Arrancamos el día lunes, como ya es costumbre, comentando qué actividades nos deparan los próximos días en materia de educación en Seguridad de la Información. Esta semana la Gira Antivirus estará recorriendo dos universidades argentinas, realizando el seminario “Amenazas Informáticas: las armas del cibercrimen”. Allí, los especialistas de ESET Latinoamérica harán un repaso por los principales ataques informáticos existentes en la actualidad, repasando especialmente los códigos maliciosos más importantes, y realizando demostraciones en vivo de gusanos, troyanos, botnet y otros ataques.

En primer lugar, mañana martes 30 de agosto, Raphael Labaca Castro, Especialista de Awareness & Research, estará llegando a la Universidad Tecnológica Nacional de Mendoza, a las 19:00 hs. De esta forma, volveremos a una facultad que siempre ha abierto sus puertas a la Gira Antivirus con importante concurrencia de sus alumnos.

Al otro día, el miércoles 31 de agosto, Pablo Ramos, Especialista de Awareness & Research de ESET Latinoamérica, estará dictando el mismo seminario para alumnos estudiantes de carreras de informática (y algunos otros también) de la Universidad de Quilmes. La cita es a las 18 hs., y el seminario tiene una duración de aproximadamente dos horas.

Al finalizar los eventos Pablo y Raphael estarán sorteando algunas licencias de ESET NOD32 Antivirus para los alumnos asistentes, por lo que algunos se llevarán algo más que todos los conocimientos adquiridos.

¡Los esperamos!

Sebastián Bortnik
Coordinador de Awareness & Research

Categories: Educación
1 Comment »

A finales del año pasado, todas las personas del mundo conocieron a Wikileaks, el sitio creado por Julian Assange, que se dedicó a publicar información confidencial de todo tipo en su página web; y que llegó a la primera plana luego de publicar 250 mil cables confidenciales de embajadas de Estados Unidos de todo el mundo. El día de ayer, a casi un año de ese primer incidente, la organización anunció tener en su poder nuevamente 251.287 cables, que están siendo publicados desde el día de ayer en la web de Wikileaks. Según informó en su cuenta de Twitter la propia organización, para el día de hoy ya se han publicado más de 100 mil de estos cables:

¿250 mil? ¿Wikileaks? ¿Embajadas norteamericanas? Sí queridos lectores, no se trata de un Deja Vu, sino que nuevamente estamos viendo uno de los casos de fuga de información más importantes del año. Aparentemente, la información proviene de un acceso no autorizado a la caché (memoria temporal) de informes del Departamento de Estado de los Estados Unidos.

Vale destacar que, tal como ocurriera el año anterior, muchos de esos cables corresponden a países latinoamericanos, por lo que no tardará en repercutir en los medios locales de todos los países que tengan cables publicados:

Sin lugar a dudas los próximos días la información publicada circulará por la web. La última vez, grandes incidentes de ataques de denegación de servicio ocurrieron luego de la publicación de los cables, aunque por el momento no hay indicios de que grupos hacktivistas como Anonymous o empresas se involucrarían en algún tipo de actividad relacionada.

Finalmente, tengan en cuenta que este tipo de incidentes pueden afectar a cualquier organización o individuo; y es por ello que es recomendable tener en cuenta las buenas prácticas para evitar la fuga de información. La confidencialidad es uno de los tres pilares de la seguridad de la información, y debemos protegerlo.

Sebastián Bortnik
Coordinador de Awareness & Research

Categories: Alertas
13 Comments »

En los últimos días estuvimos recibiendo varias muestras que son detectadas por ESET NOD32 Antivirus como BAT/Qhost.MNT. Este código malicioso se encarga de redirigir a los clientes de varios bancos brasileros a servidores falsos. A lo largo de este post vamos a ir poniendo en evidencia cómo es que los atacantes logran su cometido. Como ultima instancia, también se demostraran un par de estadísticas para graficar cuántas victimas pueden haber caído en esta trampa.

Son ya extensos los casos en los que el Laboratorio de Análisis e Investigación de ESET Latinoamérica, estudia casos de phishing bancario, como el ataque de phishing a usuarios Venezolanos o cuando se describió detalladamente la anatomía de un ataque de phishing.

En esta oportunidad, procedamos a analizar esta muestra en particular. Lo primero que vamos a hacer es poner un breakpoint (punto de interrupción) en el archivo (en CreateProcessA) para ver qué ejecuta:

Ese fichero BAT es el encargado de modificar el archivo hosts del sistema. Este es envenenado con varios servidores brasileros simulando ser bancos o servicios de e-mail. A continuación una captura de como queda dicho archivo:

Podemos ver que diferentes bancos apuntan a la misma dirección IP, esto es así porque dicho servidor usa Virtual Hosting para almacenar todas las páginas. Luego de hacer un análisis exhaustivo de dichos servidores, pudimos localizar el archivo httpd.conf del servidor apache:

Ver más… »

Categories: Análisis de malware, Phishing
2 Comments »

En los últimos días, se ha detectado y reportado el primer código malicioso para dispositivos móviles que utilizan el sistema operativo de Google, que explota una vulnerabilidad crítica de Android 2.3 (Gingerbread) con el objetivo de obtener privilegios de root. De esta manera la amenaza puede realizar cambios en la configuración del equipo en conjunto con el robo de información y la instalación de otros códigos maliciosos en el 90% de los smartphone que utilizan esta plataforma.

Inicialmente, el reporte de esta amenaza fue realizado por Xuxian Jiang, de la Universidad de Carolina del Norte. En dónde detallaron las acciones efectuadas por este código maliciosos y cómo utiliza la explotación de una vulnerabilidad detectada en abril de este año conocida como Gingerbreak.

De igual manera que la mayoría de los códigos maliciosos publicados para esta plataforma, GingerMaster se encuentra re empaquetado dentro de de aplicaciones legítimas, y aquellos usuarios que las suelen descargar e instalar, comprometen la seguridad de su dispositivo. Cuando el código malicioso es ejecutado por primera vez, modifica al sistema, para que cuando termine de iniciarse, ejecute un servicio en segundo plano, que recolectará información tanto del dispositivo como del usuario. Una vez que los datos son recolectados por este código maliciosos, son enviados a un servidor remoto.

El exploit se encuentra escondido dentro del archivo .apk de la aplicación modificada, bajo el nombre gbfm.png, con el objetivo de que no llame la atención. Una vez que se ejecuta este código, la amenaza obtiene permisos de administrador. Además de esconder el exploit como un archivo de extensión .png, también se pueden observar otros archivos con la misma extensión, que son utilizados por esta amenaza:

Ver más… »

Categories: Alertas, Malware
6 Comments »

La red social Facebook nos ha dado el día de ayer una buena noticia: introducirá nuevos cambios en la privacidad de la información de sus usuarios, según lo informado por su vicepresidente Chris Cox. Este pedido de cambios fue propuesto por peticiones de los usuarios hacia la red social, ya que esta se encuentra en medio de críticas sobre los controles de privacidad ofrecidos.

Los próximos cambios en la red social estarán disponibles a partir de la fecha estipulada, el próximo 25 de agosto. Dentro de los cambios propuestos, se destaca la aprobación o rechazo de una fotografía o video por el usuario etiquetado, antes de que aparezcan en el perfil del mismo. Hasta el momento, esto se hacía de manera automática. Sin embargo, a partir de ahora ya no será posible que un usuario pueda verse afectado por el contenido del que ha sido etiquetado, sin que este lo autorice previamente.

Este, es un paso muy importante para evitar amenazas informáticos como el acoso o la difamación digital; delitos cada vez más frecuentes, viéndose especialmente afectados los menores de edad.

Otros de los futuros cambios a realizar es el control de visibilidad sobre los datos, como la ocupación, la religión y la educación. El usuario podrá definir quiénes pueden visualizar este tipo de datos, de forma tal de no exponerlos públicamente.

Los usuarios también podrán, desde el 25 de agosto, indicar su ubicación geográfica desde cualquier dispositivo y no estar dependiendo de un teléfono inteligente, como se veía realizando hasta el momento.

Luego de realizar estos cambios, Facebook estará esperando los comentarios por parte de sus usuarios y respondiendo cualquier consulta sobre estos cambios.

Si lugar a duda, que este paso supone una mejora en la privacidad de la información, haciendo que sea más transparente hacia el usuario y que este no deba estar explorando a través de diferentes opciones para tener un parcial control de la cuenta. De todas formas, aún existen muchas cuestiones de privacidad y seguridad que pueden ser configuradas, y para ello siempre es recomendable visualizar la Guía de Privacidad en Facebook.

Claudio Cortés Cid
Especialista de Awareness & Research

Categories: Redes Sociales
2 Comments »