En el último tiempo se ha observado un incremento en el tipo de vulnerabilidad Cross Site Scripting. Esta clase de falla muchas veces pasa desapercibida por los diseñadores de los sitios web a la hora de codificar sus portales, y por lo tanto no estipulan este tipo de ataque y cuál es su alcance en caso de que se explote exitosamente.

En esta semana se han descubierto varios sitios web de entidades de gran jerarquía con esta clase de vulnerabilidad. En la mayoría de los casos el tipo de vulnerabilidad es de XSS no persistente. Puntualmente, un atacante puede adulterar un enlace web para incorporar código malicioso y mediante técnicas de Ingeniería Social obtener beneficios de la víctima. Un ejemplo claro es la adulteración del enlace para extraer la cookie de sesión del usuario.

Sin embargo existen casos de mayor gravedad, es decir, vulnerabilidades de tipo XSS persistente. Esta es la situación de una de las mayores empresas de Internet cuya plataforma de blogging no filtra correctamente los comentarios que se realizan, lo que permite, por ejemplo, insertar una etiqueta del tipo iframe dentro del código del sitio. De esta manera el código del portal es modificado de manera permanente y no es necesaria la adulteración del enlace ni el uso de Ingeniería Social para explotar la vulnerabilidad de manera exitosa.

Ver más… »

Categories: Vulnerabilidades
No Comments »

A fines del año pasado ya estuvimos tratando en nuestro blog sobre una botnet, denominada Volk, y su propagación por América Latina. En esa ocasión, se explicaba cómo los atacantes utilizaban esta amenaza para realizar el robo de credenciales de acceso de los usuarios para obtener beneficios económicos. Afortunadamente, el sitio en donde se alojaba el panel de control de la botnet fue efectivamente dado de baja, sin embargo hemos encontrado otros lugares en donde esta amenaza se ha estado almacenando y, por lo tanto, generando nuevas campañas para afectar a más usuarios. Luego también hicimos un análisis del código malicioso explicando más detalles de la infección y comunicando los países más afectados de América Latina.

En esta oportunidad, encontramos un caso de phishing utilizando un prestigioso banco de Panamá. En primer lugar, el usuario recibe un correo electrónico que le notifica que su cuenta ha sido congelada por motivos de seguridad. Además de utilizar el logo y el nombre de un prestigioso banco de la región, los atacantes llenan sus falsos correos electrónicos de detalles para asegurarse que las víctimas ni sospechen de su autenticidad y terminen ingresando al enlace cayendo en el engaño. En la imagen anterior, en el mismo mensaje, también se puede observar incluso un consejo de seguridad de parte de la supuesta entidad financiera. A continuación vemos adónde llega el usuario al ingresar al enlace engañoso:

Ver más… »

Categories: Alertas, Phishing
No Comments »

El trabajo realizado por el Laboratorio de ESET Latinoamérica para el artículo “Dorkbot: conquistando Latinoamérica” analizó en detalles los principales factores que llevaron a este código malicioso a una propagación masiva en la región. La firma con mayor nivel de detecciones es Win32/Dorkbot.D representa el 55,58% del total, y se corresponde con la técnica utilizada principalmente para infectar a un sistema con Win32/Dorkbot.B. Veamos en detalle qué es lo que hacen para engañar al usuario.

Como comenta el artículo, durante la segunda parte del 2011 Dorkbot se posicionó como el código malicioso más importante de la región. Esta amenaza que al infectar un equipo lo convierte en parte de una botnet controlada a través del protocolo IRC (Internet Relay Chat), le permite al atacante realizar acciones tales como:

• Robo de credenciales de sitios web como Gmail y Hotmail.
• Ataques de denegación de servicio.
• Bloqueo de direcciones IP.
• Descarga y ejecución de otros códigos maliciosos.
• Inyección de código en páginas web.
• Propagación a través de redes sociales y mensajeros instantáneos, por ejemplo el chat de Facebook y Windows Live Messenger.
• Redirección de tráfico web para la realización de ataques de phishing.

La variante Win32/Dorkbot.D refiere utilización de accesos directos para engañar a los usuarios es uno de los métodos más eficaces para infectar un sistema desprotegido. Es por ello que la firma de esta variante detecta directamente los archivos LNK que contienen en su interior otras variantes de Dorkbot. Cuando una memoria USB se conecta a un equipo infectado con este gusano, las propiedades de los archivos y carpetas son modificadas y se ocultan como archivos del sistema.

Cuando el usuario hace doble clic sobre el acceso directo para abrir la carpeta, se ejecuta el código malicioso y luego se abre una nueva sesión del Explorador de Windows en donde se muestra su contenido. De esta manera, Dorkbot intenta pasar desapercibido y, si el equipo no está protegido eficientemente por un antivirus, el mismo será infectado. La cadena que se almacena en los accesos directos y permite la ejecución del código malicioso es similar a:

%windir%\system32\cmd.exe /c “start %cd%RECYCLER\<nombre_malware>.exe &&%windir%\explorer.exe %cd%Carpeta

Si se cambian las Opciones de carpeta para poder ver los archivos ocultos y del sistema, es posible encontrar la información que se escondío ante los ojos de un usuario desprovisto de una solución de seguridad como ESET NOD32 Antivirus. Esta técnica remarca la importancia de contar con un antivirus que analice los dispositivos de almacenamiento extraíbles que se conectan al equipo. En la siguiente imagen se puede observar cómo queda una memoria USB infectada con esta amenaza:

Además de esta técnica de infección, Dorkbot se propaga a través de redes sociales y mensajeros instantáneos. Una de las funcionalidades que agregó la variante B respecto de Win32/Dorkbot.A es la posibilidad de utilizar el chat de Facebook como un canal de distribución de esta amenaza medainte Ingeniería Social. Durante el seguimiento de una campaña activa en América Latina el administrador de la botnet ha utilizado temáticas que incluyen fotos de la cantante Jennifer Lopez, al presidente venezolano Hugo Chávez, un accidente automovilístico de Lionel Messi y fotografías del naufragio del crucero en la costa italiana.

Los invitamos a leer el artículo completo para conocer cuáles son los riesgos y las actividades maliciosas de esta familia de malware y cuál es el impacto que esta amenaza tiene en la región.

Pablo Ramos
Especialista de Awareness & Research

Categories: Análisis de malware
3 Comments »

Desde hace un tiempo Latinoamérica está siendo afectada cada vez en mayor medida por la botnet Volk. En esta oportunidad realizaremos un análisis más profundo de la amenaza a fin de mostrar todas las capacidades y peligrosidad que posee. Como se mencionó anteriormente en este  blog en post relacionados Facebook, troyanos y botnets y San Valentín se acerca con troyano como postal de amor, esta botnet utiliza Ingeniería Social para propagarse y su objetivo principal es el robo de credenciales bancarias. Con este post mostraremos como es que se realiza el robo de credenciales y también hablaremos de otras capacidades adicionales que esta botnet puede realizar. En esta oportunidad analizaremos un archivo malicioso perteneciente a la botnet Volk el cual es detectado por ESET NOD32 Antivirus como Win32/KlovBot.D troyano.

Esta botnet tiene diferentes funcionalidades las cuales son explotadas dependiendo de la variante de la amenaza. Algunas de las actividades maliciosas que puede realizar son:

• Robo de usuarios y contraseñas de servidores FTP y de MSN almacenados en el equipo infectado.
• Ataques de denegación de servicio distribuido (DDOS).
• Modificación y actualización del archivo hosts.txt (Pharming local) para realizar diferentes ataques de phishing.

A continuación se observa el panel de configuración de la botnet donde se detallan todas estas funcionalidades:

Ver más… »

Categories: Análisis de malware, Botnet
No Comments »

Como parte del trabajo de investigación realizado por el Laboratorio ESET Latinoamérica se realizó el seguimiento de Dorkbot, el código malicioso con mayor índice de detección durante  todo el 2011 para la región. Días atrás compartimos con ustedes el reporte de esta familia de códigos maliciosos propagándose a través del chat de Facebook, Windows Live Messenger  y los dispositivos USB. Ahora les presentamos el informe completo “Dorkbot: conquistando Latinoamérica“.

A lo largo del artículo, se analizan las diferentes variantes de este código malicioso, las estadísticas de detección para los diferentes países de la región y además el estudio de un caso real que se propaga en Latinoamérica con el objetivo de robar credenciales bancarias de Chile y Perú. Las características de este gusano y su habilidad para propagarse a través de la explotación de accesos directos en los dispositivos de almacenamiento masivo potenciaron su elección como el crimepack  más utilizado en la región:

Dorkbot es parte de una suite de herramientas, denominadas crimepacks, las cuales son utilizadas para crear malware y obtener beneficios de él. Los crimepacks pueden ser adquiridos por los cibercriminales con el objetivo de realizar ataques para el robo de información. Esto significa que una vez que cuentan con el paquete de construcción pueden realizar distintas campañas de propagación de códigos maliciosos a lo largo de la región.

Observando las estadísticas de detección para América Latina vemos el crecimiento de esta familia de códigos maliciosos, y cómo desplazó de los primeros lugares a amenazas como INF/Autorun y Win32/Autorun durante el final del 2011. El valor más alto se registró en septiembre pero a meses de la aparición de la primera variante de este gusano (en abril), su nivel de detecciones creció considerablemente.

Otro de los puntos a tener en cuenta acerca de esta amenaza es la amplia diferencia entre su utilización en América Latina y el resto del mundo. Durante el mes de diciembre de 2011, el porcentaje de propagación de esta amenaza en la región fue del 8%, mientras que en Europa fue del 0,8% y en Norteamérica fue de apenas 0,26%. Desde el Laboratorio de Análisis e Investigación de ESET Latinoamérica se realizó el seguimiento de este crecimiento en los países de la región.

Recuerden que pueden leer el informe completo en la sección de Informes y Tendencias en el Centro de Amenazas de  ESET Latinoamérica. Continuaremos compartiendo con ustedes información acerca de las investigaciones realizadas por el Laboratorio y el seguimiento de esta amenaza y sus ataques en la región.

Pablo Ramos
Especialista de Awareness & Research

Categories: Estadísticas, Malware
4 Comments »