Escuchá el resumen mensual de amenazas en formato podcast:

Clip de audio: Es necesario tener Adobe Flash Player (versión 9 o superior) para reproducir este clip de audio. Descargue la versión más reciente aquí. También necesita tener activado Javascript en su navegador.

Nuevamente compartimos con ustedes el resumen mensual de amenazas más importantes del mes de enero. En estos días, pudimos comprobar nuevamente que las redes sociales son un blanco muy importante a la hora de distribuir malware. En este caso, la afectada fue la red social de microblogging Twitter. No obstante, también la nueva vulnerabilidad 0-day critica de Windows acaparó la atención del mundo de la seguridad informática. A continuación les presentamos los hechos más relevantes del mes:

• Como les comentábamos en la introducción, una nueva amenaza se ha propagado por la red social Twitter,  en este caso se trata de un rogue que utiliza el acortador de URL del buscador Google, el cual busca llamar la atención con mensajes atractivos para poder infectar grandes cantidades de usuario. También pudimos informarles sobre el seguimiento de la evolución de otro caso de rogue, el cual vimos cómo el desarrollador del código malicioso realizaba cambios tanto en el código como en la interfaz del malware a medida que iba siendo detectado por las casas de antivirus.
• Por otro lado, también hemos reportado durante enero una nueva propagación de malware a través de Facebook. Esta amenaza posee la particularidad de combinar varias técnicas de infección en un único ataque, e intenta obtener datos de las victimas como también infectar el equipo con el código malicioso.
• Durante este mes Microsoft comunicó a los usuarios sobre una vulnerabilidad 0-day crítica que afecta al intérprete grafico el cual permite al atacante ejecutar código de forma remota, la cual es identificada con el CVE-2010-3970. Se espera el parche de seguridad de la misma para las actualizaciones de Microsoft del mes de febrero, aunque la empresa aún no ha confirmado la fecha exacta de publicación.
• La Ingeniería Social es un arma infalible a la hora de generar la atención del usuario para que este pueda caer en el engaño e infectarse. Este es el caso que reportarnos de un troyano de procedencia brasileña, el cual se propaga por correo electrónico y posee enlaces que apuntan a una supuesta foto, la cual resulta ser un troyano bancario. Realizamos el seguimiento de la actividad del creador del malware y pudimos comprobar que durante un corto periodo tiempo llegó a generar cuatro muestras distintas, para poder evitar ser detectado. No siendo el único troyano bancario detectado de origen brasileño, el caso posee la particularidad que una vez que la victima es infectada, aparte de capturar la pulsaciones del teclado, posee la capacidad de sacar capturas de pantalla.
• Los móviles también dieron que hablar, ya que se detecto un nuevo troyano para la plataforma Android , el cual fue distribuido en varias aplicaciones  de esta plataforma. Gemini, como se le denomina a esta troyano, posee al particularidad de recibir ordenes desde un C&C (Centro de Comando y Control), haciendo que el dispositivo móvil forme parte de una botnet.
• Otras técnicas de engaño ya conocidas pudieron observarse este mes. Muchos usuarios a la hora de descargar información de Internet, confían mucho en la extensión del archivo, y por eso presentamos un caso de malware con archivos de música. Asimismo, a muchos usuarios les puede resultar atractivo poder ver información de sus contactos… otro típico caso de Ingeniera Social que también se presento en este mes, causando el robo de credenciales de los usuarios afectados.

Para obtener mayor información sobre las amenazas destacadas de enero, pueden visitar nuestro ranking de propagación de amenazas destacadas del mes.

Claudio Cortés Cid
Especialista de Awareness & Research

Categories: Reportes mensuales
17 Comments »

Las amenazas bancarias poseen gran relevancia en el ambiente de la Seguridad Informática, ya que al tratarse de datos sensibles, estos resultan ser muy rentables para los criminales. En esta oportunidad, compartimos un caso que afecta a los usuarios de bancos brasileños, el cual llega al correo electrónico desde una víctima ya infectada por este malware, que se envía automáticamente a la lista de correo. El correo llega al usuario con el asunto del correo siguiente: “Policia Flagra Sexo explicito de menores em boate no rio. Global Famoso aparece em uma das imagens...”. Se puede apreciar una vez más, cómo mediante la Ingeniería Social busca captar la atención de la futura víctima. El cuerpo del correo contiene un supuesto vídeo alojado en el portal YouTube, el cual indica que hay un problema de conexión al reproducir el vídeo. Al final del cuerpo de mail se encuentra otro enlace del supuesto vídeo:

Los datos del archivo son los siguientes:

• Nombre del archivo:
  br.youtube.com-2145534sexo_explicito_em_boate_do_rio_de_janeiro.exe
• MD5: d6db80a6d8de0f605aa2ecd379442912

Una vez que la víctima es infectada por este troyano, el cual es detectado por ESET NOD32 con el nombre de Win32/TrojanDownloader.Banload.PMI, este añade al inicio el archivo igfxtrai.exe, a la siguiente rama de inicio.

• HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\run

Uno de los datos más relevantes de este malware, es que una vez que la víctima se encuentra infectada este realiza cambios en el archivo host de Windows (lo que se conoce como un ataque de pharming local), en donde se pueden observar un total de 63 sitios tanto de bancos como también de otros servicios de Internet, a los cuales se le realiza un ataque de phishing para robar datos de acceso de los usuarios:

Algo llamativo sobre esta amenaza es que el mail se encuentra escrito en español y los sitios bancarios son todos de origen brasileño. Otro dato relevante es que las direcciones IP de estos sitios se encuentran alojadas en servidores de origen chino.

Los fraudes del tipo bancario poseen cada vez más, cuidado en los detalles, ya que a la hora de engañar a la victima, estos son los que marcan la diferencia. Es necesario que a la hora de navegar en Internet, se tomen los recaudo necesarios y más si se trata de manejar información del tipo bancaria: verificar la autenticidad del sitio bancario o contar con un solución antivirus son unas de las tantas recomendación que siempre les sugerimos a los usuarios.

Para más información sobre este tipo de ataques, pueden ver nuestro Video Educativo sobre Pharming Local.

Claudio Cortés Cid
Especialista de Awareness & Research

Categories: Malware, Phishing
1 Comment »