Esta semana la Gira Antivirus estará presente en la ciudad de Guatemala, donde Pablo Ramos, Especialista de Awareness & Reserach, estará dando dos importantes seminarios en universidades.

En primer lugar, bajo el título “Ataques informáticos: las armas del cibercrimen“, el día de hoy a las 18:30 hs., estaremos llegando a la Universidad Mariano Gálvez; que por segundo año consecutivo ha tenido uno de los ganadores del Premio Universitario de ESET Latinoamérica. Se trata de Amilcar Darío de Leon Velasquez, quién realizó el trabajo “Seguridad (GNU) Linux: malware, vulnerabilidades, protección y otros recursos” y estuvo presente en Buenos Aires la última semana en la conferencia Ekoparty. Amilcar, estará acompañando a Pablo haciendo una breve presentación sobre su trabajo de investigación, y luego Oswaldo Rosa, Gerente de ESET en Guatemala, estará haciendo entrega de la computadora portátil que ganara la universidad como reconocimiento al trabajo de su estudiantes.

Por otro lado, el miércoles de 15:00 a 16:00 hs. ESET estará presente en el prestigioso Congreso de Ingeniería de la Universidad de San Carlos, donde estará presentando en exclusiva una nueva charla, Malware en dispositivos móviles, que incluirá una demostración en vivo sobre un malware infectando un sistema operativo Android.

Una vez más, la Gira Antivirus sigue recorriendo la región, brindando educación en Seguridad de la Información a estudiantes y usuarios de todo Latinoamérica.

Sebastián Bortnik
Coordinador de Awareness & Research

Categories: Educación
3 Comments »

Nuevamente el sitio web oficial de MySQL fue comprometido. Esta vez, los cibercriminales utilizaron el acceso al sitio para la distribución de malware. Wayne Huange informó que en el home del sitio de MySQL.com, había inyectado código JavaScript que desviaba a los navegadores de los usuarios a un paquete exploit llamado BlackHole.

Este ataque del tipo “drive-by-download”, es muy utilizado cuando se compromete algún sitio web con mucho tráfico de visita. Cuando la víctima era desviada a este sitio malicioso, se intentaba instalar malware mediante la explotación de vulnerabilidades en diferentes programas tales como, el navegador web, Adobe Reader, Flash o Java; si estos se encontraban sin parchear.

El siguiente es el listado de vulnerabilidades que explota la primera versión de paquete de exploit utilizado:

• CVE-2010-1885 HCP.
• CVE-2010-1423 Java argument injection vulnerability in the URI handler in Java NPAPI plugin.
• CVE-2010-0886 Java Unspecified vulnerability in the Java Deployment Toolkit component in Oracle Java SE.
• CVE-2010-0842 Java JRE MixerSequencer Invalid Array Index Remote Code Execution Vulnerability.
• CVE-2010-0840 Java trusted Methods Chaining Remote Code Execution Vulnerability.
• CVE-2009-1671 Java buffer overflows in the Deployment Toolkit ActiveX control in deploytk.dll.
• CVE-2009-0927 Adobe Reader Collab GetIcon.
• CVE-2008-2992 Adobe Reader util.printf.
• CVE-2007-5659 Adobe Reader CollectEmailInfo.
• CVE-2006-0003 IE MDAC.

Armorize, en su informe explica que los atacantes utilizaron servidores web alojados en Alemania y Suecia para montar el crimepack.

También expertos en seguridad informaron, que la semana pasada en uno de los foros donde se reúnen los cibercriminales, uno de los post de venta de servicios ofrecía acceso al sitio de MySQL por un monto de 3.000 dólares. Con esta información se hacer suponer que estos criminales ya tenían acceso al sitio hace un tiempo.

Por parte de Oracle, propietaria de MySQL, todavía no ha informado sobre lo ocurrido. Según estadísticas de Alexa, proveedora de la cantidad de visitas de un sitio web, indica que MySQL se encuentra en el puesto número 637 de sitios populares de Internet, con un tráfico de 400.000 visitantes diarios.

Este tipo de ataque pueden ser evitados, si el usuario mantiene las buenas prácticas de seguridad al navegar, como también verificando si su navegador se encuentra actualizado al día; además de contar con una solución antivirus para evitar la infección con malware.

Claudio Cortés Cid
Especialista de Awareness & Research

Categories: Malware
No Comments »

El día martes 20 de septiembre se dicto el curso de análisis de malware de ESET Latinoamérica el cual se llevo a cabo en el centro de capacitaciones Proydesa (Suipacha 280). El mismo fue encabezado por Juan Forgia y Javier Aguinaga quienes explicaron distintas técnicas de análisis dinámico y estático de malware respectivamente.

El curso contó con la presencia de 12 asistentes, de los cuales 5 fueron los ganadores del crackme realizado por ESET Latinoamérica. El curso se llevo a cabo de manera exitosa, lográndose así el fin del mismo, enseñarles a los participantes cuáles son las distintas formas de analizar malware y de qué manera llevarlas a cabo.

En la siguiente imagen se observa a Juan Forgia, Analista de malware, explicando diversos métodos de análisis dinámico:

Luego tomó la posta Javier Aguinaga, también Analista de malware, que explico como realizar unpacking de diversas protecciónes al igual que la incorporación de scripts al momento de realizar ingeniería inversa:

Algo particular a remarcar, es que tanto Juan como Javier participaron en el curso de analisis de malware que dictamos en los trainings de la Ekoparty del 2010 y este año lo dictaron. Es por esto que esperamos que muchos de los participantes de este año se animen a formar parte de la familia de ESET Latinoamérica.

¡Un saludo especial a todos los participantes del curso!

Joaquín Rodríguez Varela
Malware Lab Coordinator

Categories: Educación, Eventos
1 Comment »

Comenzamos la semana analizando un interesante caso de phishing, por la calidad de la copia de la página oficial y por afectar a una de las plataformas de comunicación más utilizadas del mundo. Esta vez tenemos para compartir con nuestros lectores una página que simula ser la versión oficial de Skype con el objetivo de robar las credenciales de acceso y la información bancaria de los usuarios. Cuando la víctima ingresa su nombre de usuario y contraseñas respectivos, es direccionada a una página en donde se le solicitará una actualización de su información personal. En primera instancia, se pide al usuario los datos personales y la dirección de facturación y en la siguiente pantalla, toda la información perteneciente a su tarjeta de crédito. A continuación pueden ver que el sitio luce idéntico al oficial:

Este ataque, además, está realizado minuciosamente. El sitio web que simula ser el de Skype contiene todos los enlaces correctamente vinculados a la página web oficial de producto. Por lo tanto, la víctima no puede advertir el ataque buscando enlaces rotos o mal direccionados.

Ver m�s… »

Categories: Alertas, Phishing
1 Comment »

Las botnets constituyen uno de los tipos de amenazas que más han estado creciendo en los últimos tiempos. Nuestras estadísticas indican que gran cantidad de ellas se han duplicado del 2009 al 2010. A pesar de no tener un porcentaje de infección significativo como otras amenazas (menos del 1%), el crecimiento que han registrado es abrumador y preocupa tanto a los especialistas de seguridad como a los usuarios de todo el mundo.

Ver m�s… »

Categories: Alertas, Curiosidades
1 Comment »