El pasado lunes el centro de Microsoft Malware Protection, publicó en su blog un informe estadístico relacionado a la explotación de vulnerabilidades y las plataformas. En el mismo, se destaca el aumento de ataques hacia Java, superando así notablemente a Adobe, que en estos últimos tiempo ha sido blanco habitual de ataques .

En el siguiente gráfico, extraído del informe, podemos observar que en el tercer trimestre del año, el aumento de ataques sobre la plataforma Java en relación a los ataques sobre archivos PDF, ha sido notablemente superior:

El aumento de estos ataques fue impulsado por la existencia de tres vulnerabilidades ya corregidas (CVE-2008-5353, CVE-2009-3867 y CVE-2010-0094) las cuales se utilizan para la instalación y propagación de malware. Los usuarios de ESET NOD32 pueden estar tranquilos que el exploit es detectado por nuestro productos bajo las firmas Java/Exploit.[VARIANTE], cada vez que se desee aprovechar alguna de las vulnerabilidades mencionadas:

Relacionado a este tema, se destaca el trabajo de Scott Wu presentado en la conferencia Virus Bulletin, donde expuso sobre  algunas de las vulnerabilidades más explotadas por códigos maliciosos, donde ya se mencionan dos de las vulnerabilidades de Java presentadas anteriormente (resaltados en color rojo):

En concordancia con estas noticias, en su ciclo trimestral de actualizaciones, el pasado martes 12 de octubre, Oracle corrigió 29 vulnerabilidades críticas de las cuales 28 eran explotables remotamente, sin la necesidad de autentificación, suponiendo esto un gran riesgo para el usuario.

Vale destacar también que este tipo de ataque ha sido de gran interés para los creadores de malware, ya que se trata de un servicio como Java, que es multiplataforma (los binarios se pueden ejecutar en todos los sistemas operativos compatibles con esta plataforma). Hace un tiempo atrás ya informamos sobre estos ataques.

Como medida de protección, se recomienda a los usuarios mantener actualizado su software de Java a su última versión (update 22) y contar con una  protección de software antivirus, ya que muchas de las aplicaciones utilizadas en la web corren bajo esta plataforma. Independientemente del uso de aplicaciones de seguridad, vale recordar la importancia de las actualizaciones para directamente no estar expuestos a estas amenazas, al tener la vulnerabilidad corregida.

Claudio Cortés Cid
Especialista de Awareness & Research

Categories: Malware, Vulnerabilidades
2 Comments »

El investigador Brian Krebs publicó el día de ayer un interesante informe en su blog, titulado “SpyEye v. ZeuS Rivalry Ends in Quiet Merger” (en español, “La rivalidad de Zeus y SpyEye termina en una amistosa fusión”). En el mismo, el autor cuenta cómo ingresando en diversos foros de (in)seguridad pudo obtener información respecto a Zeus, ya que su autor ha comunicado que dejará de desarrollar el troyano y, por ende, de dar soporte a aquellos “clientes” que compraron el paquete de crimeware.

Según lo que se ha estado mencionando en foros underground, el autor de Zeus (conocido como “Slavik” y “Monstr“) dejaría de comercializar el troyano, y habría otorgado el código fuente del mismo al autor de SpyEye, otro crimeware similar, también especializado en el robo de información bancaria. En la siguiente imagen pueden observar cómo el autor de SpyEye (conocido como “Harderman” y “Gribodemon”) anuncia en un foro la noticia, y posteriormente una traducción al español de lo dicho:

Buen día,

Voy a estar a cargo del producto Zeus desde hoy en adelante. Se me ha dado de forma gratuita su código para que los clientes que ya lo han comprado no se queden sin soporte técnico. Slavik no se hará más cargo del producto, ha borrado el código fuente de su computadora, ya no lo vende y no tiene más relación con él. Tampoco realizará más negocios por Internet y en unos días su información de contacto no estará más activa.

Me pidió que les informe que ha sido un placer trabajar con ustedes. Si tienen algún tema sin resolver con él, pónganse en contacto lo antes posible.

Todos los clientes que compraron el software a Slavik serán atendidos por mí con las mismas condiciones que lo venían haciendo, y pueden acudir directamente a mí por cualquier problema.

Gracias a todos por su atención.

Lo curioso de este hecho, es que SpyEye se caracterizó por ser “oposición” a Zeus, teniendo en cuenta que sus variantes verificaban si este estaba instalado en la computadora y lo desinstalaba de ser necesario, lo que demuestra que los atacantes pueden sorprendernos día a día, y que más allá de sus “rivalidades” su intención es económica y maliciosa.

¿Cuál es el impacto de esta noticia? En primer lugar podría aparecer un aspecto positivo: de una u otra forma, Zeus está desapareciendo, ya que aunque su soporte continuará, el mismo no seguirá siendo comercializado ni existirán nuevos desarrollos. Vale destacar que, aunque ya no será comercializado, todas las versiones de Zeus ya adquiridas siguen en funcionamiento, por lo que esto no representa la desaparición total de esta amenaza. Teniendo en cuenta que ha sido una de las botnets más utilizadas en el último año, a priori esta parece una buena noticia, ya que su estructura en crecimiento impactaba en altos índices de propagación e infección.

Sin embargo, según la investigación de Krebs, el propio autor de SypEye anunció en otros foros que las dos familias de amenazas serán “fusionadas en un poderoso troyano” en breve, por lo que es de esperarse que en los próximos meses aparezca una amenaza importante en términos de botnets. Esta no es una noticia tan alentadora: mientras SpyEye es una amenaza joven (su primera versión es del 2 de enero de 2010) que se ha caracterizado por ser muy eficiente, aunque aún no tan difundida, Zeus ha sido el bot más importante de los últimos meses; y la combinación de ambos podría ser muy importante.

A la fecha, los usuarios de ESET NOD32 están protegidos contra ambas amenazas, detectadas como Win32/Spy.SpyEye y Win32/Spy.Zbot, y nuestros laboratorios estarán trabajando para brindar ante nuevas variantes la protección proactiva que nos caracteriza.

Sebastián Bortnik
Coordinador de Awareness & Research

Categories: Alertas, Malware
10 Comments »

Ya llegando al fin de año, también se va acercando el cierre de la Gira Antivirus 2010, que este año nos llevó a más de 60 universidades en 13 países de la región. La próxima semana tanto Colombia como Argentina tendrán los seminarios educativos de ESET para estudiantes universitarios, con los que daremos cierre a un año muy intenso de actividades donde hemos logrado llevar concientización en seguridad informática a muchas casas de estudio de la región. Por lo tanto, aprovecho como siempre este espacio en el blog para listar los eventos a los que estaremos asistiendo, y dejando la invitación abierta al público en las ciudades que visitaremos, por si quieren acercarse y aprender algo nuevo sobre seguridad.

Argentina

La Universidad Tecnológica Nacional ha sido la primer universidad en recibir la Gira Antivirus (¡hace ya muchos años!) y aquí haremos el cierre del año la próxima semana, en esta oportunidad en la Facultad Regional Avellaneda, a la cual estaré visitando la próxima semana en dos oportunidades, ya que ningún turno quería quedarse sin la oportunidad de recibir el seminario. En ambas estaré dictando el seminario “Crimeware, el crimen del siglo XXI“, donde analizaremos la evolución del malware hacia los fines económicos, las botnets y una demostración en vivo donde convertiremos un equipo en zombi (como digo siempre, la parte que más le gusta al público). Estas son las citas:

• Martes 26 de octubre: UTN FR Avellaneda, Av. Mitre 750, de 19:00 a 20:30 hs.
• Viernes 29 de octubre: UTN FR Avellaneda, Av. Mitre 750, de 10:00 a 11:30 hs.

Colombia

Uno de los países que habíamos visitado durante el último año y no podíamos dejar de visitar durante 2010, donde una vez más estaremos recorriendo varias instituciones educativas durante toda la semana. En esta oportunidad, el responsable de los seminarios será Federico Pacheco, Gerente de Educación e Investigación de ESET para Latinoamérica, con el seminario “Seguridad Antivirus en Internet” donde se tratarán las principales amenazas en materia de malware, las nuevas tendencias en botnets y crimeware; además de las demostraciones en vivo de códigos maliciosos infectando un sistema informático. Estas son las universidades que visitaremos, con sus días y horarios:

• Lunes 25 de octubre: Universidad Manuela Beltrán, Av Circunvalar #60-00 (Bogotá), de 18:00 a 20:00 hs.
• Martes 26 de octubre: Universidad del Cun, Calle 13 #4-69 (Bogotá), de 18:00 a 20:00 hs.
• Miércoles 27 de octubre: Universidad de la Sabana, Puente del comun KM7 Autopista Norte (Bogotá), de 09:00 a 11:00 hs.
• Miércoles 27 de octubre: Universidad Central, Carrera 5 N° 21 – 38 (Bogotá), de 18:00 a 20:00 hs.
• Jueves 28 de octubre: Universidad Politécnico Grancolombiano, Calle 57 # 3-00 Este (Bogotá), de 09:00 a 11:00 hs.
• Jueves 28 de octubre: Universidad Konrad Lorenz, Cra. 9 Bis # 62 – 43 (Bogotá), de 18:00 a 20:00 hs.
• Viernes 29 de octubre: Universidad Militar, Cra. 11 #101-80 (Bogotá), de 09:00 a 11:00 hs.

Como verán, tenemos un calendario activo la próxima semana, y nos parece la mejor forma de cerrar las visitas a universidades durante 2010, lo que como siempre nos ha causado un placer enorme en cada visita, con cada uno de los estudiantes demostrando su interés por aprender diferentes contenidos en seguridad informática.

En el calendario de la Gira Antivirus de ESET pueden consultar los datos completos de los eventos e inscribirse a los mismos. Los esperamos y ya estamos trabajando para que la Gira Antivirus 2011 nos haga llegar a más países y a nuevas universidades en la región.

Sebastián Bortnik
Coordinador de Awareness & Research

Categories: Educación
2 Comments »

Siempre es importante saber que tan expuesta se encuentra la información que se publica en las redes sociales, o es accesible desde teléfonos móviles. Sobre todo cuando existe la posibilidad de que datos tales como correos electrónicos, números de teléfonos y lista de contactos se envíe a empresas sin el consentimiento del usuario.

Durante los últimos días se ha estado hablando del aparente filtrado de información de usuarios en la conocida red social de Facebook y varias plataformas móviles, tales como Android e iOS, causando un gran revuelo en el ambiente de seguridad de la información.

La noticia acerca de Facebook es la que mas repercusiones ha tenido debido a que la red cuenta con más de 500 millones de usuarios. Todo esto a raíz de un estudio publicado por el Wall Street Journal en el cual revelaba una aparente violación de la política de confidencialidad de Facebook. En este caso en particular se filtraba el  Facebook ID, permitiendo también que empresas de publicidad accedieran a datos de los usuarios como sus nombres e incluso sus contactos. Conocidas aplicaciones como Farmville, Texas HoldEm, FrontierVille, entre otras,  son las que fueron identificadas por el Wall Street Journal.  La mayoría de las aplicaciones que filtraban estos datos no han sido desarrolladas por Facebook. Varias de estas aplicaciones dejaron de estar disponibles a los usuarios.  A diferencia de otras ocasiones en las que se ha hecho mención en este blog no se trata de un ataque a Facebook o sus usuarios sino de un caso de fuga de información.

Pero este filtrado de información no termina solo en la conocida red social sino que también se extiende a usuarios de teléfonos móviles con sistemas operativos Android y iOs.  El filtrado de datos personales de los usuarios se podría estar enviando sin el consentimiento del usuario.  Esto nos lleva a remarcar una vez más la importancia de conocer cuales son las aplicaciones que se instalan en los dispositivos, como así también tomar conciencia de la proveniencia de dónde fue adquirida la misma (Android Market, Obi Symbian, Apple Store), para más información se puede consultar el decálogo de seguridad para dispositivos móviles de ESET.

En el sistema operativo de Google, para dispositivos móviles y tablets se encontró que aplicaciones filtraban datos tales como ubicación, números de teléfono y otra información sensible del usuario sin el consentimiento del mismo, haciendo que información personal pueda ser accedida por terceros. Si bien no se trata de un malware propiamente dicho, el envío de información sin el conocimiento del usuario pueden llevar a  spam de SMS (mensajes de texto) o correos electrónicos.

La misma situación fue observada en aplicaciones para iPhone, en donde el UDID (Unique Device Identifier – en español, Identificador Único del Dispositivo) es enviado tanto a los desarrolladores de aplicaciones como así también a terceros.

Estos hechos son más que importantes debido a que llevan a tomar conciencia de la información que uno publica o aplicaciones utilizadas tanto para fines personales como para recreación. Si bien no estamos hablando de una infección o un nuevo vector de ataque dirigido a los usuarios, el acceso y uso de los datos personales no son transparentes y pueden derivar en usos no éticos por parte de terceros. Por ello es de vital importancia conocer el acceso que se le concede a cada una de las aplicaciones utilizadas, tanto en los dispositivos móviles como así también en las diferentes redes sociales. Como consejo de protección para el usuario recomendamos seguir las buenas prácticas tanto en dispositivos móviles como en Internet, llegando así a limitar las chances de ser víctimas de aplicaciones fraudulentas, recepción de correos no deseados o incluso ser victimas de malware.

Pablo Ramos
Especialista de Awareness & Research

Categories: Fuga de información, Redes Sociales
1 Comment »

Hace un tiempo les contábamos cómo opera un phisher, donde detallábamos cuál es el proceso típico en un ataque de phishing. Hoy aprovechamos que hemos recibido un nuevo ataque de phishing a través de archivos maliciosos, para mostrar paso a paso la anatomía de un ataque de phishing, visto desde la perspectiva del usuario, hasta la recolección de los datos por parte del atacante, ¿cuán rentable es este ataque?

El ataque comienza como la gran mayoría de los ataques de este tipo, con un correo electrónico indicando la presencia de un nuevo instalador de un “módulo de protección“, e invitando al usuario a través de mensajes sugerentes (y un importante botón de descarga) para bajar el archivo:

Si el usuario descarga el archivo, que es detectado por ESET NOD32 Antivirus como Win32/Spy.Banbra.OAH, se ejecutará una aplicación a través de browser que en primer término indicará la necesidad de actualizar los datos de acceso al home banking:

Ver m�s… »

Categories: Malware en imágenes, Phishing
7 Comments »