Cómo mencionamos en ocasiones anteriores el 31 de octubre se celebrará la Halloween (en español, Noche de Brujas), en Estados Unidos y otras partes del mundo,  junto con ella volvemos a mencionar que debemos estar atentos ante posibles amenazas que suelen aparecer durante este tipo de fechas conocidas por todos.

Esto ocurre normalmente mediante el uso de técnicas de Ingeniería Social o Black Hat SEO para propagar malware o spam y se está detectando durante los últimos días como una tendencia en la web.

A medida que se acerca esta conocida fecha fueron apareciendo páginas infectadas que derivaban en enlaces de descarga de falsos antivirus o se encontraban infectadas con códigos maliciosos. Basándose en el uso de técnicas de Black Hat SEO para posicionar dichas páginas entre los resultados de las búsquedas de diversos buscadores (especialmente Google) con el fin de que una gran cantidad de usuarios ingresaran y sean infectados.

Como era de esperarse las redes sociales tampoco iban a quedar fuera de este hecho, es por ello que al ingresar a cualquier tipo de aplicación para enviar tarjetas a nuestros amigos, es importante prestar atención a los permisos que estas aplicaciones solicitan, con el fin de no recibir toneladas de correo electrónico no deseado. A modo de ejemplo, en la siguiente captura vemos como una simple aplicación solicita permisos para enviarnos correos desde una dirección anónima. Simplemente accediendo a esta solicitud que podríamos generar toneladas de correo electrónico no deseado en nuestra casilla:

Analizando en detalle los permisos vemos que la aplicación nos pide más allá de poder enviarnos datos a nuestra casilla de correos, acceder a datos personales, contactos, fotos y mucho más. Otro dato que nos pareció importante remarcar es el acceso para publicar datos en nuestro muro, un posible método de propagación si las intenciones de la aplicación no fuesen benignas para el usuario.

En estas fechas todos podemos ser víctimas de estos tipos de ataque, por ello normalmente remarcamos la importancia mantener el equipo constantemente protegido mediante la instalación de una solución antimalware como ESET NOD32, y la educación y concientización del usuario para prevenir ataques de Ingeniería Social. Más allá de esto aconsejamos a los usuarios mantenerse actualizados acerca de las nuevas amenazas, como también aconsejar que no se ingrese a sitios web mediante enlaces dudosos.

Pablo Ramos
Especialista de Awareness & Research

Categories: Alertas, Black Hat SEO
1 Comment »

En lo que va del año hemos sido testigos de la desmantelación de dos importantes botnets, demostrando que por más complejas o extensas que las mismas sean, existen formas de cerrarlas.

El 25 de Octubre del corriente año, el Equipo de Delitos de Alta Tecnología de la Brigada de Crimen Nacional Holandés, en estrecha colaboración con un proveedor de alojamiento holandés, el Instituto Forense Holandés (NFI), la compañía de seguridad de Internet Fox-IT y GOVCERT, dieron de baja una botnet de gran tamaño y popularidad denominada Bredolab. La misma poseía mas de 30 millones de equipos infectados a lo largo del planeta desde julio del 2009.

Dichos equipos habían sido infectados con el troyano Win32/TrojanDownloader.Bredolab por lo cual reportaban a alguno de los 143 servidores maliciosos que conformaban la botnet en cuestión, recibiendo instrucciones directamente de los usuarios maliciosos por medio de estos. Una particularidad de la botnet Bredolab es que era utilizada para brindar servicios de “pay per install“, que significa que los botmasters alquilaban la botnet a desarrolladores de malware que tuvieran problemas diseminando sus propias amenazas para luego cobrarles por cada instalación realizada.

El operativo comenzó identificando los 143 servidores de administración utilizados por esta botnet para luego localizar donde se encontraban alojados y así poder ponerse en contacto con dicha empresa de hosting. La empresa en cuestión era LeaseWeb, uno de las empresas mas grandes de este tipo dentro de Europa. Luego, de forma sincronizada con dicha empresa, se realizó el cambio de las credenciales de acceso a todos los servidores maliciosos, para así otorgarle total control al gobierno Holandés sobre los mismos.

Por último, el equipo de especialistas Holandeses procedió a lanzar a los 30 millones de equipos afectados un script especialmente armado que modificaba la pagina de inicio de los navegadores de Internet dirigiéndolos a un sitio especialmente armado donde no solo se les indicaba que su equipo se encontraba infectado por un troyano, sino que también les indicaban de qué manera limpiar su equipo.

Actualmente, varios especialistas de seguridad comentan que, más allá de que este operativo dejó muy “lesionada” dicha botnet, la misma no se encuentra completamente inactiva, ya que pudieron detectar un servidor todavía activo que se encuentra lanzando instrucciones a los equipos zombies para que descarguen una nueva variante de Bredolab.

Los usuarios de ESET NOD32 Antivirus no tienen de qué preocuparse ya que tanto las versiones antiguas de Bredolab como la nueva versión son detectadas bajo el nombre de Win32/TrojanDownloader.Bredolab.[variante].

Lo importante a destacar de todo esto es la importancia del trabajo conjunto entre las fuerzas de seguridad gubernamentales y las empresas o especialistas de seguridad, conjuntamente con la colaboración de los proveedores de servicios de Internet. El accionar y esfuerzo conjunto de todos estos especialistas sumado a una tolerancia nula a este tipo de actividad criminal dió como resultado al cierre de una de las botnets más grandes que hayan existido.

Joaquín Rodríguez Varela
Leader Sales Engineer

Categories: Alertas, Botnet
4 Comments »

Esta semana ya estuvimos dando cierre a la Gira Antivirus 2010, visitando las últimas universidades del cronograma anual; y la próxima semana ya estaremos visitando uno de los últimos congresos del año, y se trata nada más y nada menos que Segurinfo, el prestigioso evento de seguridad informática que se realiza en Argentina hace varios años y que este año llegó a Chile por segunda vez y a Uruguay por primera. También llegando por primera vez, y consolidándose como un evento regional para el Cono Sur, llega Segurinfo Perú, que se realizará el próximo miércoles 3 de noviembre, en el Radisson Decapolis Miraflores de Lima, Perú (Av. 28 de Julio 150 2º Piso).

Bajo el lema “Seguridad, una Plataforma de Valor para el Negocio”, desde ESET estaremos participando con un stand junto a StarLabs, nuestro distribuidor exclusivo para Perú, y además tendré el placer de poder dictar la charla Malware en Linux y Mac OS, donde analizaremos con el público cuál es la situación de los códigos maliciosos en estas plataformas. Aún no está confirmado el horario, pero pueden consultar el programa del evento para verificar el mismo ni bien esté confirmado.

Además, para nuestros lectores del Perú, les cuento que tengo una entrada para regalar, que sortearé entre todas las personas que dejen un comentario en este post, el próximo día martes por la mañana. El ganador será contactado por correo electrónico.

Al resto de los lectores, los espero el próximo miércoles tanto en la charla como en el stand, donde estaré todo el día para conversar con ustedes.

Actualización 02/11/2010: el ganador ha sido José Luis Vila, ¡felicitaciones!

Sebastián Bortnik
Coordinador de Awareness & Research

Categories: Educación
8 Comments »

Sin lugar a dudas Koobface es el malware referente en lo que respecta a la relación entre los códigos maliciosos y redes sociales. El troyano que se propaga por la red desde hace años, y que ha conformado una importante red botnet ha vuelto a la acción con una particularidad: ahora es multi-plataforma.

En el día de hoy se ha detectado una nueva campaña de propagación de Koobface, que tiene la particularidad de afectar a Mac OS y Linux, además de Windows. El troyano llega al usuario a través de mensajes en diversas redes sociales (Facebook, MySpace, Twitter) con la leyenda “Is this you in this video?” (en español, “¿Sos vos en este video?“). Si el usuario visita el enlace observará una pantalla simulando un video multimedia online, y se intentará ejecutar un applet de Java, lo que en los casos de muchos usuarios será alertado por el navegador. El applet no es parte de la ejecución de un video (de hecho, no hay ningún video que mostrar, es sólo un engaño, parte de la Ingeniería Social), sino que es directamente el código malicioso, una nueva variante de Koobface que aprovecha Java para poder ejecutarse en diversas plataformas.

Si se autoriza la ejecución del código Java, se descargarán archivos en una carpeta oculta (jnana), que incluyen un instalador que será ejecutado y posee las rutinas necesarias para instalar la amenaza tanto en Windows, en Linux y en Mac OS. Una vez en ejecución, las acciones del código malicioso son las mismas que las que ya conocemos de él en Windows: se ejecuta un servidor web y un servicio IRC en el sistema, como parte de la botnet de la amenaza y a la espera de nuevas instrucciones; y se activan otras funciones como la propia propagación de la amenaza, generando mensajes en las redes sociales desde el sistema infectado del usuario.

Vale destacar que diversos investigadores han probado que la implementación de la amenaza en Mac OS aún no está completamente funcional, y en muchos casos al malware no logra instalarse correctamente, aunque sí es importante destacar que los creadores de Koobface ya están haciendo foco en el malware multi-plataforma, y podremos ver nuevas variantes similares en un futuro. En la siguiente imagen podemos ver la página fuente de la infección, a través de un sistema Linux, extraída de un interesante informe que incluye un video completo de la infección bajo la plataforma libre:

Los usuarios de ESET están protegidos, ya que las variantes de Koobface son detectadas por ESET NOD32 Antivirus (esta nueva variante en particular ha sido identificada como Java/Boonana.A), tanto en su versión para Windows, para Mac OS (disponible para licencias Business) o para Linux (aún en estado beta). Como medida adicional, para todos los usuarios, recuerden que la instalación del troyano utiliza Ingenieria Social, por lo que intenten evitar el acceso a sitios web que utilicen el mensaje indicado (o similares), y estén atentos a los sitios web que intenten ejecutar código Java en el sistema.

Sebastián Bortnik
Coordinador de Awareness & Research

Categories: Alertas, Malware
18 Comments »

En lo que va de la semana fue una gran noticia la aparición de Firesheep, un add-on the Firefox, que permite realizar hijacking de sessiones HTTP (Hypertext Transfer Protocol – en español, protocolo de transferencia de hipertexto). La técnica utilizada se basa en escanear una red inalámbrica no segura y secuestrar credenciales de inicio de sesión en sitios web, entre los cuales se encuentran Facebook, Twitter y Google entre otros tantos que permiten conexiones no seguras por parte de sus usuarios.

El hijacking es una técnica de ataque que se basa en el secuestro de conexiones de red, sesiones de usuario, servicios, modems y otros tantos tipos de servicios informáticos. Como es una técnica que se utiliza en tiempo real, es necesario que el atacante esté conectado a la misma red que el usuario para poder hacer uso de la misma.

Firesheep, el add-on desarrollado por Eric Butler, fue publicado en su blog personal, repercutiendo así en todo el mundo por la facilidad con la que permite acceder a las sesiones iniciadas mediante una conexión HTTP de reconocidos sitios web, como los mencionados anteriormente. Un día después de su publicación, Firesheep ya cuenta con más de 50.000 descargas, lo que resalta el impacto que este suceso puede tener en la seguridad de los usuarios. Su fácil instalación, uso y versiones para diferentes sistemas operativos son algunas de sus principales virtudes.

Al momento de loguearnos en un sitio web, es común que debamos ingresar nuestro usuario y contraseña, estos datos pueden ser cifrados utilizando HTTPS (Hypertext Transfer Protocol Secure – en español, Protocolo seguro de transferencia de hypertexto), pero no así todo el resto del tráfico que generemos, una falla común en varios sitios web, que afecta a la seguridad de nuestros datos. Basándose en esto, Firesheep, utiliza esta falta de seguridad para secuestrar la cookie generada del usuario y tomar el control de su sesión. Utilizar una conexión mediante HTTPS solo para el login nos sigue dejando vulnerables a este ataque, debido a que el resto del trafico es a través de HTTP, con lo que un atacante puede hacer uso de la cookie que nos envía el servidor para secuestrar la sesión.  Es de vital importancia entender que solo estaremos a salvo de esta herramienta si la conexión es en su totalidad realizada mediante el protocolo HTTPS.

Otro punto crítico que esto representa es que Firesheep es muy fácil de usar, lo que incrementa la amenaza a los usuarios. Un adolescente podría instalarlo en su computador y probarlo sin ningún problema. Su simplicidad  y accesibilidad son dos de sus características más destacadas, lo que causan que la herramienta sea ampliamente utilizada. A esto hay que sumarle que es multiplataforma, actualmente cuenta con versiones para Mac OS X y Windows, con una versión para Linux en vías de desarrollo por parte de su autor. Queda más que claro que estamos hablando de una herramienta sencilla, al alcance de todos y disponible para diferentes versiones de Sistemas Operativos.

Debemos saber que para ser víctimas de Firesheep, el atacante debe estar conectado a la misma red inalámbrica que nosotros y el ataque ser efectuado en tiempo real (siempre y cuando no haya caducado la cookie enviada por el servidor o se haya cerrado la sesión). Contrariamente a esto, todo dispositivo conectado a una red inalámbrica podrían ser víctimas de este ataque, incluso dispositivos móviles o smartphones, lo que aumenta la exposición y peligrosidad de esta herramienta.

Como una primer medida de protección, sugerimos asegurarnos que al momento de iniciar sesión en un sitio web utilicemos una conexión segura, durante toda la conexión, siempre y cuando esto sea posible. Deberíamos intentar no conectarnos desde redes inseguras a excepción de que esto sea realmente necesario. En lo que respecta a como prevenirse de que una persona utilizando Firesheep secuestre nuestros datos, se pueden usar diferentes add-ons para nuestro navegador que fuerzan el uso de HTTPS. También cómo se ha mencionado anteriormente en nuestro blog el uso de HTTPS es recomendable para evitar otras posibles amenazas, tales como el phishing.

Con la aparición de Firesheep es más que claro que el uso de una conexión segura durante toda la comunicación, es un requerimiento real con el que los sitios web deberían contar, y que su uso no debería ser postergado en servicios masivos que transfieren información confidencial. En los sitios que requieran validación de usuario y contraseña, implementar conexiones HTTPS durante toda la conexión es una alternativa muy viable en términos de seguridad. Particularmente cuando se hablar de redes sociales, correos electrónicos y sitios privados, ya que le asegura al usuario que sus datos (y su sesión) no se encuentran fácilmente expuestos a ataques. La principal barrera con la que contamos al momento de exponer nuestros datos en la web es siendo consientes de las amenazas existentes y contar con buenas prácticas para navegar en Internet. Las amenazas y fallas de seguridad siempre existieron y es posible que nunca dejen de hacerlo, es por ello debemos de estar actualizados en lo que respecta a materia de seguridad.

Pablo Ramos
Especialista de Awareness & Research

Categories: Alertas, Curiosidades
12 Comments »