En unas pocas semanas se estará realizando aquí en Argentina la Ekoparty, un evento anual de seguridad informática que se ha convertido en referente para toda Latinoamérica, por su alta calidad técnica y además por otros condimentos adicionales que la han hecho un evento único, que surgió en su momento del circuito underground de IT, pero que se ha posicionado como la conferencia técnica más grande de la región. Consultores, oficiales de seguridad, investigadores, programadores, técnicos, administradores de sistemas, nerds y entusiastas de la tecnología, están invitados a disfrutar de una semana de actividades relacionadas, y dos días completos de charlas y conferencias.

Este año desde ESET estaremos siendo sponsors del evento, así que podrán encontrarnos los días de conferencias con un stand donde conversar con nosotros. Pero además, estaremos colaborando con un training, uno de esos diferenciadores de la Ekoparty, capacitaciones de alto nivel técnico que se desarrollan los días previos a la conferencia.

El próximo día 15 de septiembre, Joan Calvet, colaborador de ESET en materia de análisis de malware y seguridad estará llegando desde Francia para dictar el curso Modern Malware Reverse Engineering, donde se explicarán técnicas comunes, consejos y herramientas para el análisis de códigos maliciosos complejos de la actualidad. Si tienes buen conocimiento de inglés (idioma en que será dictado el training) y conocimientos en montaje x86 y lenguajes de programación, esta es tu oportunidad para aprender más sobre ingeniería reversa y análisis de malware.

¿Quieres obtener lugares gratis en el training ? Si así lo deseas, puedes acceder al Challenge de ESET, un desafío del tipo crackme con varios niveles, y a mayor puntaje obtenido mayores posibilidades de acceder gratuitamente a un training internacional. Señores geeks, ¿qué están esperando? Descarguen el desafío y que comience el juego.

¡Los esperamos en la Eko!

Categories: Malware
7 Comments »

El desarrollo de malware, en su relación con en el ambiente delictivo, se caracteriza por una  constante búsqueda de nuevas alternativas para obtener el mayor beneficio posible en la propagación de las amenazas. Como todos los meses, les presentamos las novedades más relevantes en este campo, para transmitir una visión más amplia del real impacto que significan los incidentes de seguridad generados por códigos maliciosos:

• Durante el primer trimestre del año nuestro Laboratorio de Análisis e Investigación alertó sobre la existencia de una aplicación que permitía automatizar la generación de perfiles en Twitter para luego ser utilizados como “puente comunicacional” entre las computadoras infectadas y una botnet. Durante agosto ha sido detectada una nueva aplicación de similares características llamada TWot Bot que deja al descubierto que Twitter se encuentra en la mira de los botmaster. Utilizando los perfiles de Twitter la aplicación permite enviar comandos para, entre otras cosas, descargar y ejecutar de forma automática códigos maliciosos y robar contraseñas del programa FileZilla.
• Nuestro Laboratorio de Análisis e Investigación sigue de cerca los pasos del gusano Koobface, y también a mediados de mes se alertó sobre una nueva campaña de propagación dejando en evidencia una vez más que Koobface sigue pegando a los usuarios desprevenidos con sus estrategias delictivas. Recordemos que detrás del desarrollo de Koobface se esconde un grupo delictivo que incrementa su capital económico con cada campaña de infección a través de recursos como los sistemas de afiliados de negocios, creando una verdadera red que se nutre del malware.
• Si bien el mayor porcentaje del desarrollo de malware se encuentra orientado a explotar plataformas Microsoft, y un numero pequeño pero cada vez más ascendente a GNU/Linux y Mac OS, la tendencia marca un claro desvío por parte de los delincuentes para atacar con malware también a otras plataformas cada vez más habituales en la sociedad, como lo es la telefonía móvil de alta gama. En relación a esto, ya son varias las plataformas que han sido atacadas y recientemente se sumó un troyano diseñado la infectar Android.
• A mediados de mes se alertó sobre ataques de malware a través de sitios de eCommerce mediante los cuales, en este caso, los delincuentes dirigen el ataque al público brasileño que realiza compras a través de diferentes sitios web. En este sentido, uno de los canales de eCommerce más empleados como cobertura de ataques de phishing es eBay, mediante el cual se roban datos de autenticación que luego son empleados para cometer fraudes en línea. Por tal motivo, hemos preparado un breve documento que describe los diferentes pasos que componen uno de los modelos más habituales en ataques de phishing para comprender cómo operan los phishers.
• Otro aspecto sumamente importante que contribuye al éxito del malware es la falta de implementación de las actualizaciones de seguridad. Anteriormente realizamos la cobertura sobre las implicancias del gusano Win32/Stuxnet, por este incidente publicamos los pasos del incidente para una mejor comprensión de la cronología de un ataque 0-Day.
• El malware del tipo ransomware es cada vez más habitual siendo muchas las variantes que hemos reportado en lo que va del año. Sin embargo, el impacto que genera en un sistema infectado es, al igual que todo malware, muy grave. Por tal motivo hemos escrito unas breves líneas que intentan transmitir la peligrosidad del ransomware.

Para obtener mayor información sobre las amenazas destacadas de Agosto, pueden visitar nuestro ranking de propagación y el informe de amenazas destacadas del mes.

Laboratorio de ESET Latinoamérica

Categories: Reportes mensuales
4 Comments »

Los ataques de scam son aquellos dieñados para realizar un ataque con fines de lucro hacia los usuarios a través de un engaño, generalmente utilizando Ingeniería Social. Últimamente, Twitter ha sido uno de los medios preferidos por los scammer para propagar sus estafas, por ser una de las redes sociales que más ha crecido durante los últimos dos años.

La creación de falsos perfiles es el medio utilizado por los atacantes para enlazar a los usuarios a los sitios con publicidades falsas o promociones extraordinarias, que suelen derivar en la sustracción de dinero de la víctima.

¿Qué haría usted si el siguiente perfil de Twitter le diera follow?

Si usted anda atento, mejor no hacer caso a este perfil, ya que se trata de enlaces de scam, así como también podrían serlo de spam: enlaces publicitarios sin fines maliciosos. Es decir, hay algunos indicios del perfil que permiten determinar que es preferible obviar el perfil. Así que veamos, ¿cómo darse cuenta que un perfil de Twitter es de un spammer o scammer?

• El nombre del perfil no refiere claramente ni a una persona ni a una organización
• La foto de perfil es de una mujer atractiva
• El perfil tiene muchos following y no tantos followers
• No hay una descripción del perfil
• Todos los tweets poseen enlaces, a diversos sitios de dominios extraños

Cuando se juntan estas características en un único perfil, mejor hacer caso omiso por más tentadores que sean los enlaces, y preferentemente bloquear al usuario en cuestión, y hasta incluso reportarlo como spam en la red social. Mejor no exponerse a riesgos innecesarios.

Sebastián Bortnik
Coordinador de Awareness & Research

Categories: Alertas, Educación
1 Comment »

Durante mayo alertamos sobre la existencia de un programa malicioso, detectado por las soluciones de ESET como MSIL/Agent.NBW, desarrollado para automatizar la comunicación entre el C&C de una botnet y el equipo zombi (computadora infectada), empleando como canal la red de microbloggin Twitter.

En esta ocasión, un programa de similares características se encuentra In-the-Wild. Se trata de TWot Bot, y posee como características la posibilidad de robar contraseñas del programa FileZilla, chequear si se está intentando ejecutarlo en máquinas virtuales y automatiza la descarga y ejecución de malware, todo a través de comandos que se establecen empleando el perfil de Tiwitter previamente creado. La siguiente captura pertenece a esta aplicación:

A través del mismo, una persona malintencionada puede generar fácilmente cuentas de Twitter mediante las cuales luego intentará propagar malware y enviar los comandos necesarios para establecer de forma exitosa la comunicación entre el equipo infectado y el C&C de una botnet.

Por el momento la aplicación permite ejecutar los siguientes comandos:

• !dl. Descarga y ejecuta un archivo. Su sintaxis es: www.[DOMINIO].com/[MALWARE.exe] !dl
• !boom. Reproduce un sonido en el sistema
• !info. Muestra información sobre el sistema operativo y el zombi
• !die. Termina la comunicación entre el zombi y el C&C
• !fz. Roba información de autenticación del programa FileZilla
• !ae. NO permite su ejecución en ambientes controlados

Sin lugar a dudas, las redes sociales constituyen uno de los canales de propagación de malware más explotados y cada vez son más las aplicaciones maliciosas  for dummies que pueden ser empleados por personas sin conocimientos informáticos con solo realizar un par de clics.

Esta amenaza es detectada por ESET NOD32 como MSIL/TwiBot.A, por lo que recomendamos estar atentos a los perfiles desconocidos en Twitter.

Jorge Mieres
Analista de Seguridad

Categories: Alertas, Malware
4 Comments »

Las estrategias de Ingeniería Social constituyen uno de los patrones más notorios que actualmente presentan los códigos maliciosos para su propagación. Ya sea como parte de la maniobra de propagación e infección, o aplicada a los archivos maliciosos, se encuentra presente con un alto porcentaje de efectividad por más trivial que sea la estrategia.

En este sentido, recientemente nuestro Laboratorio de Análisis e Investigación a detectado una campaña de Ingeniería Social a través de la cual se propaga malware empleando como cobertura páginas falsas de Abobe y YouTube. A continuación se muestra una captura del caso donde se emplea una supuesta página de Adobe, desde donde se ofrece la descarga de Flash Player:

En el mismo servidor, se aloja también un ataque similar invocando a otra página falsa pero de YouTube, en la cual la estrategia de engaño consiste en decirle al usuario que es necesario descargar e instalar lo que supuestamente es Flash Player, para poder visualizar el video, aunque en realidad es el propio código malicioso:

En ambos casos las páginas se encuentran en idioma portugués y descargan un malware del tipo troyano detectado por ESET NOD32 Antivirus como Win32/TrojanDownloader.Delf.PVS. Este troyano, al infectar el sistema realiza un drive-by-download y descarga otro troyano, detectado como Win32/Agent.RVY, que a su vez establece conexión con otros servidores descargando al menos tres códigos maliciosos más, todos detectados por los productos de ESET.

Es fundamental, al momento de descargar aplicaciones complementarias, verificar la dirección desde la cual pretendemos descargar archivos ya que este tipo de métodos son altamente empleados para la propagación de diferentes amenazas.

Jorge Mieres
Analista de Seguridad

Categories: Alertas, Malware
3 Comments »