A finales del año pasado, todas las personas del mundo conocieron a Wikileaks, el sitio creado por Julian Assange, que se dedicó a publicar información confidencial de todo tipo en su página web; y que llegó a la primera plana luego de publicar 250 mil cables confidenciales de embajadas de Estados Unidos de todo el mundo. El día de ayer, a casi un año de ese primer incidente, la organización anunció tener en su poder nuevamente 251.287 cables, que están siendo publicados desde el día de ayer en la web de Wikileaks. Según informó en su cuenta de Twitter la propia organización, para el día de hoy ya se han publicado más de 100 mil de estos cables:

¿250 mil? ¿Wikileaks? ¿Embajadas norteamericanas? Sí queridos lectores, no se trata de un Deja Vu, sino que nuevamente estamos viendo uno de los casos de fuga de información más importantes del año. Aparentemente, la información proviene de un acceso no autorizado a la caché (memoria temporal) de informes del Departamento de Estado de los Estados Unidos.

Vale destacar que, tal como ocurriera el año anterior, muchos de esos cables corresponden a países latinoamericanos, por lo que no tardará en repercutir en los medios locales de todos los países que tengan cables publicados:

Sin lugar a dudas los próximos días la información publicada circulará por la web. La última vez, grandes incidentes de ataques de denegación de servicio ocurrieron luego de la publicación de los cables, aunque por el momento no hay indicios de que grupos hacktivistas como Anonymous o empresas se involucrarían en algún tipo de actividad relacionada.

Finalmente, tengan en cuenta que este tipo de incidentes pueden afectar a cualquier organización o individuo; y es por ello que es recomendable tener en cuenta las buenas prácticas para evitar la fuga de información. La confidencialidad es uno de los tres pilares de la seguridad de la información, y debemos protegerlo.

Sebastián Bortnik
Coordinador de Awareness & Research

Categories: Alertas
13 Comments »

En los últimos días estuvimos recibiendo varias muestras que son detectadas por ESET NOD32 Antivirus como BAT/Qhost.MNT. Este código malicioso se encarga de redirigir a los clientes de varios bancos brasileros a servidores falsos. A lo largo de este post vamos a ir poniendo en evidencia cómo es que los atacantes logran su cometido. Como ultima instancia, también se demostraran un par de estadísticas para graficar cuántas victimas pueden haber caído en esta trampa.

Son ya extensos los casos en los que el Laboratorio de Análisis e Investigación de ESET Latinoamérica, estudia casos de phishing bancario, como el ataque de phishing a usuarios Venezolanos o cuando se describió detalladamente la anatomía de un ataque de phishing.

En esta oportunidad, procedamos a analizar esta muestra en particular. Lo primero que vamos a hacer es poner un breakpoint (punto de interrupción) en el archivo (en CreateProcessA) para ver qué ejecuta:

Ese fichero BAT es el encargado de modificar el archivo hosts del sistema. Este es envenenado con varios servidores brasileros simulando ser bancos o servicios de e-mail. A continuación una captura de como queda dicho archivo:

Podemos ver que diferentes bancos apuntan a la misma dirección IP, esto es así porque dicho servidor usa Virtual Hosting para almacenar todas las páginas. Luego de hacer un análisis exhaustivo de dichos servidores, pudimos localizar el archivo httpd.conf del servidor apache:

Ver más… »

Categories: Análisis de malware, Phishing
2 Comments »