ESET Latinoamérica - Laboratorio

Archivo para la Categoria 'Alertas'

Supuesto video de TIM Brasil propaga malware

Agosto 13, 2008 6:41 pm

En las últimas horas una gran cantidad de correos en portugués que simulan provenir de TIM Brasil han sido detectado por nuestro Laboratorio:

Mail de TIM Brasil

En el correo se invita al usuario a ver un video en el sitio de la empresa mencionada. Por supuesto, el dominio al que se ingresa no es el de TIM sino uno creado con el fin de difundir malware. Si el usuario desprevenido ingresa al sitio web falso, verá una página de TIM simulando ser la original, se descargará un archivo llamado Msg_Vitual_1909354415648758.cpl y se ejecutará el reproductor de Windows Media para simular el video y que el usuario no se percate de la descarga del malware.

Ese archivo en realidad es un troyano que ESET NOD32 detecta como Win32/TrojanDownloader.Banload.OAZ, se copia en el sistema con el nombre win.exe y se comunica a un FTP de Brasil ki[eliminado].net ([eliminado].7.184.42) para descargar otros archivos dañinos encargados de robar contraseñas.

Si se ingresa al FTP mencionado pueden verse una gran cantidad de archivos .mod y .cpl que en realidad son troyanos, gusanos, rootkits y passwords stealer que el creador del malware utiliza en esta campaña de difusión:

FTP

Como podemos ver esta persona cuenta con variados y múltiples alternativas para infectarnos y por eso hay que estar prevenidos y no confiar en los correos de personas desconocidas y mucho menos, si tienen un enlace.

Cristian

1 Voto2 Votos3 Votos4 Votos5 Votos Promedio: 5
Agregar a del.icio.us Agregar a Digg Agregar a Technorati Agregar a Furl Agregar a Meneame

CNN como pretexto para propagar malware

Agosto 8, 2008 6:00 pm

Creo que ya no es noticia para nadie que desde hace un par de semanas se está aprovechando a CNN como excusa para propagar malware y que comenzó con la campaña de los videos de famosas desnudas (y no sólo Angelina Jolie).

Por eso en este caso analizaré las técnicas que se están empleando para hacer esta campaña que tiene como objetivo que el usuario descargue el troyano Win32/Agent.ETH que luego descarga el rogue Antivirus XP 2008 que ESET NOD32 detecta a través de su Heurística Avanzada como variante de Win32/TrojanDownloader.FakeAlert.FT y que es objeto de estudio nuestro artículo Rogue: falsos antivirus gratis.

Para propagarse, en el primer caso se envía spam con supuestas noticias y texto llamativos para que el usuario se vea tentado de hacer clic.

Estos correos utilizan una técnica básica de Ingeniería Social y generalmente incluyen logos de algún medio de comunicación (como CNN ó BBC) para lograr mayor impacto y credibilidad. En los últimos casos analizados también se insertan enlaces a noticias reales con el mismo fin. En este ejemplo, se puede ver un supuesto servicio llamado “CNN Alerts” para lograr el efecto deseado:

CNN Alert

Cabe mencionar que CNN dispone de este servicio de información CNN E-Mails a través del correo electrónico, pero el usuario debe registrarse previamente para recibir las noticias. Es decir, que este tipo de engaño puede obtener mayor repercusión en usuarios registrados ya que los mismos podrían confundir el correo real con el falso.

Hasta aquí es noticia vieja, ya que es normal que el malware se propague por spam. Lo novedoso de esta campaña es que los creadores de malware también la están difundiendo por la web a través del servicio de Blog de Google:

CNN Alert

Como puede verse, la metodología es la misma y a la derecha se pegó la cantidad de posts publicados en ese blog durante su laaaaaaarga vida… desde 1979 año en que había alrededor de 3 computadoras conectadas en el mundo, las usaban los militares norteamericanos e Internet, como la conocemos hoy, aún no existía. Además, evidentemente esta persona conoce la forma de viajar al futuro, al Año 2013 específicamente.

Por supuesto, se trata de la creación masiva de posts en blogs creados automáticamente para engañar a los usuarios. Lo grave de este caso es que si se realiza una búsqueda en cualquier buscador, se pueden encontrar más de 8.000 sitios de este tipo:

CNN Alert

Lo realmente peligroso es que el usuario podría ingresar a estos sitios desde el mismo buscador y ser infectado, si no cuenta con la protección adecuada.

Por eso, es fundamental no abrir nada que no se haya solicitado y prestar especial atención a las URL de las búsquedas que se realizan, así como también desconfiar de los servicios a los que no se está suscripto.

Cristian

1 Voto2 Votos3 Votos4 Votos5 Votos Vota primero
Agregar a del.icio.us Agregar a Digg Agregar a Technorati Agregar a Furl Agregar a Meneame

Antivirus XP 2008, una pesadilla

5:59 pm

En las últimas horas hemos detectado una tasa muy alta de propagación de spam que apuntan a infectar al usuario con el troyano downloader que ESET NOD32 identifica como Win32/TrojanDownloader.FakeAlert.DJ.

El correo recibido tiene el mismo aspecto que en el caso de las famosas desnudas y el de Angelina Jolie, pero se anuncia la supuesta nueva versión de Internet Explorer 7.0:

Internet Explorer 7.0

Lo curioso de este caso es que el troyano (archivo video.avi.exe) descarga el instalador del rogue Antivirus XP 2008 que ESET NOD32 detecta como Win32/TrojanDownloader.FakeAlert.FF y del cual acabamos de publicar el artículo Rogue: falsos antivirus gratis, con todas las actividades que realiza el mismo:

Antivirus XP 2008

Además, en estas últimas horas los creadores de este rogue han creado decenas de sitios en donde alojan el instalador del falso antivirus. Los dominios son combinaciones de las palabras “antivirus”, “XP”, “free” y “2008″ ya sea .com ó .net y desde los cuales los usuarios resultarán infectados.

Para finalizar hemos publicado un nuevo Video Educativo sobre las actividades mencionadas anteriormente y sobre como debería actuar el usuario para evitar ser infectado.

Espero disfruten del artículo y del video y que los mismos sean de utilidad para terminar con esta pesadilla que promete ser gratis y termina saliendo muy cara para la seguridad del usuario.

Actualización 11/08/2008: acabamos de publicar la forma de eliminar Antivirus XP 2008.

Cristian

1 Voto2 Votos3 Votos4 Votos5 Votos Promedio: 2.5
Agregar a del.icio.us Agregar a Digg Agregar a Technorati Agregar a Furl Agregar a Meneame

Falsos perfiles en Twitter propagan malware

Agosto 6, 2008 6:12 pm

Al igual que sucedió con Hi5, FaceBook, Myspace, Orkut, y Unicef, ahora le llego el turno de difundir malware al popular sistema de microblogging, Twitter.

Para hacerlo los creadores de malware se valen de la creación de un perfil falso de una cantante muy conocida y a través del mismo intentan que usuarios desprevenidos descarguen un troyano bancario:

Video en Twitter

Si bien la metodología es la misma y cualquier usuario bien educado en temas de seguridad (y que lea este Blog) no caería en la trampa, el grupo brasileño que está detrás de este engaño vio la oportunidad de nuevas estafas y las está llevando a cabo.

Si el usuario hace clic en el enlace, terminará descargando, desde un sitio de hosting gratuito, el troyano que ESET NOD32 detecta como Win32/TrojanDownloader.Banload.OAR:

Video en Twitter

Lo curioso de este caso es que si el usuario ejecuta el archivo, el malware abrirá YouTube con un video erótico de la cantante mencionada anteriormente:

Video en Twitter

Mientras el usuario visualiza el video se descargan dos troyanos bancarios al equipo del usuario. Uno de ellos se descarga desde http://[eliminado].kit.net/process.jpg y es detectado por ESET NOD32 como Win32/Spy.Banker.PAH. El otro es se descarga desde http://[eliminado].kit.net/orkut.jpg y es detectado como Win32/Spy.Banker.PAG. Una vez descargados los archivos son renombrados a .exe y ejecutados para robar información bancaria del usuario.

Como puede verse el precio a pagar por el video es muy caro. ¡Ud. elige!

Cristian

1 Voto2 Votos3 Votos4 Votos5 Votos Vota primero
Agregar a del.icio.us Agregar a Digg Agregar a Technorati Agregar a Furl Agregar a Meneame

Top 10 de videos (falsos) de CNN

Agosto 5, 2008 4:54 pm

En el día de la fecha hemos recibido gran cantidad de spam con supuestos videos de CNN, pero que en realidad apuntan a sitios con malware, de la misma forma que las famosas desnudas y tantos otros ejemplos citados aquí permanentemente.

En este caso el correo es un poco más elaborado que anteriormente, pero la idea y la metodología sigue siendo la misma: engañar al usuario para que el mismo haga clic y poder infectarlo a través de Drive-by-Download:

Top 10 CNN

Como puede verse el primer enlace realmente conduce a CNN, pero el supuesto Top 10 en realidad conduce a sitios desde los cuales se descargará el archivo get_flash_update.exe que ESET NOD32 detecta por heurística como variante de Win32/Agent.ETH.

Al ingresar al sitio puede verse la típica pantalla informando de la falta de un codec para visualizar archivos de video:

Top 10 CNN

Más allá de lo “bien logrado del diseño”, no hay que olvidar que esto se trata de un engaño que descarga un archivo dañino y por eso lo mejor es no ingresar al sitio propuesto en el correo electrónico.

Cristian

1 Voto2 Votos3 Votos4 Votos5 Votos Vota primero
Agregar a del.icio.us Agregar a Digg Agregar a Technorati Agregar a Furl Agregar a Meneame

Phishing a Banamex

Julio 31, 2008 5:42 pm

En el día de la fecha hemos recibido diversas denuncias de un caso de Phishing a Banamex, el cual se encuentra alojado en un servidor al cual se accede a través de una dirección IP y a través de un correo con el asunto “Perdoname bebe luego te marko =/”.

Por supuesto el sitio web falso luce como el original pero su URL no coincide:

Phishing Banamex

En el caso que Ud. encuentre algún tipo de sitios del cual sospecha, le sugerimos denunciarlos como Phishing.

Cristian

1 Voto2 Votos3 Votos4 Votos5 Votos Vota primero
Agregar a del.icio.us Agregar a Digg Agregar a Technorati Agregar a Furl Agregar a Meneame

Falsos tickets utilizados para propagar malware

Julio 30, 2008 5:39 pm

Desde hace unos días, desde la aparición de los supuestos correos de UPS han aparecido una gran cantidad de variantes de correos con supuestos tickets de diferentes tipo de servicios, en los cuales se menciona que hemos obtenido algún beneficio o descuento.

Para obtener dicho beneficio, “sólo” debemos abrir el archivo adjunto ofrecido:

Correo con tickets

Como puede verse, para hacer más creíble el engaño, se nos ofrece un supuesto usuario (que coincide con la cuenta de correo), una contraseña y el dinero que supuestamente se nos acreditaría siguiendo las instrucciones del archivo adjunto.

Dicho archivo por supuesto es un malware que ESET NOD32 detecta como Win32/Spy.Agent.PZ.

Cristian

1 Voto2 Votos3 Votos4 Votos5 Votos Vota primero
Agregar a del.icio.us Agregar a Digg Agregar a Technorati Agregar a Furl Agregar a Meneame

Malware a través de archivos MP3

Julio 28, 2008 12:05 pm

En las últimas horas nuestro Laboratorio ha encontrado archivos MP3 (sí, no leyó mal) que se están utilizando para descargar malware desde distintos servidores.

Los archivo MP3 son modificados especialmente para permitir que cuando el archivo es reproducido con el reproductor Windows Media Player, descargue un troyano Downloader que ESET NOD32 detecta como Win32/TrojanDownloader.Small.OCY. Para realizar esta acción se vale de distintas funciones propias del reproductor de Windows, por lo que este mecanismo no funciona en otros reproductores de sonido.

Al abrir el archivo MP3, se comienza a reproducir normalmente, pero luego de unos segundos, se nos informa de la descarga automática de un archivo ejecutable que en este caso es un troyano:

Reproducción del archivo MP3

Si se observa el tráfico de red podrá verse la conexión a servidores relacionados históricamente con adware y spyware muy populares, además de la descarga del troyano que se ve en esta imagen:

Descarga del malware

Si se descarga y ejecuta este supuesto codec, resultaremos infectados con el troyano downloader mencionado que procederá, a su vez, a descargar otros archivos dañinos al equipo.

En nuestro caso, ESET NOD32 también detecta los archivos MP3 modificados como WMA/TrojanDownloader.GetCodec.D. Esto evita la propagación de cualquier tipo de amenaza futura que aproveche esta técnica para propagar otros malware similares.

Archivos PDF, SWF, XPI, MP3… ¿Qué más necesitamos para darnos cuenta de que el malware está en todas partes?

Cristian

1 Voto2 Votos3 Votos4 Votos5 Votos Promedio: 3
Agregar a del.icio.us Agregar a Digg Agregar a Technorati Agregar a Furl Agregar a Meneame

Propagación de malware que simula provenir de la BBC News

Julio 25, 2008 6:10 pm

En las últimas horas, nuestro Laboratorio ha descubierto la diseminación de un código malicioso que como argumento simula provenir de la prestigiosa cadena de noticias BBC News, pero en realidad sus enlaces conducen a sitios web vulnerados de Latinoamérica.

En esta oportunidad, y como es costumbre en el malware actual, la amenaza intenta llegar hasta los usuarios a través de un correo spam cuyo argumento engañoso se basa en que el mismo permite, supuestamente, visualizar videos gratuitos de diferentes celebridades.

Falso correo

Además de simular provenir desde la BBC News, en el cuerpo del mensaje también podemos leer que involucra a la empresa Microsoft. Como de costumbre esta amenaza es detectada y bloqueada por ESET NOD32 a través de su motor de Heurística Avanzada.

Jorge

1 Voto2 Votos3 Votos4 Votos5 Votos Vota primero
Agregar a del.icio.us Agregar a Digg Agregar a Technorati Agregar a Furl Agregar a Meneame

Falso correo con la captura de Bin Laden

Julio 22, 2008 10:08 am

En estos momentos está siendo propagado un correo que simula provenir de diversos medios de comunicación (como CNN), con la noticia de la captura de Osama bin Laden y con un supuesto video del ejército norteamericano:

Correo Bin Laden

Para quienes nos siguen es fácil adivinar que se trata de un nuevo ataque del gusano que ESET NOD32 detecta por heurística como Nuwar:

Video Bin Laden

Como se sabe, los autores de Nuwar aprovechan cualquier tipo de excusa para propagar sus creaciones pero gracias a la detección proactiva de ESET, nuestros usuarios siempre están protegidos.

Cristian

1 Voto2 Votos3 Votos4 Votos5 Votos Vota primero
Agregar a del.icio.us Agregar a Digg Agregar a Technorati Agregar a Furl Agregar a Meneame