Como ya muchos lectores sabrán, los atacantes utilizan técnicas de Ingeniería Social para propagar sus amenazas; y entre las más efectivas aparecen aquellas que están asociadas a reconocidas marcas. En esta ocasión, se trata de utilizar a TIM Brasil, al reconocido proveedor de telecomunicaciones. Al igual que observamos hace un tiempo, con la supuesta recepción de videos en el celular, en esta ocasión el correo electrónico llega al usuario indicando que se recibió un mensaje de texto al celular, y se ofrece un enlace para visualizar el mismo:

La técnica en cuestión, para aquellos que convivimos diariamente con el mundo del malware, no parece ser nada novedoso: un correo, Ingeniería Social, mensaje atractivo, enlace. Sin embargo, ¿sigue siendo efectiva esta técnica? Sin lugar a dudas que sí, sino veamos los números estadísticos que arroja el enlace del acortador de URL (bit.ly):

Ver más… »

Categories: Estadísticas, Malware
1 Comment »

El pasado martes, la Agencia Federal de Investigación estadounidense (FBI) emitió un comunicado alertando veinte casos de transferencias de dinero no autorizadas provenientes de pequeñas y medianas empresas del mercado norteamericano hacia ciudades chinas, más precisamente a Heilongjiang, en las cercanías de la frontera con Rusia.

Se trata de un ataque de phishing que fue perpetrado por atacantes que son aún desconocidos. En este momento, el FBI se encuentra investigando si las cuentas bancarias en China eran realmente el destinatario final del dinero o si lo utilizaban como intermediarias para un eventual reenvío.

Las transferencias realizadas varían entre 50.000 y 985.000 dólares. En la mayoría de los casos se realizaron por encima de los 900.000, no obstante, los atacantes han tenido más éxito en transacciones inferiores a los 500.000 dólares.

Los ataques no han sido aún analizados en todos los casos, pero ya se pudo determinar que algunos están relacionados con ZeuS, el famoso malware que causó estragos al sector comercial en todo el mundo.

Por último, se realizan recomendaciones de analizar profundamente todas aquellas transacciones realizadas a las ciudades de: Raohe, Fuyuan, Jixi City, Xunke, Tongjiang, and Dongning, y sobre todas las cosas, a los bancos, que monitoreen transacciones de clientes que no poseen historial bancario con toda la provincia de Heilongjiang. Esperemos que las autoridades pertinentes tomen cartas en el asunto y no pierdan de vista la seguridad de sus usuarios.

Raphael Labaca Castro
Awareness & Research Specialist

Categories: Alertas, Malware
No Comments »

Durante el transcurso de estos últimos días, nos hemos volcado a hacer un análisis sobre diferentes amenazas para Symbian, la plataforma móvil más utilizada a nivel mundial. Por este motivo analizamos cuatro muestras diferentes que tenían un punto en común: todas realizaban el envío de mensajes de texto a números rusos.

El envío de mensajes de textos a números pagos es una de las primeras técnicas utilizadas en las plataformas móviles y existen mucho antes de la aparición de sistemas como Android o iOS. Symbian, al estar en el mercado hace más de 10 años, se ha encontrado con varias amenazas que hacen uso de estas a lo largo del tiempo.

En esta recopilación de muestras, buscamos diferentes comportamientos y el uso de las API necesarias para el envío de mensajes de texto. Al hacerlo, fuimos encontrando amenazas muy diversas que van desde una versión para Symbian de Opera hasta una aplicación para obtener contraseñas de cuentas del viejo y recordado ICQ.

Las cuatro familias de malware distintas que analizamos fueron, según las detecciones de ESET Moible Security:

• J2ME/TrojanSMS.Agent.B
• J2ME.TrojanSMS.Konov.K
• J2ME/TrojanSMS.SMSi.AA
• J2ME/TrojanSMS.Swapi.E

Durante la ejecución de las aplicaciones, se realizaba el envío de mensajes de texto a diferentes números de teléfono, dependiendo de la amenaza. Más allá de la técnica utilizada, o de la familia de malware a la que correspondía cada muestra, queremos resaltar una de las tantas maneras de los desarrolladores de códigos maliciosos de obtener una remuneración a partir del desconocimiento del usuario.

El código presente en casi toda las amenazas es semejante al siguiente:

Durante la ejecución de esa porción de código, se genera una conexión para realizar el envío del mensaje de texto a un número de teléfono que cambia según la amenaza analizada. Si bien cada una de las aplicaciones realmente pretende ocultar su comportamiento, ante un análisis del código podemos ver qué es lo que oculta.

El costo que este tipo de amenazas puede llegar a tener para el usuario puede llegar a variar y depende de la región. Como han de imaginarse, este tipo de códigos maliciosos es más habitual en países en donde se toma vodka y hace mucho frío.

A modo de conclusión, vemos una vez más cómo los desarrolladores de códigos maliciosos se aprovechan del desconocimiento de los usuarios para ejecutar sus códigos maliciosos y así poder ganar dinero a expensas de los teléfonos infectados. Esta es una de los principales motivos por lo que es necesario contar con una solución antivirus para dispositivos móviles que pueda advertir al usuario acerca de estas amenazas, si a ello se le suma que el usuario cuente con buenas prácticas para su utilización; la posibilidad de que su teléfono y su bolsillo se vean afectados se minimiza.

Pablo Ramos
Especialista de Awareness & Research

Categories: Análisis de malware, Curiosidades
No Comments »

Entre los días 27 y 29 de abril se realizó en la ciudad de Kuala Lumpur, Malasia, la quinta edición del congreso CeCOS (Counter eCrime Operations Summit) un evento que reúne anualmente a destacadas figuras de la lucha contra el ciber crimen en el mundo, y donde ESET Latinoamérica participó, presentando el proyecto educativo Argentina Cibersegura.

Este evento es organizado por APWG (Anti Phishing Working Group) una asociación internacional que más alla del nombre con el que se constituyó, está hoy en día dedicada a investigar los delitos informáticos, evitar el fraude electrónico, el robo de identidad digital, y otras amenazas que afectan a los usuarios de Internet. Para esto, APWG está vinculado con los CERT (Computer Emergency Response Team) de distintos países para hacer mas eficiente el trabajo a nivel local en las diferentes regiones del mundo.

Los temas de este congreso transitaron desde casos de estudio, problemáticas regionales, teléfonos móviles, redes sociales, pasando por desmantelamiento de botnets, hasta las últimas tendencias en phishing. Los datos presentados en las charlas aportaron información de gran valor, como ser estadísticas y conclusiones que ayudan a comprender la situación actual y las tendencias que se ven a diario en el ciberespacio. Por su parte, ESET Latinoamérica participó como expositor, en la conferencia titulada “Securing Our eCity: The Argentinian Experience” donde se presentó el proyecto Argentina Cibersegura y se anunció su lanzamiento oficial para mediados de 2011. Aquí pueden ver una imagen del momento en que junto a Facundo Malaureille presentamos el proyecto en Kuala Lumpur:

Argentina Cibersegura es un proyecto de carácter social y educativo, que surgió cuando en el año 2010, en el congreso CeCOS IV realizado en Sao Paulo, Brasil, un grupo de personas relacionadas con la ciber seguridad desde el punto de vista legal, se propusieron adaptar un proyecto presentado por ESET Norteamérica en una de las conferencias, SOeC (Securing Our eCity). Así, se contactaron con ESET Latinoamérica para modelar una iniciativa de ciber seguridad que no sea dependiente de una empresa o una organización gubernamental, sino que abarque distintos sectores y no solo desde la tecnología, sino también desde otros aspectos como ser la legislación y la concientización.

Al finalizar la conferencia de Argentina Cibersegura, Peter Cassidy (Secretario General de APWG) se acercó al escenario, pidió el micrófono, y felicitó a los expositores y miembros del proyecto, catalogando de “heroica” la tarea de educación en ciber seguridad propuesta, y remarcando la necesidad de continuar trabajando en distintas ciudades del mundo, a fin de conseguir un espacio virtual mas seguro para todos.

Como colaboradores del proyecto Argentina Cibersegura, los invitamos a conocer el sitio web y participar de las actividades que realizan sus miembros periódicamente, como dar charlas en entornos educativos, crear material de concientización, y otras.

Federico Pacheco
Education & Research Manager

Categories: Educación, Eventos
1 Comment »

Los usuarios de la popular consola de videojuegos de Sony, la PlayStation, estaban preocupados ya que desde el día 20 de abril la PlayStation Network (PSN) estaba inaccesible y, en un principio, no se habían dado detalles sobre los motivos. Posteriormente, hasta el día de ayer, circulaban varios rumores sobre una posible intrusión en la red de Sony, más allá de otras que indicaban simplemente “un mantenimiento”. Finalmente, el rumor fue confirmado el día de ayer: una intrusión a la red de Sony expuso los datos de 77 millones de cuentas de usuario. La empresa envió un correo a sus usuarios, asumiendo el incidente, que comienza así:

Consumidor de PlayStation Network:

Descubrimos que entre el 17 y el 19 de abril del 2011, cierta información de una cuenta de PlayStation Network fue comprometida debido a una intrusión no autorizada en nuestra red, lo que nos llevó a tomar las siguientes acciones:

1) Apagamos temporalmente el servicio de PlayStation Network.
2) Unimos nuestros esfuerzos a una reconocida firma de seguridad para conducir la investigación completa respecto de lo ocurrido.
3) Rápidamente tomamos pasos a fin de mejorar la seguridad, y reconstruir nuestro sistema para brindar una mejor protección en su información personal.

En resumen, la empresa descubrió un acceso no autorizado al sistema, que habría extraído los siguientes datos de los usuarios: nombre, dirección (estado, ciudad y código postal), dirección de correo electrónico, fecha de nacimiento y contraseña y usuario de PlayStation Network. Sin embargo, la empresa tampoco descartó que se hayan extraído otros datos más sensibles como el historial de compras o los datos de las tarjetas de crédito, ya que manifestó que “no podemos obviar esa posibilidad”. Resulta curioso con qué certeza conocen qué datos se extrajeron, pero no pueden verificar si los datos más sensibles han sido expuestos, algo que podría ayudar mucho a los usuarios.

¿Cómo fue el incidente? Aún se desconoce cómo hizo el atacante para acceder de forma no autorizada a las bases de datos, y la empresa confirmó que no dará detalles al respecto: “Estamos actualmente conduciendo una investigación exhaustiva. Este es un problema de seguridad, y no comentaremos más al respecto“. Se corrieron rumores de que Anonymous estaría detrás del ataque, pero el mismo grupo se encargó de desmentir esta versión, por lo que aún se desconoce quién está en poder de los datos. De todas formas, sí está confirmado que todos los usuarios de PSN han sido accedidos por el atacante.

¿Qué hacer si tienen una cuenta en la PlayStation Network? En primer lugar recomendamos cambiar la contraseña con urgencia y, si desean una mayor seguridad, siempre es factible (y recomendable) cancelar la tarjeta de crédito y pedir su reemplazo, ya que aún es posible que esos datos hayan sido comprometidos, y podrían afectar su economía. También es recomendable en el caso de usar el mismo usuarios y contraseña en otros servicios, que estos también sean rotados; y no olviden que la exposición de los datos puede hacer que circulen correos fraudulentos intentando simular llegar en nombre de Sony, es recomendable tomar todas las precauciones para verificar que se trate de un correo legítimo, y saber que la empresa nunca solicitará datos sensibles por este medio.

La empresa manifestó que considera el incidente “extremadamente serio”, y nosotros creemos lo mismo. Una vez más grandes empresas son víctimas de ataques que exponen la seguridad y privacidad de sus usuarios. Recomendamos a todos los usuarios de esta red que tomen las medidas de seguridad con urgencia, y estén atentos a futuras novedades sobre el caso.

Actualización 11:45hs.: Ya hemos registrado al menos un usuario que hizo público el uso indebido de su tarjeta de crédito. Por lo tanto, recomendamos nuevamente cancelar las tarjetas de crédito si estaban cargadas en la PSN. Más información: http://pulpofrito.com/16777/.

Sebastián Bortnik
Coordinador de Awareness & Research

Categories: Alertas, Fuga de información
13 Comments »