Un grupo de investigadores publicó en su blog, una nueva alerta de un ataque masivo a páginas con inyección de iframe activo, que estuvo particularmente focalizado en sitios de e-commerce. El ataque fue reportado con más de 90 mil páginas afectadas. El iframe permite la ejecución de contenido externo en la página que se está visitando. De esta forma, los visitantes de todos los sitios afectados podían infectarse con malware por el solo hecho de visitar un sitio web de confianza.

A través de diversas vulnerabilidades, todas las páginas afectadas se encuentran con la siguiente inyección de iframe:

Una vez que el usuario visita alguna de las web infectadas, se ejecuta en la maquina del usuario, a través de un ataque multi-stage, código javascript que explota las siguientes vulnerabilidades que afectan al explorador web:

• CVE-2010-0840 – Java Trust
• CVE-2010-0188 – PDF LibTiff
• CVE-2010-0886 – Java SMB
• CVE-2006-0003 – IE MDAC
• CVE-2010-1885 – HCP

Ver más… »

Categories: Alertas
1 Comment »

Hoy en día existen cada vez mas servicios online que nos permiten hacer tareas desde la web que antes solo podíamos realizar desde nuestras computadoras. Tareas como la edición de archivos de texto, presentaciones y hasta el almacenamiento de archivos personales en línea, están entre estos servicios disponibles. Los creadores de malware no desaprovechan ninguna oportunidad que se les presente, y es por ello que en el post de hoy hablaremos acerca de un código maliciosos que se hace pasar como uno de estos servicios.

En esta oportunidad, analizaremos un malware detectado por ESET NOD32 Antivirus como el troyano NSIS/TrojanDownloader.Agent.NIA. Al analizar esta muestra en particular, nos damos cuenta que no se encuentra empaquetada, sino que es un ejecutable auto extraíble. Según ProtectionID, el instalador utilizado para crear el archivo auto extraible es Nullsoft SFX Setup v2.44:

Ver más… »

Categories: Análisis de malware, Malware
No Comments »

En el día de ayer, compartimos con ustedes cómo hacen los atacantes para robar 8000 contraseñas de Hotmail. En este post, queremos compartir con ustedes cuáles son las contraseñas más utilizadas por los usuarios brasileños, y veremos qué tienen en común y la seguridad de las mismas. Para ello, realizamos un análisis de todas las contraseñas obtenidas por el phisher, con el ánimo de conocer cuáles son las costumbres de los usuarios en el uso de claves para su cuenta de correo.

Sin más preámbulos, compartimos con ustedes el top 10 de contraseñas en Brasil:

1. 123456
2. 123456789
3. 1234567
4. jesucristo
5. 12345678
6. FaMiLia
7. 555555
8. MARCELO
9. iloveyou
10. diosesamor

Como se puede observar, de las 10 contraseñas más utilizadas, la mitad de ellas son numéricas. Como ustedes sabrán, esto es una de las malas prácticas que algunos usuarios suelen tener. Sobre todo si se trata de una secuencia de números como 123456 . Recuerden: una contraseña es fuerte cuando tiene más de 8 caracteres.

La otra mitad del top 10, lamentablemente, no se trata de contraseñas alfanuméricas, sino que las otras 5 contraseñas que completan este ranking solo contienen letras, otro punto negativo ya que de esta manera, se trata de una clave débil, que podría ser vulnerada. Recuerden: una contraseña es considerada fuerte cuando es una combinación de números, letras y caracteres especiales. Por ejemplo: Contraz3na#.

Como pueden observar, las tres contraseñas más utilizadas por los usuarios brasileños son numéricas y ascendentes. Como dijimos antes, una falla muy importante de seguridad. Por otro lado, se puede ver de manera muy clara, que todas las claves compuestas por letras, se encuentran en minúsculas o mayúsculas a excepción de una sola que es una combinación de ambas, lo que podríamos decir que es la clave más fuerte de este ranking (FaMiLia). Sin embargo, no deja de ser una clave débil.

Entre todas las claves analizadas, podemos tomar un punto a favor y es la longitud promedio de las mismas, valor que ronda en los 9 caracteres, como se observa en el siguiente gráfico:

Ver más… »

Categories: Curiosidades, Estadísticas
3 Comments »

El lunes de esta semana, compartimos con ustedes una nueva campaña de propagación de un troyano bancario, destinado a usuarios brasileños de la banca electrónica. En cada campaña de propagación de dicha amenaza, utilizan correos falsos para engañar a los usuarios a través del uso de Ingeniería Social. Al analizar dicha amenaza encontramos cómo hacen estos ciber delincuentes para robar más de 8.000 contraseñas de Hotmail en un par de días.

Para lograr este objetivo, los atacantes realizan lo que se conoce como un ataque de pharming local, en donde a través de la modificación del archivo hosts se redirecciona al usuario a una página falsa, para robar sus claves de acceso. El ataque es simple, la posible víctima ingresa al sitio, cree que está accediendo a su correo electrónico, e intenta iniciar sesión. Sin embargo, al utilizar sus datos para inicio de sesión, recibe un mensaje de error.

Lo que realmente ocurre es que ha caído víctima de este ataque, y ahora sus credenciales se encuentran en manos de los atacantes, quienes podrán utilizarlas para continuar propagando esta amenaza a todos sus contactos. A continuación se puede observar qué es lo que realmente se almacena en este servidor:

Ver más… »

Categories: Alertas, Malware
2 Comments »

Todavía no han pasado tantas horas desde que se publicó un video con contenido sexual de Silvina Luna (conductora de la televisión argentina), que ya se empezaron a ver los primeros lucros por este boom que comenzó en Twitter. En este caso, se trata de un negocio de los clics, basado en mostrar anuncios de publicidad a un contenido que el usuario quiere visualizar. El ataque comienza con un mensaje que se propaga por la red social Facebook, en donde se indica que para ver el video se tienen que realizar una encuesta de 10 preguntas. Lo que no sabe el usuario es que este engaño le está generando dinero al desarrollador mediante las repuestas que va realizando la publicidad:

Cada vez que el usuario hace clic en los botones, el creador del sitio web está obteniendo dinero a través de diversos servicios publicitarios en la web. En estos casos los desarrolladores de estos engaños generan varios ingresos a causa de la curiosidad del usuario generada por el boom del momento. Para enojo del usuario, el video nunca se va a mostrar al finalizar la encuesta y se va a sugerir nuevamente si se quiere realizar la misma:

Ver más… »

Categories: Alertas
5 Comments »