Al momento de hablar acerca de las amenazas informáticas para Latinoamérica,  no podemos dejar de lado los troyanos bancarios. Este tipo de ataques se focalizan en el robo de las credenciales de acceso a las cuentas de los usuarios a través de la utilización de códigos maliciosos e Ingeniería Social. En esta oportunidad vamos a compartir con ustedes el accionar de un malware que ataca a clientes de 5 bancos brasileños.

La campaña de propagación de este ataque comienza a través de correos falsos, uno de los canales más utilizados por los cibercriminales para lograr un mayor número de infecciones. Cuentas de correo cuyas credenciales han sido robadas en alguna campaña anterior se utilizan para enviar estos mensajes a todos sus contactos. Entonces aquellas víctimas potenciales que reciben el correo y caen en el engaño intentarán ver un supuesto video que no es más que un troyano detectado como BAT/Proxy.NAH.

Cuando se ejecuta este código malicioso en un sistema desprotegido, este descomprime dentro de la carpeta temporal del sistema una serie de archivos que serán utilizados para modificar el equipo con el objetivo de direccionar las conexiones del usuario a los servidores de phishing. Pero a diferencia de los casos que venimos reportando, en esta oportunidad no se trata de un ataque de pharming local tradicional sino que en lugar de modificar el archivo hosts se modifica la configuración del sistema a través de la creación de un proxy:

El listado de los sitios a los cual se va a realizar el ataque se encuentra en un servidor remoto, que es a dónde el código malicioso se conecta, esto lo podemos observar a través del análisis del tráfico de red. Se crean dos conexiones a la misma dirección URL, en la primera para registrar el equipo infectado y la segunda para descargar la configuración del proxy:

Ver m�s… »

Categories: Malware
2 Comments »

Desde la primera aparición de un código malicioso para Android, a mediados del año pasado, hemos sido testigos de una constante evolución en lo que refiere a las técnicas y metodologías utilizadas por los desarrolladores de malware. Hoy vamos a compartir con ustedes una amenaza conocida como AnserverBot, que incorpora una serie de funcionalidades de alta complejidad, con el objetivo de convertir el dispositivo en parte de una botnet.

Esta amenaza se propaga a través de repositorios de aplicaciones alternativos al Android Market en China, inyectado dentro de otras aplicaciones y fue reportada por Xuxian Jiang. Este código malicioso cuenta con una serie de capacidades como la carga dinámica de código, ofuscación de código, cifrado de datos, auto verificación de firmas, como así también, la posibilidad de detectar y eliminar ciertas herramientas de seguridad para dispositivos móviles.

El objetivo de inyectar código dentro de otras aplicaciones es para realizar la instalación de dos aplicaciones escondidas en el directorio de recursos, alojado en la carpeta “assets/“. Dentro de esta carpeta se pueden observar los archivos anservera.db y anserverb.db. Ambos archivos suponen ser una base de datos, pero en realidad se trata de dos aplicaciones maliciosas. Si se abren estos archivos como si se tratara de un archivo comprimido podemos observar que tiene la misma estructura que un APK (Android application package file, en español, Archivo de aplicación para Android):

Ver m�s… »

Categories: Análisis de malware
1 Comment »

La posibilidad que tienen los usuarios de interactuar en las redes sociales, ha hecho que estas páginas tengan un crecimiento muy rápido. Y si hablamos de redes sociales, inmediatamente pensamos en Facebook, de la cual hace un tiempo atrás hablamos de algunas de sus cifras con respecto a seguridad. Este mercado, que se encuentra en crecimiento, ha permito que diversas empresas puedan realizar campañas de publicidad y mejorar su posicionamiento en la web. Todo esto es posible gracias a la gran cantidad de usuarios que diariamente utilizan las redes sociales, pero en el caso de no tener usuarios para difundir una campaña, los spammers han desarrollado una herramienta para la creación automática de perfiles en Facebook. En esta ocasión informaremos sobre este tipo de herramienta para generar usuarios.

El programa presenta una interface bastante sencillas y en pocos minutos se pueden generar varias cuentas de usuarios falsos. En la siguiente imagen podemos ver la pantalla de inicio, luego de un previo registro mediante correo electrónico:

Ver m�s… »

Categories: Redes Sociales
1 Comment »

Hace aproximadamente un mes, fue lanzada la versión 3.73 del firmware para la consola Playstation 3 de Sony. Después de eso, no pasó mucho tiempo hasta que el investigador francés Mathieulh se las arregló para descifrar el archivo lv0.elf. Esto permitiría a los usuarios utilizar en la consola, aplicaciones de terceros o que no estuvieran debidamente firmadas.

Mathieulh publicó una captura en donde se puede observar el descifrado del archivo en la versión 3.73 del SDK:

Algunos usuarios ya estaban esperando que él hiciera pública la vulnerabilidad, no obstante el investigador espera poder tener algún tipo de contacto con la empresa antes de mostrarles a los usuarios como vulnerar el firmware de la consola.

En su cuenta de Twitter, se puede observar como el desarrollador confirma su postura negativa a la publicación de las claves, dumps y demás información sobre cómo vulneró el firmware:

Ver m�s… »

Categories: Alertas
2 Comments »

Los servicios de Adobe Flash Player han sido muy convenientes y utilizados hasta el momento en smartphones y tablets con plataforma Android y en los dispositivos y tablets de BlackBerry; a pesar de su gran utilización de energía, lo que es un punto negativo al tratarse de dispositivos móviles, y sus inconvenientes de estabilidad y seguridad.

La llegada de HTML5 ha generado mucha controversia en relación a si es conveniente o no continuar con la utilización del producto de la empresa Adobe en smartphones y tablets, debido a que HTML5 “no solo está universalmente extendido en este tipo de dispositivos, sino que en algunos casos lo hace de forma exclusiva” según indicó Danny Winokur, director general de desarrollo interactivo de Adobe, en un artículo publicado en uno de los blogs de la compañía. Esta declaración puede generar un aspecto positivo brindándole un impulso al lanzamiento de esta nueva versión del lenguaje.

Esto ha impactado de manera negativa en Adobe Flash Player a tal punto que han llegado a anunciar que no producirán más su producto para dispositivos móviles como smartphones y tablets, pero también anunciaron que continuarán brindando soporte a los dispositivos móviles con la reparación de errores críticos y actualizaciones en la seguridad, debido a que aún muchos dispositivos continúan utilizando su producto.

A pesar de esto, Adobe cree en la posibilidad de la coexistencia de ambas tecnologías, Adobe Flash Player y HTML5, por lo que aún continuarán con el desarrollo de su versión del producto para equipos de escritorio y portátiles, como por ejemplo notebooks y netbooks, con la creación de su nueva versión Adobe Flash Player 12.

Gonzalo Presa
Analista Jr. de Seguridad

Categories: Curiosidades, Productos
No Comments »