estamos realizando el concurso en nuestro Blog Corporativo así que los invito nuevamente a participar a ver si se llevan un premio por su historia. Mientras tanto, esperamos les hayan sido de utilidad estos mandamientos. Si tienen tiempo, pueden tallarlos en unas tablas y colocarlos en sus oficinas para todo su equipo.

Categories: Educación
6 Comments »

Hace unas semanas les presentábamos el novedoso y original término “hackarillismo” a partir del “hackeo” a Youtube y la desinformación que circuló en los medios respecto a esa noticia. Como decía Ignacio Sbampato en aquel post, “un gran amigo de la desinformación es el uso incorrecto que se hace diariamente de todos los términos relacionados al hacking”, y en el día de ayer, una vez más, nos encontramos con un caso similar respecto a un incidente relacionado a Facebook, que muchos lectores habrán leído (incorrectamente) como “el hackeo a Facebook“. O “los”, ya que han sido dos los problemas de seguridad que fueron públicos en los últimas días relacionados a la red social más utilizada, y nada mejor que explicar cómo ocurrió cada incidente.

El primero es muy sencillo. Algunos habrán escuchado que “fueron expuestos datos de 100 millones de usuarios de Facebook” y, como decíamos, en muchos casos acompañando la noticia de palabras como hacking, hacker y derivados. En realidad, se trató simplemente de un rastreo de información realizado por Ron Bowws, de la firma Skull Security, que publicó en un torrent un archivo (¡de más de 2 Gigabytes!) que contiene 171 millones de entradas correspondientes a un quinto de los usuarios de Facebook. ¿Cómo lo logró? No accedió a las bases de datos de Facebook ni explotó ninguna vulnerabilidad. Simplemente creó una aplicación que buscó en la red social todos los perfiles que poseen información pública, y juntó toda esa información en un único archivo y lo hizo público. ¿Qué pueden hacer como usuarios? Teniendo en cuenta que uno de cada cinco usuarios están expuestos en esa base de datos, les recomiendo revisar sus configuraciones de privacidad y verificar qué datos de sus perfiles son públicos y no poseen ninguna restricción.

El otro incidente que sufrió la red social fue observado sólo por los usuarios de Facebook en español, ya que en el día de ayer algunos habrán podido observar que se veían en la red social contenidos inapropiados en donde debía decir palabras sencillas como “muro” o “me gusta”. Sin embargo, tampoco se trató de un acceso indebido a los sistemas, sino de una ingeniosa burla al sistema de traducción que le permite a los usuarios proponer mejoras en las traducciones a otros idiomas distintos al inglés. Básicamente lo que hicieron un grupo de usuarios fue crear cientos de perfiles falsos, y con ellos proponer mejores traducciones en forma masiva. Como Facebook posee este sistema de “escuchar a los usuarios”, si muchos usuarios proponen traducciones iguales el cambio se aplica automáticamente y queda vulnerable a este tipo de incidentes. ¿Qué pueden hacer los usuarios? Nada, en este caso sólo esperar que la gente de Facebook corrija las traducciones que quedaron erróneas.

Vale la pena citar las palabras de nuestro primer post cuando presentábamos el término “hackarillismo”:

Se lee diariamente que tal o cual lugar “fue hackeado” cuando se quiere decir que su seguridad fue vulnerada, no solo tergiversando el verdadero significado de esos términos, sino más bien usándolos para una especie de hackarillismo donde se habla de hacking porque llama más la atención de los usuarios.

La seguridad de Internet la hacemos entre todos, y el hackarillismo cada vez más frecuente atenta contra la misma. Cuando duden sobre una noticia de seguridad usando palabras como hacking, les recomiendo visitar una fuente confiable sobre el tema en lugar de aquellos donde, por falta de especialización o por búsqueda de más visibilidad, no se usan adecuadamente, y así entender mejor cuales son los verdaderos problemas de seguridad y cómo evitarlos.

En resumen, el término hacker parece tener una especie de atractivo al momento de comunicar noticias relacionadas a la seguridad, así que si se llegan a cruzar con él, intenten averiguar la real naturaleza del incidente, la mejor forma de comprender el ataque y por ende sus consecuencias desde el punto de vista de la seguridad.

Sebastián Bortnik
Analista de Seguridad

Categories: Alertas, Curiosidades, Redes Sociales
3 Comments »

Todavía recuerdo cuando en Febrero lanzamos una nueva edición del Premio ESET a la Mejor Investigación en Seguridad Antivirus, y les anunciaba que un estudiante universitario sería premiado con un viaje a Canadá, así como también el nuevo premio agregado desde esta quinta edición para que un segundo estudiante viaje a la Argentina a realizar un curso de Seguridad Antivirus en las oficinas de ESET Latinoamérica. Hoy tengo el placer de escribirles cuatro meses después, para contarles que los participantes ya han entregado sus trabajo, y el jurado ya ha elegido a los ganadores del mismo.

En primer lugar, el viaje a Vancouver (Canadá) para asistir al prestigioso congreso Virus Bulletin ha sido obtenido por Flavia Gramajo, estudiante de la Universidad Tecnológica Nacional Argentina (Facultad Regional Córdoba) que ha realizado, a criterio del jurado, el mejor trabajo de esta edición, con su monografía “Conflictos en red: botnets“, que analiza estas redes de equipos zombis de las cuales ya hemos venido hablando mucho en este blog, su problemática e implicancias en la seguridad de las redes. Flavia estará viajando junto al equipo de Investigación y Educación de ESET en septiembre de este año para disfrutar de importantes charlas de los expertos más reconocidos del mundo de la seguridad antivirus de todo el mundo. ¡Felicitaciones Flavia!

El segundo lugar fue obtenido por Sara Iris García Avila, estudiante de la Universidad Mariano Gálvez de Guatemala, con su trabajo sobre GPU Y Heurística Antivirus. Sara estará viajando en octubre de este año a Buenos Aires, Argentina; y realizará un Curso de Seguridad Antivirus en el Laboratorio de ESET Latinoamérica. Además, dada la paridad de los trabajos y su calidad, el trabajo sobre Criptovirología ubicado en tercer lugar, de Raphael Castro, estudiante de la Universidad Tecnológica Nacional Argentina (Facultad Regional Concepción del Uruguay), ha sido premiado y también asistirá al curso en las oficinas de ESET Latinaomérica junto a la estudiante guatemalteca. ¡Felicitaciones a ambos!

De esta forma, hemos finalizado la quinta edición del Premio ESET 2010, y en los próximos meses ya les estaremos dando novedades sobre la edición del próximo año.

Por último, agradecer una vez más a todas las universidades que apoyan la iniciativa, este año hemos recibido trabajo de más de 15 instituciones educativas de diferentes países de la región, y por lo tanto mandar mis felicitaciones a todos los alumnos que participaron y se tomaron el trabajo de realizar una monografía de investigación, y así demostrar los conocimientos existentes en la región y la voluntad de estudiantes y casas de estudio por fomentar la investigación en el campo. A todos ellos: ¡los esperamos el próximo año!

Sebastián Bortnik
Analista de Seguridad

Categories: Educación
5 Comments »