Cómo mencionamos en ocasiones anteriores el 31 de octubre se celebrará la Halloween (en español, Noche de Brujas), en Estados Unidos y otras partes del mundo,  junto con ella volvemos a mencionar que debemos estar atentos ante posibles amenazas que suelen aparecer durante este tipo de fechas conocidas por todos.

Esto ocurre normalmente mediante el uso de técnicas de Ingeniería Social o Black Hat SEO para propagar malware o spam y se está detectando durante los últimos días como una tendencia en la web.

A medida que se acerca esta conocida fecha fueron apareciendo páginas infectadas que derivaban en enlaces de descarga de falsos antivirus o se encontraban infectadas con códigos maliciosos. Basándose en el uso de técnicas de Black Hat SEO para posicionar dichas páginas entre los resultados de las búsquedas de diversos buscadores (especialmente Google) con el fin de que una gran cantidad de usuarios ingresaran y sean infectados.

Como era de esperarse las redes sociales tampoco iban a quedar fuera de este hecho, es por ello que al ingresar a cualquier tipo de aplicación para enviar tarjetas a nuestros amigos, es importante prestar atención a los permisos que estas aplicaciones solicitan, con el fin de no recibir toneladas de correo electrónico no deseado. A modo de ejemplo, en la siguiente captura vemos como una simple aplicación solicita permisos para enviarnos correos desde una dirección anónima. Simplemente accediendo a esta solicitud que podríamos generar toneladas de correo electrónico no deseado en nuestra casilla:

Analizando en detalle los permisos vemos que la aplicación nos pide más allá de poder enviarnos datos a nuestra casilla de correos, acceder a datos personales, contactos, fotos y mucho más. Otro dato que nos pareció importante remarcar es el acceso para publicar datos en nuestro muro, un posible método de propagación si las intenciones de la aplicación no fuesen benignas para el usuario.

En estas fechas todos podemos ser víctimas de estos tipos de ataque, por ello normalmente remarcamos la importancia mantener el equipo constantemente protegido mediante la instalación de una solución antimalware como ESET NOD32, y la educación y concientización del usuario para prevenir ataques de Ingeniería Social. Más allá de esto aconsejamos a los usuarios mantenerse actualizados acerca de las nuevas amenazas, como también aconsejar que no se ingrese a sitios web mediante enlaces dudosos.

Pablo Ramos
Especialista de Awareness & Research

Categories: Alertas, Black Hat SEO
1 Comment »

En lo que va del año hemos sido testigos de la desmantelación de dos importantes botnets, demostrando que por más complejas o extensas que las mismas sean, existen formas de cerrarlas.

El 25 de Octubre del corriente año, el Equipo de Delitos de Alta Tecnología de la Brigada de Crimen Nacional Holandés, en estrecha colaboración con un proveedor de alojamiento holandés, el Instituto Forense Holandés (NFI), la compañía de seguridad de Internet Fox-IT y GOVCERT, dieron de baja una botnet de gran tamaño y popularidad denominada Bredolab. La misma poseía mas de 30 millones de equipos infectados a lo largo del planeta desde julio del 2009.

Dichos equipos habían sido infectados con el troyano Win32/TrojanDownloader.Bredolab por lo cual reportaban a alguno de los 143 servidores maliciosos que conformaban la botnet en cuestión, recibiendo instrucciones directamente de los usuarios maliciosos por medio de estos. Una particularidad de la botnet Bredolab es que era utilizada para brindar servicios de “pay per install“, que significa que los botmasters alquilaban la botnet a desarrolladores de malware que tuvieran problemas diseminando sus propias amenazas para luego cobrarles por cada instalación realizada.

El operativo comenzó identificando los 143 servidores de administración utilizados por esta botnet para luego localizar donde se encontraban alojados y así poder ponerse en contacto con dicha empresa de hosting. La empresa en cuestión era LeaseWeb, uno de las empresas mas grandes de este tipo dentro de Europa. Luego, de forma sincronizada con dicha empresa, se realizó el cambio de las credenciales de acceso a todos los servidores maliciosos, para así otorgarle total control al gobierno Holandés sobre los mismos.

Por último, el equipo de especialistas Holandeses procedió a lanzar a los 30 millones de equipos afectados un script especialmente armado que modificaba la pagina de inicio de los navegadores de Internet dirigiéndolos a un sitio especialmente armado donde no solo se les indicaba que su equipo se encontraba infectado por un troyano, sino que también les indicaban de qué manera limpiar su equipo.

Actualmente, varios especialistas de seguridad comentan que, más allá de que este operativo dejó muy “lesionada” dicha botnet, la misma no se encuentra completamente inactiva, ya que pudieron detectar un servidor todavía activo que se encuentra lanzando instrucciones a los equipos zombies para que descarguen una nueva variante de Bredolab.

Los usuarios de ESET NOD32 Antivirus no tienen de qué preocuparse ya que tanto las versiones antiguas de Bredolab como la nueva versión son detectadas bajo el nombre de Win32/TrojanDownloader.Bredolab.[variante].

Lo importante a destacar de todo esto es la importancia del trabajo conjunto entre las fuerzas de seguridad gubernamentales y las empresas o especialistas de seguridad, conjuntamente con la colaboración de los proveedores de servicios de Internet. El accionar y esfuerzo conjunto de todos estos especialistas sumado a una tolerancia nula a este tipo de actividad criminal dió como resultado al cierre de una de las botnets más grandes que hayan existido.

Joaquín Rodríguez Varela
Leader Sales Engineer

Categories: Alertas, Botnet
4 Comments »

Esta semana ya estuvimos dando cierre a la Gira Antivirus 2010, visitando las últimas universidades del cronograma anual; y la próxima semana ya estaremos visitando uno de los últimos congresos del año, y se trata nada más y nada menos que Segurinfo, el prestigioso evento de seguridad informática que se realiza en Argentina hace varios años y que este año llegó a Chile por segunda vez y a Uruguay por primera. También llegando por primera vez, y consolidándose como un evento regional para el Cono Sur, llega Segurinfo Perú, que se realizará el próximo miércoles 3 de noviembre, en el Radisson Decapolis Miraflores de Lima, Perú (Av. 28 de Julio 150 2º Piso).

Bajo el lema “Seguridad, una Plataforma de Valor para el Negocio”, desde ESET estaremos participando con un stand junto a StarLabs, nuestro distribuidor exclusivo para Perú, y además tendré el placer de poder dictar la charla Malware en Linux y Mac OS, donde analizaremos con el público cuál es la situación de los códigos maliciosos en estas plataformas. Aún no está confirmado el horario, pero pueden consultar el programa del evento para verificar el mismo ni bien esté confirmado.

Además, para nuestros lectores del Perú, les cuento que tengo una entrada para regalar, que sortearé entre todas las personas que dejen un comentario en este post, el próximo día martes por la mañana. El ganador será contactado por correo electrónico.

Al resto de los lectores, los espero el próximo miércoles tanto en la charla como en el stand, donde estaré todo el día para conversar con ustedes.

Actualización 02/11/2010: el ganador ha sido José Luis Vila, ¡felicitaciones!

Sebastián Bortnik
Coordinador de Awareness & Research

Categories: Educación
8 Comments »