En el día de la fecha hemos recibido gran cantidad de spam con supuestos videos de CNN, pero que en realidad apuntan a sitios con malware, de la misma forma que las famosas desnudas y tantos otros ejemplos citados aquí permanentemente.

En este caso el correo es un poco más elaborado que anteriormente, pero la idea y la metodología sigue siendo la misma: engañar al usuario para que el mismo haga clic y poder infectarlo a través de Drive-by-Download:

Como puede verse el primer enlace realmente conduce a CNN, pero el supuesto Top 10 en realidad conduce a sitios desde los cuales se descargará el archivo get_flash_update.exe que ESET NOD32 detecta por heurística como variante de Win32/Agent.ETH.

Al ingresar al sitio puede verse la típica pantalla informando de la falta de un codec para visualizar archivos de video:

Más allá de lo “bien logrado del diseño”, no hay que olvidar que esto se trata de un engaño que descarga un archivo dañino y por eso lo mejor es no ingresar al sitio propuesto en el correo electrónico.

Cristian

Vota primero

Categorias: Alertas, Malware
Dejar un comentario »

En el día de la fecha hemos recibido diversas denuncias de un caso de Phishing a Banamex, el cual se encuentra alojado en un servidor al cual se accede a través de una dirección IP y a través de un correo con el asunto “Perdoname bebe luego te marko =/”.

Por supuesto el sitio web falso luce como el original pero su URL no coincide:

En el caso que Ud. encuentre algún tipo de sitios del cual sospecha, le sugerimos denunciarlos como Phishing.

Cristian

Vota primero

Categorias: Alertas, Phishing
Dejar un comentario »

Desde hace unos días, desde la aparición de los supuestos correos de UPS han aparecido una gran cantidad de variantes de correos con supuestos tickets de diferentes tipo de servicios, en los cuales se menciona que hemos obtenido algún beneficio o descuento.

Para obtener dicho beneficio, “sólo” debemos abrir el archivo adjunto ofrecido:

Como puede verse, para hacer más creíble el engaño, se nos ofrece un supuesto usuario (que coincide con la cuenta de correo), una contraseña y el dinero que supuestamente se nos acreditaría siguiendo las instrucciones del archivo adjunto.

Dicho archivo por supuesto es un malware que ESET NOD32 detecta como Win32/Spy.Agent.PZ.

Cristian

Vota primero

Categorias: Alertas, Malware
Dejar un comentario »

En las últimas horas nuestro Laboratorio ha encontrado archivos MP3 (sí, no leyó mal) que se están utilizando para descargar malware desde distintos servidores.

Los archivo MP3 son modificados especialmente para permitir que cuando el archivo es reproducido con el reproductor Windows Media Player, descargue un troyano Downloader que ESET NOD32 detecta como Win32/TrojanDownloader.Small.OCY. Para realizar esta acción se vale de distintas funciones propias del reproductor de Windows, por lo que este mecanismo no funciona en otros reproductores de sonido.

Al abrir el archivo MP3, se comienza a reproducir normalmente, pero luego de unos segundos, se nos informa de la descarga automática de un archivo ejecutable que en este caso es un troyano:

Si se observa el tráfico de red podrá verse la conexión a servidores relacionados históricamente con adware y spyware muy populares, además de la descarga del troyano que se ve en esta imagen:

Si se descarga y ejecuta este supuesto codec, resultaremos infectados con el troyano downloader mencionado que procederá, a su vez, a descargar otros archivos dañinos al equipo.

En nuestro caso, ESET NOD32 también detecta los archivos MP3 modificados como WMA/TrojanDownloader.GetCodec.D. Esto evita la propagación de cualquier tipo de amenaza futura que aproveche esta técnica para propagar otros malware similares.

Archivos PDF, SWF, XPI, MP3… ¿Qué más necesitamos para darnos cuenta de que el malware está en todas partes?

Cristian

Vota primero

Categorias: Alertas, Malware
4 Comentarios »

En las últimas horas, nuestro Laboratorio ha descubierto la diseminación de un código malicioso que como argumento simula provenir de la prestigiosa cadena de noticias BBC News, pero en realidad sus enlaces conducen a sitios web vulnerados de Latinoamérica.

En esta oportunidad, y como es costumbre en el malware actual, la amenaza intenta llegar hasta los usuarios a través de un correo spam cuyo argumento engañoso se basa en que el mismo permite, supuestamente, visualizar videos gratuitos de diferentes celebridades.

Además de simular provenir desde la BBC News, en el cuerpo del mensaje también podemos leer que involucra a la empresa Microsoft. Como de costumbre esta amenaza es detectada y bloqueada por ESET NOD32 a través de su motor de Heurística Avanzada.

Jorge

Vota primero

Categorias: Alertas, Malware, Spam
1 Comentario »

En estos momentos está siendo propagado un correo que simula provenir de diversos medios de comunicación (como CNN), con la noticia de la captura de Osama bin Laden y con un supuesto video del ejército norteamericano:

Para quienes nos siguen es fácil adivinar que se trata de un nuevo ataque del gusano que ESET NOD32 detecta por heurística como Nuwar:

Como se sabe, los autores de Nuwar aprovechan cualquier tipo de excusa para propagar sus creaciones pero gracias a la detección proactiva de ESET, nuestros usuarios siempre están protegidos.

Cristian

Vota primero

Categorias: Alertas, Malware
1 Comentario »

Luego de la repercusión de I y II y, ante la duda expresada por correo de algunos usuarios, paso a aclarar algunos puntos fundamentales de esta amenaza:

1. Que el correo sea enviado por usuarios legítimos significa que los correos proceden de cuentas de Hotmail, Yahoo! o GMail de cualquier usuario (como las suyas o las mías) y que los correos no son simulados sino que realmente provienen de esas cuentas debido a que el delincuente tiene el usuario y la clave de las mismas. Por eso, cambiar la clave del correo es la solución en este caso.
2. Si Ud. ingresó sus datos en sitios dudosos o sospecha que su usuario y contraseña pueden haber sido robados, cambie la contraseña de su correo inmediatamente.
3. La cantidad de infecciones sigue creciendo llegando en este momento a 30.000 descargas del malware en menos de 48 hs. Esto puede deberse a que actualmente muy pocos antivirus detectan la amenaza y que además existen más cuentas robadas continuamente, lo que ayuda a alimentar este círculo vicioso.
4. Luego de instalarse, el gusano detectado por ESET NOD32 como Banwor roba sistemáticamente usuarios y contraseñas de correos y cuentas bancarias y actualmente existen tres variantes del mismo, que están siendo utilizados en este ataque. Los archivos .dll y .exe residen en la siguiente carpeta:

   

   Estos archivos corresponden a:

   • gbppdist.dll -> Win32/Banwor.NBG
   • gbiehdst.dll y gbppsv.exe -> Win32/Banwor.NBI
   • gbplib.dll -> Win32/Banwor.NBF
5. La modificación llevada a cabo en el sistema puede verse claramente mediante ESET SysInspector en donde diversos archivos del sistema son inyectados por el gusano para mantener el control del mismo:

   

Nuevamente, cuide sus datos personales, cambie su contraseña, verifique su sistema con un antivirus con capacidades proactivas y revise las carpetas de su sistema en busca de archivos sospechosos.

Actualización 18:00 Hs: Los archivos mencionados anteriormente corresponden a “Plugins” del malware, los cuales roban datos de cuentas diferentes bancos de Brasil, país de cual proviene Banwor.

Actualización 19/07/2008 21:00 Hs: A continuación dejo una imagen del archivo grabado por el gusano Banwor y su contenido con información robada, al ingresar a un banco de Brasil:

Los bancos afectados pueden cambiar dependiendo de la versión de Banwor que se trate.

Cristian

Vota primero

Categorias: Alertas, Curiosidades, Educación, Eventos, Malware, Spam
Dejar un comentario »

En las últimas horas nuestro Laboratorio ha recibido una alta cantidad de correos provenientes de cuentas reales y conteniendo enlaces a archivos dañinos. Los correos provienen de cuentas legítimas (no spoofeadas) de usuarios de distintos servicios de webmail (como Hotmail, Yahoo! y GMail).

El correo (y su encabezado) que llega puede lucir como el siguiente:

Al intentar ver el archivo (en este caso un supuesto curriculum), se ingresa a un sitio de alojamiento gratuito de archivos:

Al descargar este archivo en realidad se está descargando un malware que ESET NOD32 detecta como Win32/TrojanDownloader.Banload.QPR.

Para tener una idea de la cantidad de usuarios que han descargado la amenaza se pueden ver las estadísticas de descargas de este archivo en particular:

Como puede verse, en un día el archivo ha sido descargado 12.945 veces (hasta el momento), lo cual hace pensar en la gran cantidad de posibles usuarios infectados, si los mismos no disponían de una protección adecuada.

Es fundamental remarcar que los correos son reales debido a que esto implica que usuarios malintencionados han tenido acceso a los datos de la cuenta (usuario y contraseña) de los correos comprometidos.

El Laboratorio de ESET se puso en contacto con usuarios dueños de las cuentas comprometidas y se le solicitó que cambiarán la contraseña de su correo. Como resultado el envío de correos se detuvo inmediatamente.

Si bien se desconoce la forma en que estos datos pudieron ser obtenidos, la masividad del caso hace pensar en un método automático para obtenerlas como puede ser el uso de keylogger o el ingreso de estos datos, por parte de la víctima, en servicios no oficiales (foros, redes sociales, sitios que brindan información de bloqueo en los mensajeros, etc.), los cuales podrían robar estos datos para comercializarlos posteriormente.

Actualización 19:00 hs: en propagación de malware vía correos legítimos II analizamos el funcionamiento y la forma en como este malware roba usuarios y contraseñas de posibles nuevas víctimas.

Cristian y Joaquín

Vota primero

Categorias: Alertas, Curiosidades, Malware, Spam
4 Comentarios »

En las últimas horas nuestro Laboratorio ha encontrado extensiones de Firefox que simulan ser aplicaciones útiles, pero que en realidad son keyloggers que envían a un delincuente la información tipeada por el usuario.

Las extensiones falsas encontradas corresponden a un juego de ajedrez (chess) y a un administrador de descargas. Los archivos XPI se instalan normalmente en Firefox y a partir de ese momento la información que se tipee será robada por el keylogger.

El contenido del archivo .xpi es el siguiente:

Es importante destacar que el usuario no ve este contenido a menos que descargue el archivo y lo abra con un compresor como WinRAR. El archivo ejecutable señalado corresponde a un troyano que ESET NOD32 detecta gracias a su Heurística Avanzada:

Estas extensiones no son oficiales de la Fundación Mozilla y, al momento de escribir el presente, los archivos podí­an ser descargados desde un sitio de descargas muy popular.

Una vez instalada, la extensión aparece como cualquier otra extensión normal del navegador:

No es la primera vez que este mecanismo es utilizado y por eso es importante ser consciente de que actualmente cualquier archivo puede ser dañino y utilizado para propagar malware.

Cristian

Vota primero

Categorias: Alertas, Malware
7 Comentarios »

En las últimas horas se ha registrado una alta cantidad de correos con noticias sobre la invasión a Irán por parte de EE.UU., comenzando la tercera guerra mundial.

En realidad se trata de un correo enviado por el gusano Nuwar que nos invita a ver un supuesto video creado por los soldados norteamericanos:

Si bien el engaño es el mismo de siempre, evidentemente los usuarios seguimos cayendo, haciendo que los creadores de Nuwar sigan utilizando esta técnica para infectarnos.

Lo preocupante de este caso en particular es que los sitios web dañinos también fueron indexados por los buscadores, causando que el mismo obtenga mayor propagación.

Como siempre en estos casos, es importante no caer en el engaño y actualizar el antivirus que en el caso de ESET NOD32 detectará la amenaza, antes de la descarga del malware.

Cristian

Vota primero

Categorias: Alertas, Malware
Dejar un comentario »