En las últimas horas una gran cantidad de correos en portugués que simulan provenir de TIM Brasil han sido detectado por nuestro Laboratorio:

En el correo se invita al usuario a ver un video en el sitio de la empresa mencionada. Por supuesto, el dominio al que se ingresa no es el de TIM sino uno creado con el fin de difundir malware. Si el usuario desprevenido ingresa al sitio web falso, verá una página de TIM simulando ser la original, se descargará un archivo llamado Msg_Vitual_1909354415648758.cpl y se ejecutará el reproductor de Windows Media para simular el video y que el usuario no se percate de la descarga del malware.

Ese archivo en realidad es un troyano que ESET NOD32 detecta como Win32/TrojanDownloader.Banload.OAZ, se copia en el sistema con el nombre win.exe y se comunica a un FTP de Brasil ki[eliminado].net ([eliminado].7.184.42) para descargar otros archivos dañinos encargados de robar contraseñas.

Si se ingresa al FTP mencionado pueden verse una gran cantidad de archivos .mod y .cpl que en realidad son troyanos, gusanos, rootkits y passwords stealer que el creador del malware utiliza en esta campaña de difusión:

Como podemos ver esta persona cuenta con variados y múltiples alternativas para infectarnos y por eso hay que estar prevenidos y no confiar en los correos de personas desconocidas y mucho menos, si tienen un enlace.

Cristian

Promedio: 5

• Supuesto video de TIM Brasil propaga malware (II)
• Bloqueo de GMail a los correos de CNN y MSNBC
• Troyano bancario por correo electrónico (video caseiro)

Categorias: Alertas, Malware
6 Comentarios »

Creo que ya no es noticia para nadie que desde hace un par de semanas se está aprovechando a CNN como excusa para propagar malware y que comenzó con la campaña de los videos de famosas desnudas (y no sólo Angelina Jolie).

Por eso en este caso analizaré las técnicas que se están empleando para hacer esta campaña que tiene como objetivo que el usuario descargue el troyano Win32/Agent.ETH que luego descarga el rogue Antivirus XP 2008 que ESET NOD32 detecta a través de su Heurística Avanzada como variante de Win32/TrojanDownloader.FakeAlert.FT y que es objeto de estudio nuestro artículo Rogue: falsos antivirus gratis.

Para propagarse, en el primer caso se envía spam con supuestas noticias y texto llamativos para que el usuario se vea tentado de hacer clic.

Estos correos utilizan una técnica básica de Ingeniería Social y generalmente incluyen logos de algún medio de comunicación (como CNN ó BBC) para lograr mayor impacto y credibilidad. En los últimos casos analizados también se insertan enlaces a noticias reales con el mismo fin. En este ejemplo, se puede ver un supuesto servicio llamado “CNN Alerts” para lograr el efecto deseado:

Cabe mencionar que CNN dispone de este servicio de información CNN E-Mails a través del correo electrónico, pero el usuario debe registrarse previamente para recibir las noticias. Es decir, que este tipo de engaño puede obtener mayor repercusión en usuarios registrados ya que los mismos podrían confundir el correo real con el falso.

Hasta aquí es noticia vieja, ya que es normal que el malware se propague por spam. Lo novedoso de esta campaña es que los creadores de malware también la están difundiendo por la web a través del servicio de Blog de Google:

Como puede verse, la metodología es la misma y a la derecha se pegó la cantidad de posts publicados en ese blog durante su laaaaaaarga vida… desde 1979 año en que había alrededor de 3 computadoras conectadas en el mundo, las usaban los militares norteamericanos e Internet, como la conocemos hoy, aún no existía. Además, evidentemente esta persona conoce la forma de viajar al futuro, al Año 2013 específicamente.

Por supuesto, se trata de la creación masiva de posts en blogs creados automáticamente para engañar a los usuarios. Lo grave de este caso es que si se realiza una búsqueda en cualquier buscador, se pueden encontrar más de 8.000 sitios de este tipo:

Lo realmente peligroso es que el usuario podría ingresar a estos sitios desde el mismo buscador y ser infectado, si no cuenta con la protección adecuada.

Por eso, es fundamental no abrir nada que no se haya solicitado y prestar especial atención a las URL de las búsquedas que se realizan, así como también desconfiar de los servicios a los que no se está suscripto.

Cristian

Vota primero

• La Wikipedia utilizada para propagar malware
• Homero Simpson propaga un troyano
• Falsos correos de FedEx

Categorias: Alertas, Educación, Ingeniería Social, Malware, Spam
8 Comentarios »

En las últimas horas hemos detectado una tasa muy alta de propagación de spam que apuntan a infectar al usuario con el troyano downloader que ESET NOD32 identifica como Win32/TrojanDownloader.FakeAlert.DJ.

El correo recibido tiene el mismo aspecto que en el caso de las famosas desnudas y el de Angelina Jolie, pero se anuncia la supuesta nueva versión de Internet Explorer 7.0:

Lo curioso de este caso es que el troyano (archivo video.avi.exe) descarga el instalador del rogue Antivirus XP 2008 que ESET NOD32 detecta como Win32/TrojanDownloader.FakeAlert.FF y del cual acabamos de publicar el artículo Rogue: falsos antivirus gratis, con todas las actividades que realiza el mismo:

Además, en estas últimas horas los creadores de este rogue han creado decenas de sitios en donde alojan el instalador del falso antivirus. Los dominios son combinaciones de las palabras “antivirus”, “XP”, “free” y “2008″ ya sea .com ó .net y desde los cuales los usuarios resultarán infectados.

Para finalizar hemos publicado un nuevo Video Educativo sobre las actividades mencionadas anteriormente y sobre como debería actuar el usuario para evitar ser infectado.

Espero disfruten del artículo y del video y que los mismos sean de utilidad para terminar con esta pesadilla que promete ser gratis y termina saliendo muy cara para la seguridad del usuario.

Actualización 11/08/2008: acabamos de publicar la forma de eliminar Antivirus XP 2008.

Cristian

Promedio: 2.5

• Eliminar Antivirus XP 2008
• Falsas actualizaciones de Windows XP y Vista
• Serial para Antivirus XP 2008

Categorias: Alertas, Educación, Informes, Malware, Multimedia
11 Comentarios »

Al igual que sucedió con Hi5, FaceBook, Myspace, Orkut, y Unicef, ahora le llego el turno de difundir malware al popular sistema de microblogging, Twitter.

Para hacerlo los creadores de malware se valen de la creación de un perfil falso de una cantante muy conocida y a través del mismo intentan que usuarios desprevenidos descarguen un troyano bancario:

Si bien la metodología es la misma y cualquier usuario bien educado en temas de seguridad (y que lea este Blog) no caería en la trampa, el grupo brasileño que está detrás de este engaño vio la oportunidad de nuevas estafas y las está llevando a cabo.

Si el usuario hace clic en el enlace, terminará descargando, desde un sitio de hosting gratuito, el troyano que ESET NOD32 detecta como Win32/TrojanDownloader.Banload.OAR:

Lo curioso de este caso es que si el usuario ejecuta el archivo, el malware abrirá YouTube con un video erótico de la cantante mencionada anteriormente:

Mientras el usuario visualiza el video se descargan dos troyanos bancarios al equipo del usuario. Uno de ellos se descarga desde http://[eliminado].kit.net/process.jpg y es detectado por ESET NOD32 como Win32/Spy.Banker.PAH. El otro es se descarga desde http://[eliminado].kit.net/orkut.jpg y es detectado como Win32/Spy.Banker.PAG. Una vez descargados los archivos son renombrados a .exe y ejecutados para robar información bancaria del usuario.

Como puede verse el precio a pagar por el video es muy caro. ¡Ud. elige!

Cristian

Vota primero

• SpReSo: SPam en REdes SOciales
• Reporte de amenazas de Agosto
• Perfiles falsos de spaces.live.com

Categorias: Alertas, Malware
1 Comentario »

En el día de la fecha hemos recibido gran cantidad de spam con supuestos videos de CNN, pero que en realidad apuntan a sitios con malware, de la misma forma que las famosas desnudas y tantos otros ejemplos citados aquí permanentemente.

En este caso el correo es un poco más elaborado que anteriormente, pero la idea y la metodología sigue siendo la misma: engañar al usuario para que el mismo haga clic y poder infectarlo a través de Drive-by-Download:

Como puede verse el primer enlace realmente conduce a CNN, pero el supuesto Top 10 en realidad conduce a sitios desde los cuales se descargará el archivo get_flash_update.exe que ESET NOD32 detecta por heurística como variante de Win32/Agent.ETH.

Al ingresar al sitio puede verse la típica pantalla informando de la falta de un codec para visualizar archivos de video:

Más allá de lo “bien logrado del diseño”, no hay que olvidar que esto se trata de un engaño que descarga un archivo dañino y por eso lo mejor es no ingresar al sitio propuesto en el correo electrónico.

Cristian

Vota primero

• Videos de ESET Latinoamérica
• Listado de programas de seguridad falsos II
• Listado de programas de seguridad falsos

Categorias: Alertas, Malware
Dejar un comentario »

En el día de la fecha hemos recibido diversas denuncias de un caso de Phishing a Banamex, el cual se encuentra alojado en un servidor al cual se accede a través de una dirección IP y a través de un correo con el asunto “Perdoname bebe luego te marko =/”.

Por supuesto el sitio web falso luce como el original pero su URL no coincide:

En el caso que Ud. encuentre algún tipo de sitios del cual sospecha, le sugerimos denunciarlos como Phishing.

Cristian

Vota primero

• Phishing en México
• Nuevo ataque de phishing a Banamex
• Phishing sin respiro

Categorias: Alertas, Phishing
Dejar un comentario »

Desde hace unos días, desde la aparición de los supuestos correos de UPS han aparecido una gran cantidad de variantes de correos con supuestos tickets de diferentes tipo de servicios, en los cuales se menciona que hemos obtenido algún beneficio o descuento.

Para obtener dicho beneficio, “sólo” debemos abrir el archivo adjunto ofrecido:

Como puede verse, para hacer más creíble el engaño, se nos ofrece un supuesto usuario (que coincide con la cuenta de correo), una contraseña y el dinero que supuestamente se nos acreditaría siguiendo las instrucciones del archivo adjunto.

Dicho archivo por supuesto es un malware que ESET NOD32 detecta como Win32/Spy.Agent.PZ.

Cristian

Vota primero

• Falsos correos de FedEx
• Tickets para obtener servicios gratis
• Reporte de amenazas de Julio

Categorias: Alertas, Malware
Dejar un comentario »

En las últimas horas nuestro Laboratorio ha encontrado archivos MP3 (sí, no leyó mal) que se están utilizando para descargar malware desde distintos servidores.

Los archivo MP3 son modificados especialmente para permitir que cuando el archivo es reproducido con el reproductor Windows Media Player, descargue un troyano Downloader que ESET NOD32 detecta como Win32/TrojanDownloader.Small.OCY. Para realizar esta acción se vale de distintas funciones propias del reproductor de Windows, por lo que este mecanismo no funciona en otros reproductores de sonido.

Al abrir el archivo MP3, se comienza a reproducir normalmente, pero luego de unos segundos, se nos informa de la descarga automática de un archivo ejecutable que en este caso es un troyano:

Si se observa el tráfico de red podrá verse la conexión a servidores relacionados históricamente con adware y spyware muy populares, además de la descarga del troyano que se ve en esta imagen:

Si se descarga y ejecuta este supuesto codec, resultaremos infectados con el troyano downloader mencionado que procederá, a su vez, a descargar otros archivos dañinos al equipo.

En nuestro caso, ESET NOD32 también detecta los archivos MP3 modificados como WMA/TrojanDownloader.GetCodec.D. Esto evita la propagación de cualquier tipo de amenaza futura que aproveche esta técnica para propagar otros malware similares.

Archivos PDF, SWF, XPI, MP3… ¿Qué más necesitamos para darnos cuenta de que el malware está en todas partes?

Cristian

Promedio: 3

• Spam en archivos comprimidos
• Video sobre infección de archivos MP3
• Archivos Flash descargan malware

Categorias: Alertas, Malware
8 Comentarios »

En las últimas horas, nuestro Laboratorio ha descubierto la diseminación de un código malicioso que como argumento simula provenir de la prestigiosa cadena de noticias BBC News, pero en realidad sus enlaces conducen a sitios web vulnerados de Latinoamérica.

En esta oportunidad, y como es costumbre en el malware actual, la amenaza intenta llegar hasta los usuarios a través de un correo spam cuyo argumento engañoso se basa en que el mismo permite, supuestamente, visualizar videos gratuitos de diferentes celebridades.

Además de simular provenir desde la BBC News, en el cuerpo del mensaje también podemos leer que involucra a la empresa Microsoft. Como de costumbre esta amenaza es detectada y bloqueada por ESET NOD32 a través de su motor de Heurística Avanzada.

Jorge

Vota primero

• Top 10 de videos (falsos) de CNN
• Entrevista a los creadores de MPack
• Falso correo con la captura de Bin Laden

Categorias: Alertas, Malware, Spam
1 Comentario »

En estos momentos está siendo propagado un correo que simula provenir de diversos medios de comunicación (como CNN), con la noticia de la captura de Osama bin Laden y con un supuesto video del ejército norteamericano:

Para quienes nos siguen es fácil adivinar que se trata de un nuevo ataque del gusano que ESET NOD32 detecta por heurística como Nuwar:

Como se sabe, los autores de Nuwar aprovechan cualquier tipo de excusa para propagar sus creaciones pero gracias a la detección proactiva de ESET, nuestros usuarios siempre están protegidos.

Cristian

Vota primero

• Las mentiras de Nuwar
• Top 10 de videos (falsos) de CNN
• Reporte de amenazas de Julio

Categorias: Alertas, Malware
1 Comentario »