¿Quién no ha recibido una suculenta oferta en Internet para triplicar sus ingresos sin salir de su casa? Esta vez la propuesta parece cobrar aún más relevancia ya que es supuestamente publicada en un prestigioso portal de noticias, la cadena estadounidense, NBC.

Analizando un poco más en detalle esta publicación, podemos ver determinados aspectos que resultan interesantes, con los cuales, debemos estar atentos. Las posibles estafas en Internet utilizan mecanismos de propagación cada vez más sofisticados, como este caso, en donde aprovechan la confiabilidad de algunos sitios para engañar a los usuarios. La dirección URL es normalmente el primer indicador de que estas páginas no son legítimas, ya que normalmente se utilizan direcciones sospechosas que no reflejan exactamente su contenido.

En este caso en particular, se simula la investigación de la historia de una ama de casa que gana cerca de 14 mil dólares por mes, trabajando desde el hogar. Si observamos una porción del código fuente de la página, comprenderemos un poco más. Todos los vínculos están direccionados hacia el mismo lugar (go.php?article=38479), forzando así, que el usuario termine indefectiblemente visitando la página fraudulenta que presume asegurar ganancias que ascienden a 390 dólares diarios.

Ver m�s… »

Categories: Alertas
No Comments »

Este post estuvo basado en una falsa noticia, por lo que creemos pertinente bloquear su contenido. Más información en Fe de erratas: ePad robando datos.

Gracias a algunos tweets me pude enterar de una noticia que me llamó bastante la atención. Se trata de un informático el cual mediante Ebay adquirió una ePad. Cabe aclarar que estas Tablet PC no tienen nada que ver con las iPad de Apple, ya que son una copia del modelo en baja calidad. Esta Tablet, en su mayoría de origen chino, posee como sistema operativo Android y hay una gran diferencia en el precio del producto frente a la Tablet de Apple, lo cual ofrece una importante ventaja competitiva en el mercado.

El problema surgió cuando este informático empezó a tener problemas en su conexión de Internet. Por tal motivo se decidió a realizar un análisis de la conexión con un sniffer y esta se persona se encontró con algo bastante preocupante. La ePad se conectaba de forma anónima a un servidor de origen chino.

Una vez que esta persona se encontró con el panel de login se decidió a probar si la página era sensible a alguna vulnerabilidad web y nuevamente se llevó una sorpresa al encontrar que el sitio era sensible a un ataque de SQL Injection. De esta forma, pudo comprobar que su ePad y las de otras víctimas a nivel mundial, se encontraba enviado información a este servidor tales como mensajes, imágenes, etc.:

Todo esto llevó a esta persona a denunciar a la Guardia Civil para que se realice una investigación más profunda de este caso. Es decir, que nos encontramos ante un grave problema de manipulación de un dispositivo donde se pone en riesgo la privacidad de los usuarios. Así también sería conveniente tener cuidado con la información que se manejan en estos dispositivos, ya que se desconoce completamente el tipo de empresa que se encuentra ensamblando estos productos. El prestigio del fabricante puede influir en el precio, pero también en su seguridad. ¡A cuidarse!

Claudio Cortés Cid
Especialista de Awareness & Research

Categories: Fuga de información
2 Comments »

Muchas veces les hemos mostrado las distintas metodologías utilizadas por un phisher para engañar a los usuarios, el porcentaje de efectividad de sus ataques y el potencial rédito que puede obtener sobre dicho porcentaje. Pero me imagino que muchos de ustedes se preguntarán qué es lo que hacemos nosotros luego con toda esta información recopilada.

En este post les voy a mostrar un análisis realizado la semana pasada a una de estas amenazas. Luego les explicaré las alternativas de las que disponemos para tomar acciones sobre dicho usuario malicioso.

Todo comienza como siempre con un mail proveniente supuestamente de nuestro banco indicando que debemos ejecutar el archivo adjunto:

Una vez ejecutada la muestra abre una ventana la cual nos “guía” por el proceso de literalmente robarnos nuestros datos bancarios, desde el documento de identidad, hasta la tarjeta de coordenadas. Nada que no hayamos observado antes. Al mirar la muestra por dentro notamos de inmediato de que la misma está empaquetada con UPX, por lo que procedemos a desempaquetarla y luego la volvemos a analizar. Luego de unos breves minutos de análisis comenzamos a encontrar información interesante:

Ver m�s… »

Categories: Análisis de malware, Phishing
13 Comments »

Hoy se cumplen 25 años del accidente de Chernobyl, ocurrido un 26 de abril de 1986. Se trata del accidente nuclear más grave de la historia, y uno de las mayores desastres medioambientales. Hoy, a 25 años, medios de todo el mundo recuerdan el incidente ocurrido en Ucrania, especialmente luego de los incidentes ocurridos en Japón luego del terremoto. Apoyando el recuerdo de este desafortunado accidente, también creemos desde el Blog de Laboratorio que es una excelente oportunidad para recordar otro incidente, sin lugar a dudas de menor importancia, pero relacionado al mundo de los códigos maliciosos: el aniversario del virus Chernobyl.

Hoy también se cumplen 12 años de la activación de este código malicioso que fue conocido, en primer lugar, por contar con una bomba del tiempo que lo hacía inofensivo desde su lanzamiento, hasta el 26 de abril de 1999, fecha en la que el código malicioso se activaba y comenzaba sus rutinas dañinas. El virus de origen taiwanés (también conocido como CIH por las iniciales de su autor, el estudiante Chen Ing-Hou) fue detectado en junio de 1998 pero, como se mencionó, el mismo se activaba justamente el día del aniversario de Chernobyl del año siguiente (otras variantes de la misma amenaza se activaban el 26 de cada mes)

El otro motivo por el que fue conocido este virus, es porque muchos lo asociaron a los códigos maliciosos que dañan el hardware. En realidad, el virus Chernobyl contaba con una especial rutina de daño diseñada para borrar los primeros 2048 sectores del disco rígido sobrescribiendo algunos tipos de Flash-Bios, lo que en algunos casos dejaba inutilizable la placa madre de la computadora. Por lo tanto, a pesar de que su daño era lógico (por software), el mismo afectaba al hardware de las computadoras afectadas y, de hecho, era necesario un arreglo del hardware para restaurar el equipo.

Finalmente, otro hecho que hizo tan común al virus Chernobyl fue que algunas revistas y empresas distribuyeron por
error varios CD infectados. En cuanto a su magnitud, por ejemplo, el gobierno de Corea del Sur manifestó que fueron infectados en su país 250 mil sistemas, lo que causó una pérdida estimada de 250 millones de dólares. En la universidad de Princeton, 100 computadoras fueron destruidas dos semanas antes de la entrega de los proyectos del trimestre, y los daños en los discos rígidos fueron irreversibles. Chen Ing-Hou manifestó ante la alta propagación de la amenaza que “siente mucho el daño de su creación viral, pero fue motivado por una venganza en contra de los desarrolladores de software antivirus”. El joven estudiante fue acusado por la creación del virus, y en septiembre de 2000 fue declarado culpable por la justicia de su
país.

En fin, a 25 años de Chernobyl y a 12 años del virus Chernobyl, nos pareció una buena oportunidad para recordarles que en la historia del malware, hay hechos muy interesantes, que siempre son de utilidad para comprender cómo hemos llegado hasta el escenario actual del cibercrimen. A quienes, como a mí, les resulte interesante la historia, les recuerdo que pueden acceder a uno de los recursos más interesantes que podrán encontrar en nuestro Centro de Amenazas: el informe Cronología de los virus informáticos: la historia del malware, un paper dónde se detallan los acontecimientos más importantes de la historia de los códigos maliciosos. Allí, podrán conocer y leer no solo sobre Chernobyl, sino también sobre Melissa, Morris, Netsky; y muchos más. ¿Qué estás esperando? A leer, la historia del malware tiene muchos hechos interesantes y curiosos para conocer.

Sebastián Bortnik
Coordinador de Awareness & Research

Categories: Curiosidades, Malware
5 Comments »

Día a día miles de usuarios acceden a diferentes sitios web para pasar el tiempo y divertirse un poco pero, ¿qué piensan acerca de la seguridad de estos sitios? Para responder a esta pregunta, vamos a compartir con ustedes la encuesta que nuestros lectores han contestado acerca los juegos en línea, realizada durante el mes de marzo a través de nuestros sitios web y el boletín de noticias de ESET News.

Cómo mencionamos al principio, la cantidad de usuarios que se distiende participando de juegos en línea es muy alta y más del 70% de las personas que contestaron a la encuesta confesaron jugar en la red a diferentes tipos de aplicaciones. ¿En dónde suelen jugar? Principalmente los usuarios juegan en páginas web o dentro de las redes sociales, como Facebook, en donde juegos como Farmville o Pet Society causan furor y tienen millones de usuarios.

Esto nos llevo a preguntarle a nuestros lectores qué piensan acerca del uso de estos sitios para propagar códigos maliciosos y el 85,2% cree que los juegos en línea, o temáticas relacionadas a ellos, son utilizados para este fin. En la siguiente imagen vemos cuáles son las creencias de los usuarios en cuanto a la propagación de malware:

La mayoría de los usuarios opina que las páginas de trucos para juegos son el medio más utilizado para la propagación de amenazas de esta índole, seguido muy de cerca por las páginas de juegos en línea con el 64,8%.

Uno de los códigos maliciosos más relacionados con esta temática es Win32/PSW.OnLineGames, un troyano utilizado para el robo de información como pueden ser cuentas de usuario y contraseñas. Durante el año pasado la cantidad de detecciones de esta amenaza aumentó casi un 100%. Hace unos meses compartimos con ustedes más información respecto a esta amenaza.

Hay veces que los usuarios tienen la mala costumbre de deshabilitar el antivirus para participar en los juegos en línea, esto es un gran error,  ya que el equipo queda vulnerable a las amenazas que puedan existir. Los motivos que llevan al usuario a realizar tal acción van desde la creencia de que el sitio es seguro hasta que la dirección URL es detectada como maliciosa por el antivirus.

Al momento participar de un juego en línea, ya sea en un sitio web o en una red social siempre es recomendable contar no solo con una solución antivirus con capacidad de detección proactiva sino también con buenas prácticas para navegar por Internet. ¿Ustedes qué opinan?

Pablo Ramos
Especialista de Awareness & Research

Categories: Estadísticas, Malware
No Comments »