Para cerrar el año y completar lo descrito hace unos días, compartiremos lo que a criterio del equipo de Laboratorio de ESET Latinoamérica son las tendencias más importante en materia de malware y cibercrimen para el siguiente año. Es decir, un resumen de lo que hemos descrito más detalladamente en nuestro informe “Tendencias 2012: El malware a los móviles“. Allí, hemos analizado cuáles serán las amenazas informáticas más relevantes para el año 2012 y cómo seguirán evolucionando los códigos maliciosos; y ya he compartido con ustedes la primer entrega de estos post, donde detallamos la tendencia más importante: el malware en los dispositivos móviles. Ahora veamos cuáles son los otros aspectos destacados en el mismo informe.

El primero de ellos, tiene que ver con la propagación de nuevas amenazas a partir de la evolución de las tecnologías. Tal es el caso de, por ejemplo, TDL4, código malicioso que salteaba los mecanismos de protección de rootkits en 64 bits en Windows 7. Un caso similar es el de Stuxnet, y otras amenazas posteriores, que utilizan certificados digitales robados para saltear los mecanismos de validación de ejecutables firmados en plataformas modernas.

Además, podrán encontrar en el documento por qué el equipo de Laboratorio de ESET Latinoamérica considera que el 2012 será el año donde se confirmará el inicio de la desaparacición de Conficker, el gusano que viene infectando equipos en todo el mundo desde el año 2008, superando cualquier ciclo de vida tradicional de este tipo de amenazas.

Finalmente, la otra amenaza que se destaca en el documento son los ataques en Latinoamérica. Hace años que delincuentes informáticos de la región crean y propagan códigos maliciosos, además de realizar otras amenazas informáticas en el ámbito regional. Aquí, se destacan:

• Hacktivismo: la utilización de ataques informáticos con fines ideológicos está creciendo de forma importante en la región. Muchas personas en la región se han identificado con estos movimientos y muchas organizaciones están comenzando a sufrir este tipo de ataques informáticos, especialmente organismos gubernamentales o personas asociadas a la política.
• Privacidad y redes sociales: Latinoamérica es una región con un alto uso de redes sociales. De los 200 millones de internautas que hay en la región, 162 millones tienen cuenta en Facebook. Por lo tanto la propagación de troyanos por estos medios (a través de Ingeniería Social), y especialmente el crecimiento de amenazas de fraude como el clickjacking (el negocio de los clics para los cibercriminales), el scam o las falsas aplicaciones para el robo de información, serán notorias durante 2012.
• Troyanos bancarios y phishing: Dentro del malware, los troyanos bancarios son sin lugar a duda la variante más emblemática desarrollada en Latinoamérica. El phishing, como amenaza relacionada, también se expandió de forma masiva durante el último año y. dada su efectividad (estudios de ESET confirman que un delincuente en la región puede obtener datos de siete tarjetas de crédito por hora con un ataque activo), seguirán funcionando el próximo año.

En resumen, veremos para el próximo año una combinación de viejas amenazas con la aparición de nuevos vectores y características de las nuevas, tal como indica el inicio de la conclusión en el artículo en cuestión:

Durante muchos años los usuarios fueron testigos de una especie de estabilidad en lo que respecta a códigos maliciosos: gusanos y troyanos, distribuidos por correo electrónico y redes sociales, que infectaban a los usuarios y se concentraban en el robo de información.

El informe completo puede ser descargado desde nuestra sección Informes y Tendencias en el Centro de Amenazas de  ESET Latinoamérica. Se va el 2011 y viene el 2012; y ahora que ya conocen las tendencias en materia de malware y cibercrimen pueden ir a brindar en paz, y desde el equipo de Laboratorio de ESET Latinoamérica les deseamos que tengan un hermoso y seguro año.

Sebastián Bortnik
Coordinador de Awareness & Research

Categories: Informes
1 Comment »

Durante los últimos día se ha estado alertando a los usuarios acerca de una vulnerabilidad presente en el navegador de Android que puede ser utilizada para falsificar certificados de páginas oficiales. A través de este exploit un ciber criminal podría atacar a usuarios que utilicen la versión 2.3 del sistema operativo de Google o anteriores para el robo de credenciales o ataques de phishing.

La vulnerabilidad se centra en la utilización de un iframe en dónde se hace referencia a una página oficial y se engaña al usuario quien cree que se encuentra en una página verídica. Uno de los mayores riesgos que presenta es que se puede realizar el ataque tanto en páginas con HTTPS o HTTP, que le permite a un atacante simular una página del banco para obtener las credenciales del usuario.

Un iframe es un elemento del lenguaje HTML, que permite hacer referencia a una página remota e insertar este contenido dentro de la primera. De esta manera es un recurso que suele ser utilizado por los desarrolladores de códigos maliciosos para explotar una vulnerabilidad en los navegadores con el objetivo de realizar ataques de Drive-by-download. En esta técnica está siendo utilizada para engañar a los usuarios que visitan una página exponiéndolos distintas amenazas.

El uso de esta vulnerabilidad por parte de los ciber criminales podría llevar al robo de credenciales de acceso. A través de la combinación de técnicas de Ingeniería Social e iframe un atacante puede hacerle creer al usuario que está ingresando al sitio oficial de redes sociales o correos electrónicos para luego sustraer su información personal. Esta técnica también podría aplicarse al robo de información bancaria.

Google recibió el reporte de esta vulnerabilidad a principios de diciembre por parte del investigador que la descubrió. Uno de los mayores riesgos se da cuando el usuario intenta visualizar las propiedades de la web fraudulenta, ya que verá el certificado de la web contenida en el iframe creyendo que se trata de un sitio real. Por este motivo no podrá identificar si se trata de una página verdadera o de un engaño.

Siempre es recomendable que al acceder a páginas web de banca electrónica, redes sociales o correos el usuario se asegure de estar ingresando a un sitio oficial ya que de otra manera podría ser víctima del robo de información. Además les recomendamos leer las buenas prácticas para usuarios  móviles en dónde podrán conocer de qué manera proteger su información.

Pablo Ramos
Especialista en Awareness & Research

Categories: Alertas
No Comments »

En la actualidad, los ciberdelincuentes emplean diversos métodos con el fin de perpetrar con mayor éxito sus ataques. Dependiendo del tipo de usuario al cual va dirigido, la táctica varía. Esta puede ser desde un correo acerca de alguna noticia impactante, supuestos mensajes de la autoridad, la utilización de iconos genuinos, o incluso el aumento del tamaño del archivo de la amenaza de forma intencional para no levantar sospecha por parte del usuario.

Esta última estrategia, sumada al uso de un icono adecuado, les resulta útil para camuflar un código malicioso que pretende ser un crack ilegal para un determinado videojuego. En general, los archivos ejecutables de juegos suelen tener un icono característico y un tamaño de fichero mayor al de otro tipo de software. Por ese motivo, los autores de estas amenazas aumentan el peso de las mismas para que parezcan reales.

Tal es el caso del gusano identificado por ESET NOD32 como MSIL/Agent.AO. Este código malicioso fue subido a sitios ilícitos de intercambios de archivos, simulando ser un crack para el juego de disparos en primera persona, Battlefield 3. Aparte del nombre, el malware utiliza el icono original del juego y posee un tamaño exacto de 56,4 MB.

De este modo, se levantará menor sospecha por parte del usuario considerando que el archivo genuino del juego tiene un tamaño aproximado de 30 MB, por lo tanto, un peso demasiado liviano podría parecer dudoso. Cuando el gusano es ejecutado, comienza a crear varias instancias del mismo en la memoria RAM hasta colapsarla, de modo que el equipo recurre al uso de memoria virtual para evitar la caída del sistema operativo, afectando considerablemente el rendimiento del sistema:

Ver más… »

Categories: Ingeniería Social, Malware
No Comments »

Los creadores de amenazas que utilizan técnicas de Ingeniería Social deben ser muy hábiles al momento de llamar la atención de la víctima, a tal punto que esta olvide o pase por alto las medidas de seguridad que le permiten evitar este tipo de ataques. Por lo general, las técnicas para llamar la atención del usuario son correos que simulan provenir de una entidad bancaria indicando que se necesita información, contenido pornográfico o la promesa de imágenes comprometedoras de famosos.

A continuación presentaremos un caso enviado por uno de nuestros usuarios, donde el sitio web lleva la Ingeniería Social un paso más adelante. El atractivo de esta página web es que los usuarios pueden compartir sus secretos, ya sean graciosos o trágicos, con los demás. Para esto, luego de escribir el secreto a compartir, el usuario deberá ingresar su correo y su contraseña:

Esto, por lo general no debería presentar ningún inconveniente porque el sitio web debería hacer lo que dice en los términos y condiciones, donde se podrá observar que dicen que no se va a almacenar ni intercambiar datos de los usuarios con otros sitios:

El usuario que nos ha enviado el caso ha podido localizar, dentro de los directorios del sitio web, Esto es un poco contradictorio con lo que ha encontrado el usuario que nos envió el caso en uno de los directorios del sitio web:

Como se puede observar, el sitio web guarda cada uno de los correos enviados automáticamente cuando el usuario ingresa su correo electrónico y contraseña, por lo que cual no solamente almacena los datos del usuario que escribe el secreto, sino que también todos los correos de sus contactos. Además  no es aclarar que este es solamente un ejemplo entre los 118.818 que actualmente se encuentran alojados en este sitio web.

Resumiendo, se trata de una manera más de obtener casillas de correo a través del uso de Ingeniería Social. Estas casillas pueden ser utilizadas para enviarles spam o, las ingresadas por los escritores de los secretos, utilizadas para enviarlo. Para poder resguardarse de este tipo de ataques es importante que no se ingresen sus datos de inicio de sesión en sitios desconocidos o extraños, sino que solamente hacerlo en páginas web recomendadas, de confianza o que manejen cierta seguridad como el protocolo HTTPS.

Gonzalo Presa
Analista Jr. de Seguridad

Categories: Ingeniería Social, Phishing
No Comments »

Llegando a fin de año y en medio de las festividades, compartimos con ustedes el análisis de un ataqué que se está realizando en Perú y que utiliza técnicas de Ingeniería Social con el objetivo de engañar a los usuarios y obtener sus datos personales.  A través de correos falsos se está enviando un supuesto sorteo de entradas de cine y un cero kilómetro, en realidad quienes caen víctimas de este ataque acaban por convertir sus equipos en parte de una botnet, exponiéndose a que sus credenciales bancarias caigan en manos de los ciber criminales.

En primera instancia la posible víctima recibe un correo electrónico que los invita a participar del sorteo. Cómo pueden observar en la siguiente imagen, sus chances de ganar serán mayores si reenvía el correo a todos sus contactos, logrando así aumentar la cantidad de personas que reciben este troyano, detectado por ESET NOD32 Antivirus como Win32/KlovBot. Además la redacción del correo presenta la falta de acentos y otros errores ortográficos:

Ver más… »

Categories: Malware
1 Comment »