Considerando que estamos a tan sólo ocho días de San Valentín, es común observar que los cibercriminales empiezan a utilizar con mayor frecuencia falsas postales, poemas o cartas de amor para propagar amenazas. En concordancia, en el día de hoy hemos recibido en nuestro laboratorio un correo electrónico que, aunque utiliza una vez más el día de los enamorados como táctica de Ingeniería Social para expandir algún tipo de código malicioso, intenta innovar dentro del mismo tema. En esta ocasión los ciberdelincuentes eligieron tentar a las potenciales víctimas haciéndolas creer que son ganadoras de un supuesto concurso de San Valentín organizado por una conocida aerolínea de origen chileno en la que se señala que el usuario resultó seleccionado en el sorteo de un paquete turístico a Punta Cana.

Supuestamente, este incluye dos pasajes ida y vuelta con todo pago por tres días y dos noches. El formato utilizado en el correo es muy similar al que emplea esta empresa de vuelos comerciales en sus boletines informativos, sin embargo, se puede apreciar que después de “Estimado” se incluye de forma genérica “Cliente” en vez del nombre del mismo como lo hace la compañía:

En la imagen anterior se enmarcaron dentro de un rectángulo rojo los once hipervínculos que tienen como objetivo que el usuario descargue una copia  del malware detectado proactivamente por ESET NOD32 Antivirus como una variante de Win32/Injector.NTU troyano.

Si Injector.NTU es ejecutado intentará conectarse a otro sitio de donde bajará una variante del prolífico gusano botnet Win32/Dorkbot.B, cuyo fin es convertir la computadora de la víctima en zombi para que quede a la espera de instrucciones remotas de un servidor centralizado que pueden ser desde la obtención de una captura de pantalla de lo que el usuario esté haciendo hasta la ejecución de más códigos maliciosos o la obtención de información sensible.

Le recomendamos a todos los lectores ser muy precavidos al momento de abrir correos y seguir hipervínculos incluso si quien los envía es un conocido o es parte de un servicio al cual se esté suscrito. En nuestra Guía para identificar correos falsos se explican algunos consejos para identificar mensajes ilegítimos. También es imprescindible que el usuario sepa cómo descubrir si se trata de un enlace engañoso.

André Goujon
Especialista de Awareness & Research

Categories: Alertas, Botnet
3 Comments »

Se está propagando a través de correos falsos una campaña de phishing para usuarios de Argentina. El mensaje alerta a los usuarios acerca de irregularidades en su cuenta y que por lo tanto ha sido bloqueada temporalmente. Según el mensaje, para poder acceder a su cuenta nuevamente necesita ingresar al sitio web de la empresa de tarjetas de crédito y actualizar sus datos. Todos los usuarios que caigan víctimas de esta acción por medio del engaño y las técnicas de Ingeniería Social dejan su información en manos del atacante.

La campaña comienza con la recepción del correo en la bandeja de entrada del usuario, todas aquellas víctimas que caigan en el engaño y sigan el enlace falso caen en una página que solicita su información personal. En realidad se trata de un enlace engañoso, que no dirijie al usuario a la página verdadera, en realidad el sitio de phishing se encuentra alojado en una página cuya seguridad ha sido vulnerada. A continuación compartimos con ustedes una captura del correo en dónde resaltamos el verdadero enlace a la página falsa:

Ver más... »

Categories: Alertas, Phishing
No Comments »

Desde el Laboratorio de ESET Latinoamérica hemos detectado dos campañas de envío de malware a través de Facebook  que utilizan la figura de la popular cantante colombiana como táctica de Ingeniería Social. En el mensaje se hace alusión a que Shakira supuestamente habría cometido en público un acto poco digno. Para lograr aún mayor curiosidad y posibles víctimas, no se explicita qué más aparece en el video pero sí se menciona que con lo que hace, es suficiente para perderle el respeto. La siguiente imagen corresponde al primer caso encontrado:

Si el usuario es incauto y sigue el hipervínculo, se desplegará una falsa página de Facebook en donde se le pide que ejecute un programa Java cuyo objetivo es descargar y ejecutar automáticamente un código malicioso detectado proactivamente por ESET NOD32 Antivirus como una variante de Win32/Injector.NQM troyano.

Cabe destacar que los ciberdelincuentes al no contar con una firma válida que certifique que dicha aplicación Java es genuina, decidieron utilizar en su lugar el nombre de una conocida empresa informática como puede apreciarse en la siguiente imagen:

Ver más… »

Categories: Alertas, Malware
12 Comments »

A fines del año pasado ya estuvimos tratando en nuestro blog sobre una botnet, denominada Volk, y su propagación por América Latina. En esa ocasión, se explicaba cómo los atacantes utilizaban esta amenaza para realizar el robo de credenciales de acceso de los usuarios para obtener beneficios económicos. Afortunadamente, el sitio en donde se alojaba el panel de control de la botnet fue efectivamente dado de baja, sin embargo hemos encontrado otros lugares en donde esta amenaza se ha estado almacenando y, por lo tanto, generando nuevas campañas para afectar a más usuarios. Luego también hicimos un análisis del código malicioso explicando más detalles de la infección y comunicando los países más afectados de América Latina.

En esta oportunidad, encontramos un caso de phishing utilizando un prestigioso banco de Panamá. En primer lugar, el usuario recibe un correo electrónico que le notifica que su cuenta ha sido congelada por motivos de seguridad. Además de utilizar el logo y el nombre de un prestigioso banco de la región, los atacantes llenan sus falsos correos electrónicos de detalles para asegurarse que las víctimas ni sospechen de su autenticidad y terminen ingresando al enlace cayendo en el engaño. En la imagen anterior, en el mismo mensaje, también se puede observar incluso un consejo de seguridad de parte de la supuesta entidad financiera. A continuación vemos adónde llega el usuario al ingresar al enlace engañoso:

Ver más… »

Categories: Alertas, Phishing
No Comments »

A pesar de los reiterados intentos por parte del personal de Google por mantener segura la tienda en línea de su sistema operativo para móviles, Android Market; siguen apareciendo amenazas como la reportada por Appriva durante estos últimos días.

Las aplicaciones afectadas son algunas versiones de Baloon Game y Deal or BE Millionaire, entre otras. En este caso, las muestras son identificadas bajo el nombre de Android/Plankton por ESET NOD32 Antivirus.  Este troyano se conecta de forma remota con un servidor enviando un mensaje con los datos más importantes del dispositivo como el fabricante, modelo, ID y demás.

En el análisis se puede observar el momento en que se realiza la conexión entre el cliente infectado y el servidor, donde las partes ofuscadas son los datos del dispositivo de la víctima que se envían. Esta muestra, tiene un funcionamiento similar a otra de Plankton que ya había sido analizada en nuestros laboratorios. Allí, se mostraba cómo el código malicioso que infecta el dispositivo envía los datos antes mencionados a un servidor, transformando el aparato en un bot y luego queda a la espera de un mensaje. Este, contiene los comandos con los que se comunicarán el bot y el Panel de Control asociado.

Ver más… »

Categories: Alertas, Malware
No Comments »