Escuchá el resumen mensual de amenazas en formato podcast:

Nuevamente compartimos un resumen mensual de amenazas correspondiente al mes de septiembre. Se reporto durante este mes una nueva propagación de una amenaza denominada Ramnit. La amenaza fue calificada como severa (la más alta), por el centro de protección de Microsoft:

• Ramnit un malware del tipo virus que se encuentra propagándose por la red. Este virus en poco tiempo se ha ubicado entre las 10 amenazas mas propagadas de América latina. Una vez infectado el sistemas, este realiza un búsqueda de archivos ejecutables y librearías y en cada uno agrega una sección que ejecutara antes del código original. Este malware también explota vulnerabilidades en varios sistemas operativos de Microsoft, permitiendo tener más control del sistema.
• SPITMO, la versión de móvil de SpyEye, se encuentra siguiendo los pasos de Zeus. Este malware que afecta a los sistemas móviles de Android, está causando pérdidas millonarias a diferentes victimas. Esta versión posee la capacidad de guarda la información de autentificación del home banking de la víctima.
• Se han reportado un caso de phishing que simula ser una página oficial de Skype, todo esto con el objetivo de robar credenciales de acceso e información bancaria. El sitio presenta iconos falsos, para hacer creer a la victima que se encuentra en un sitio seguro.
• Los desarrolladores de código malicioso se encuentran trabajando constantemente en mejorar de sus amenazas, este es el caso de Mebromi.  Este malware posee la capacidad de infectar la BIOS del equipo a través de un driver que se ejecuta en modo kernel para luego pasar a infectar la MBR del sistema operativo. Cada vez que la victima inicia el sistema siempre se ejecutara en primer término otro código malicioso.
• Un ataque que ha comprometido a varios sitios alojados en Go Daddy, fueron utilizados para la propagación de malware. Estos sitios re direccionaba al visitando a una página la cual contenía código malicioso. Un total de 445 cuentas fueron afectadas en este ataque.
• Los ataques de phishing al sistema Brasileño, cada vez se están volviendo más constantes, durante este mes se reportaron dos casos que utilizaron las mismas metodología para montar estos sitios. En el primer caso se pudo encontrar que en el servidor vulnerado se encontraban diferentes paquetes para montar phishing de distintas entidades bancarias. En el segundo caso, se pudo encontrar el backdoor utilizado para subir los archivos al servidor.
• La pornografía es utilizada muchas veces para atraer nuevas víctimas. En este caso se pudo encontrar un malware del tipo ransonware que imitaba ser un video con contenido pornográfico, una vez infectado el sistema operativo de la víctima se le pedía una contraseña.
• El negocio del rogue o falsas soluciones de seguridad, sigue generando perdidas alrededor del mundo. System recovery es un nuevo malware, que utiliza técnicas para inducir a la victima a ingresar los datos de las tarjeta bancaria.

Para obtener mayor información sobre las amenazas destacadas de septiembre, pueden visitar nuestro ranking de propagación de amenazas destacadas del mes.

Claudio Cortés Cid
Especialista de Awareness & Research

Categories: Reportes mensuales
No Comments »

A lo largo del último tiempo, Microsoft ha tomado parte en el desmantelamiento de distintas botnet entre las cuales encontramos a Rustok, a inicio de este año y Waledac hace ya algún tiempo. En esta oportunidad, el gigante de Redmond ha vuelto a tomar acciones en contra de una red de computadoras zombies conocida como Kelihos y además, inició acciones legales contra algunos de sus administradores en una operación conocida como “Operation b79” .

Si bien el tamaño de Kelihos no se asemeja al de Rustok, ya que se estima de un total de 41.000 bot (enviando 3.8 millones de correos por día), es la primera vez que ha logrado iniciar una demanda contra los administradores de la botnet. Según la investigación realizada por Microsoft, Dominique Alexander Piatti y John Doe eran los administradores de varios dominios utilizados para controlar dicha red.

Kelihos era una botnet principalmente destinada al envío de spam en donde una vez que un equipo era infectado por un código malicioso, comenzaba a formar parte de esta red, para luego recibir órdenes desde el centro de control (C&C). Entre las funcionalidades con las que contaba, además de enviar spam, también realizaba el robo de contraseñas y el almacenamiento de contenido ilegal en las máquinas comprometidas.

Para poder llevar a cabo el desmantelamiento de la red, Microsoft obtuvo una orden judicial que le permitió desconectar 21  direcciones de dominio, incluyendo uno con extensión cz.cc, perteneciente a un servicio de registro de dominios en la República Checa. Una vez que los más de 41.000 equipos zombies fueron desconectados del panel de control y dejaron de recibir las órdenes del botmaster la denuncia se hizo pública, notificando directamente a los acusados.

Este es el tercer desmantelamiento de una botnet efectuado por el gigante de Redmond, quien además declaró que seguirá trabajando para dar de baja las redes de computadoras zombis que todavía continúan activas. En parte es una actitud proactiva por parte de una compania informática con el objetivo principal de garantizar la seguridad de los usuarios.

Con la intención de mantener los equipos protegidos contra este tipo de códigos maliciosos es necesario contar con una solución antivirus con capacidad de detección proactiva y además hace uso de las buenas prácticas para navegar por Internet.

Pablo Ramos
Especialista en Awareness & Research

Categories: Malware
1 Comment »

Con el aumento del uso de Internet de partes de los niños y jóvenes, se incrementa la necesidad por parte de los padres en mantener a sus hijos protegidos en el uso de la gran red. Diversos organismos y entidades gubernamentales alrededor de todo el mundo han estado manifestando su preocupación respecto a esta temática.

Durante la semana pasada, por ejemplo, la vicepresidente de la Unión Europea se ha pronunciado alegando una falta de compromiso de parte de los países que integran esta unidad en garantizar mayor protección a los menores en Internet.

A su vez, en América Latina, se puede observar que la jurisprudencia regional ha ido evolucionando. Países como Brasil y Argentina, entre otros, han demostrado avances en su sistema legislativo en los últimos años. Esto ampara y protege a los usuarios de Internet más vulnerables; los niños.

Toda esta revolución digital de parte de los niños genera el uso de nuevos términos que han adquirido especial relevancia en el día a día de los más jóvenes. A continuación los explicaremos para ilustrarle mejor a los padres acerca de qué se tratan:

• Ciberacoso (cyberbullying): Es una conducta hostil que puede ser practicada hacia los niños. La víctima de este tipo de acosos, es sometida a amenazas y humillaciones de parte de sus pares en la web, cuyas intenciones son atormentar a la persona y llevarla a un quiebre emocional. Estas prácticas pueden ser realizadas a través de Internet, así como también, teléfonos celulares y videoconsolas. También denominado en inglés, cyberbullying, no siempre son realizadas por adultos, sino también son frecuentes entre adolescentes.

  Ver m�s… »

Categories: Educación, Herramientas
4 Comments »

En muchos de los hogares de Latinoamérica es común que encontrarse con una computadora familiar, en ella, todos los integrantes comparten su información, fotografías, el acceso a Internet o la impresora. Sin embargo, en reiteradas ocasiones, estos equipos no cuentan con medidas de seguridad que permitan, entre otras cosas, proteger la información de cada uno de sus usuarios, incluso también proteger a los menores que utilizan el sistema.

¿Qué se puede hacer cuando se comparte un dispositivo informático?

En primer lugar se recomienda contar con usuarios distintos para cada persona que utilice el equipo. De esta manera no solo se aumenta la seguridad del sistema, sino que también las personalizaciones que cada familiar quiera realizar sobre el escritorio, el fondo de pantalla y sus archivos no afectan a las configuraciones del resto. Además, cada uno cuenta con su propia contraseña para iniciar sesión, protegiendo su información.

Dependiendo del sistema operativo, se pueden crear distintos tipos de cuentas, con permisos para cada uno de los usuarios. Esta opción, permite de una manera sencilla, aumentar la seguridad de su información de manera inmediata. En los sistemas Microsoft, como por ejemplo Windows 7, existen por defecto tres tipos de cuentas de usuario: administrador, estándar e invitado.

Al utilizar el sistema por primera vez, siempre se accede a al mismo con el usuario administrador. Sin embargo, una vez que finaliza la instalación de sistema operativo, muchos usuarios continúan utilizando una cuenta con privilegios administrativos cuando en realidad es recomendable utilizar un usuario estándar.

Las ventajas de utilizar una cuenta estándar en lugar de un usuario administrador, evitan la modificación del sistema, no solo para la cuenta usuario, sino también para todos el resto de las cuentas creadas en él. De esta manera se puede proteger el sistema evitando cambios generales para toda las cuentas de usuario.

Para crear una nueva cuenta de usuario, el proceso es bastante sencillo. En primer lugar, hay que dirigirse a Inicio -> Panel de Control. En el listado de opciones seleccionar Cuentas de usuario y protección infantil y desde allí hacer clic en Cuentas de Usuario para iniciar luego con la Administración de cuentas. Microsoft ha puesto ha disposición de los usuarios un video en donde muestra cómo crear una cuenta con permisos estándar en Windows 7.

Al contar con distintas cuentas para cada uno de los integrantes de la familia, le permite a los padres obtener una mayor protección para con sus hijos. Esto se debe principalmente que si se utilizan herramientas de control parental se pueden configurar las cuentas de sus hijos para restringir el acceso a ciertas páginas web y en filtrar el contenido web de otros sitios.

El principal objetivo de utilizar distintas cuentas de usuario en un mismo equipo, permite no solo aumentar el control de la seguridad ante una posible infección de un código malicioso, sino que también les garantiza a los padres una mayor protección para con sus hijos al momento de utilizar los equipos. Para bloquear los cambios realizados sobre el software de control parental el mismo puede ser protegido mediante una contraseña.

Al compartir un equipo entre distintos usuarios es necesario minimizar los riegos de exposición ante las amenazas, y el robo de información contenida en ella, ya que el uso que un adulto le puede dar a un equipo difieren del uso que le dan los menores en lo que respecta a navegación y costumbres en Internet. Minimizando cualquier vector de ataque a través de la implementación de controles se aumenta la protección.

Pablo Ramos
Especialista en Awareness & Research

Categories: Educación, Gestión
1 Comment »

Una nueva campaña de propagación de publicidad es distribuida a través de la red social Facebook. Cada vez es más frecuente la aparición de este tipo de amenazas sobre esta plataforma social, ya que se encuentra en un constante crecimiento que suele ser tentador para los criminales informáticos. En esta nueva ocasión, les presentamos un caso que lleva un par de días en funcionamiento y el especial por la manera de distribución que tiene.

La propagación comienza con un mensaje de algún contacto a través del Chat de Facebook. En el mensaje se sugiere la instalación de “FacePlus!”:

Una vez que el usuario realiza clic en el enlace, se lo envía a un grupo “Me gusta” de Facebook. En una de las pestañas se encuentra oculto un código iframe, que redirecciona automáticamente a la persona a otro sitio web fuera de la red social: Si se analiza el código fuente se puede ver una dirección URL del servicio Bitly. Este servicio provee estadísticas de clic realizado a esa URL, se puede ver que en un total de 3 días, se realizaron más de 1.4 millón de accesos a esta dirección:

Una vez que el usuario se encuentra en la página de “FacePlus!” se lo invita a instalar un complemento en el navegador Google Chrome. En la confirmación de la instalación del plugins, se informa al usuario que este complemento puede acceder a todos los datos de sitios web del usuario. Acceder a dar este tipo de permisos a un plugins desconocido, supone un gran riesgo y tal como informa en la base de ayuda de Chrome, este puede utilizar las credenciales (cookies) para obtener y modificar los datos proporcionados en todos los sitios web.

Una vez que este plugins está instalado en el navegador, y la victima quiere ingresar a su cuenta de Facebook, le aparecerá un cartel indicando un paso final:

Es en este punto donde resulta ser bastante molesta la situación, ya que se lleva a la victima a una página de suscripción de mensajes SMS (ya antes vista en el famoso botón no me gusta). El cartel va a seguir apareciendo cada vez que se ingresa a la cuenta de Facebook. También se puede observar que automáticamente publica en los muros de los contactos o en Chat de la víctima, el mismo mensaje sugiriendo la instalación “FacePlus!”:

Nos encontramos ante una nueva amenaza que juega con el desconocimiento de los usuarios. Es por eso que estos tienen que mantenerse informados sobre estos engaños y contar con buenas prácticas a la hora de navegar, ya que este tipo de estafas se puede evitar rápidamente.

Actualización 06/12:09hs.: Pasos para desinstalar este plugins malicioso en Google Chrome:

1. Dirigirse al botón de Herramientas del navegador.
2. Seleccionar nuevamente Herramientas>Extensiones.
3. Selecciona la extensión de Face-Plus y hacer clic en Desinstalar.
4. Reinicia el navegador y Listo!

Claudio Cortés Cid
Especialista de Awareness & Research

Accedé a la página de ESET Latinoamérica en Facebook

Categories: Redes Sociales
11 Comments »