Muchas veces somos sorprendidos en la web con noticias de último momento, en su mayoría falsas, que atraen miles y miles de curiosos para poder propagar un determinado tipo de malware. Esta vez, sin embargo, no será necesario. El próximo viernes 29, se llevará a cabo la boda que celebrará el príncipe William de Gales con su futura esposa, Kate Middleton y, debido a eso, ya se han disparado las búsquedas en Internet de personas deseosas de información, o posibles transmisiones en vivo, de la boda en cuestión. Gracias a esa tendencia, los atacantes están aprovechando esta oportunidad para difundir sus amenazas.

Para poder lograrlo, hacen uso del BlackHat SEO, técnica que, con diversas metodologías, optimiza las búsquedas de páginas maliciosas a través de etiquetas ocultas que son indexadas por el navegador posicionándolas en forma prioritaria en la lista de resultados. A continuación se muestran los resultados de una búsqueda realizada sobre esta temática:

Como podemos apreciar, muchos de los sitios que arroja la búsqueda no parecen ser muy conocidos. En este caso en particular, elegimos uno de ellos y decidimos analizarlo. Al ingresar a la página, nos encontramos con una advertencia que indica que nuestro sistema requiere un chequeo antivirus, ya que, se encontraron señales de presencia de códigos maliciosos. En el mismo cuadro de diálogo se ofrece la posibilidad de realizarlo inmediatamente:

Una vez aceptado, se inicia el escaneo que informará la existencia de archivos infectados en el sistema. En el caso del ejemplo, se encontraron diversas amenazas, en total 35, entre gusanos y troyanos. Para resolverlo, se ofrece la descarga del archivo SecurityScanner.exe:

Evidentemente, este es un software antivirus inexistente y forma parte de una estafa para engañar a los usuarios a través de Ingeniería Social e infectar el sistema verdaderamente. Se trata de un caso más de rogue, y el archivo en cuestión, ya es detectado por ESET NOD32 como Win32/Adware.XPAntiSpyware.AB.

En conclusión, el viernes 29, les recomendamos no privarse de las noticias, solamente un poco de precaución, para que el casamiento del príncipe británico no sea una mala experiencia.

Raphael Labaca Castro
Awareness & Research Specialist

Categories: Black Hat SEO, Malware
1 Comment »

Un nuevo Podcast de ESET Latinoamérica, en esta oportunidad para hablar sobre Black Hat SEO:

Clip de audio: Es necesario tener Adobe Flash Player (versión 9 o superior) para reproducir este clip de audio. Descargue la versión más reciente aquí. También necesita tener activado Javascript en su navegador.

¿Te quedaron dudas? Dejanos tu comentario y te contestamos para seguir hablando del tema…

Categories: Black Hat SEO
10 Comments »

Al escuchar la terrible noticia del pasado lunes sobre un nuevo terremoto, esta vez en Nueva Zelanda, sentí avecinarse dos grandes problemas. El primero, por supuesto, relacionado con la propia tragedia y los efectos secundarios que suelen traer aparejados estas catástrofes naturales, y el segundo, que los atacantes disponen de una nueva combinación de palabras para desarrollar ataques del tipo Black Hat SEO.

Recordemos que el Black Hat SEO es una técnica que implica la contaminación de los resultados que arrojan los buscadores de Internet, para motivar a los usuarios a visitar sitios que contienen alguna clase de código malicioso en sus páginas, o bien directamente permitir la descarga de malware. Esta técnica suele utilizarse en momentos en los que es sabido que la gente realizará determinadas búsquedas, como por ejemplo un mundial de fútbol, la entrega de los premios Oscar, el fallecimiento de algún famoso, o hasta catástrofes naturales. Durante el período de mayor vigencia de estas noticias de alcance e interés internacional, los atacantes posicionan sitios web, muchas veces con contenido real, pero que suelen llevar al usuario a la descarga de malware en algún momento de la navegación. Lo sofisticado de esa técnica radica en que no es el atacante quien busca a la víctima de manera directa, sino la víctima quien busca al sitio web del atacante sin saber si su contenido es malicioso o no.

Si bien este tema lo hemos tratado en innumerables ocasiones, cuando ocurre algún evento de este tipo se producen las condiciones propicias para que evolucione un ataque Black Hat SEO. De hecho en los podcasts de nuestro Centro de Amenazas tenemos uno dedicado exclusivamente a la técnica de Black Hat SEO, donde explicamos mas detalles al respecto.

Esta misma clase de problemas fueron los que ocurrieron cuando se desató el último terremoto de Haití, el terremoto en Chile, el rescate de los mineros chilenos, el pasado mundial de fútbol, los juegos olímpicos, el volcán de Islandia, y otros eventos de gran movimiento mundial.

Cuando hablamos de Black Hat SEO, una pregunta que suele surgir es cómo hacer para darse cuenta de que un resultado de búsqueda es un sitio malicioso o no. Esto es técnicamente complicado de saber para un usuario poco experimentado, por lo que se recomienda en principio contar con software de protección Antivirus para reducir al máximo las posibilidades de infección en caso de haber llegado a un sitio infectado. Por otro lado, debemos ser conscientes al momento de buscar información, teniendo en cuenta que muchos navegadores y buscadores catalogan algunos sitios como peligrosos, por lo que tener en cuenta esta clasificación podría ahorrarnos dolores de cabeza.

Como siempre decimos, una herramienta tecnológica y una buena concientización, son la combinación que permite obtener resultados eficientes en materia de seguridad de la información, y en casos como el de Black Hat SEO esta estrategia es claramente la más adecuada.

Federico Pacheco
Education & Research Manager

Categories: Black Hat SEO
4 Comments »

Es notable la repercusión que ha tenido el fenómeno Wikileaks. No solo por la masividad que alcanzó el tema, sino también por el revuelo que se generó en Internet a causa del mismo.

Para quienes aún no lo saben, Wikileaks es un sitio periodístico que se caracterizó por publicar cables privados, en su mayoría, pertenecientes al gobierno de los Estados Unidos. Su fundador, Julian Assange, se entregó a las autoridades británicas el 7 de diciembre luego de que se lo acusara de delitos sexuales en Suecia.

Previo a su entrega, Assange, se encontraba recolectando fondos a través de donaciones realizadas por sus seguidores para así poder pagar la fianza por los cargos que enfrentaría. Lo particular de todo esto fue que el banco sueco PostFinance, donde Assange poseía sus fondos, cerró su cuenta alegando que este último se encontraba involucrado en actividades ilícitas. Esto desató el disgusto de muchos de los seguidores del popular sitios periodístico, entre ellos un grupo de usuarios de la comunidad 4Chan autodenominados “Anónimo”. Este grupo, entre otras cosas, se caracteriza por realizar ataques distribuidos de denegación de servicio contra sitios que representan la propiedad intelectual.

Dicho disgusto se convirtió en acción cuando este grupo coordinó un ataque contra el banco sueco, dejando el mismo inutilizado durante el tiempo que duró el ataque. Este accionar se vio repetido posteriormente contra entidades financieras muy importantes como son Visa, Mastercard y PayPal. Estas últimas fueron blanco de ataques debido a que tomaron acciones contra las cuentas de Assange.

Aquí es cuando cerramos un poco el resumen del suceso para pasa a explicar y clarificar ciertos temas que puede que no se encuentren muy claros. La denegación de servicio realizada por este grupo no utiliza principalmente, como normalmente se suele observar, botnets para realizar el ataque, sino que apelan a los usuarios que apoyan su causa (o en este caso la de Wikileaks) para obtener recursos de ataque. Para esto se le indica a cada usuario que descargue un determinado software y especifique un canal de IRC (Internet Relay Chat) desde el cual de descargan los blancos que actualmente se encuentran atacando. Esto entra dentro de la categoría de hacktivismo, un termino que surge de la unión de las palabras hacking y activismo, actividad que puede ser considerada ilegal dependiendo de las leyes y regulaciones de cada país.

Fuera de lo ético o moral de la participación en esta actividad, existe un peligro considerable para los usuarios, ya que, considerando que se trata de una actividad masiva e internacional, podría ser aprovechado por usuarios maliciosos para distribuir una versión infectada del software, logrando así infecciones masivas.

Adicionalmente, los ataque en cuestión trajeron aparejados problemas de disponibilidad de servicios financieros críticos para millones de usuarios alrededor del mundo, generando incalculables perdidas. No obstante, la falsa inseguridad que esto generó en muchos usuarios para con dichas entidades financieras no es real, ya que no existió un acceso ilícito a sus sistemas ni nada similar, solo se saturó la capacidad del servidor web para procesar y tolerar repetidos accesos al sitio. Esto no solo significa que los datos de los clientes nunca fueron vulnerados, sino también que cualquier sitio, por mas grande que sea, tiene un determinada tolerancia a repetidos accesos simultáneos.

Otro problema que surge como consecuencia del gran impacto de la noticia es la desinformación que se produce en los usuarios, al disponer de demasiada información, y muchas veces, muy variada. Esta confusión mezclada con la popularidad del tema genera que exista una distribución indiscriminada de links facilitándole así el terreno a desarrolladores de malware que buscan filtrar sus amenazas, ya sea mediante distintas redes sociales como la utilización de Black Hat SEO en los buscadores.

En anteriores oportunidades hablamos sobre como este tipo de ataques comunitarios se volverían una tendencia, por lo que considerando que la misma fue acertada nos animamos a decir que surgirán otras a raíz de todo esto. Principalmente esto servirá como un gran impulso para aquellos dueños de grandes botnets que alquilan su utilización a cambio de determinadas sumas de dinero, alimentado así la industria del malware.

Fuera del malgasto de ancho de banda que surge a raíz de todo esto, también existe una lucha constante por dar de baja o alta determinados sitios, generando varios conflictos dentro de los servidores DNS mundiales.

Como reflexión final nos gustaría advertir a los usuarios para que sean precavidos al momento de buscar información y seguir links, ya que, como es de esperar, existen muchos que buscan aprovecharse del caos.

Joaquín Rodríguez Varela
Malware Lab Engineer

Categories: Alertas, Black Hat SEO, Informes
6 Comments »

Cómo mencionamos en ocasiones anteriores el 31 de octubre se celebrará la Halloween (en español, Noche de Brujas), en Estados Unidos y otras partes del mundo,  junto con ella volvemos a mencionar que debemos estar atentos ante posibles amenazas que suelen aparecer durante este tipo de fechas conocidas por todos.

Esto ocurre normalmente mediante el uso de técnicas de Ingeniería Social o Black Hat SEO para propagar malware o spam y se está detectando durante los últimos días como una tendencia en la web.

A medida que se acerca esta conocida fecha fueron apareciendo páginas infectadas que derivaban en enlaces de descarga de falsos antivirus o se encontraban infectadas con códigos maliciosos. Basándose en el uso de técnicas de Black Hat SEO para posicionar dichas páginas entre los resultados de las búsquedas de diversos buscadores (especialmente Google) con el fin de que una gran cantidad de usuarios ingresaran y sean infectados.

Como era de esperarse las redes sociales tampoco iban a quedar fuera de este hecho, es por ello que al ingresar a cualquier tipo de aplicación para enviar tarjetas a nuestros amigos, es importante prestar atención a los permisos que estas aplicaciones solicitan, con el fin de no recibir toneladas de correo electrónico no deseado. A modo de ejemplo, en la siguiente captura vemos como una simple aplicación solicita permisos para enviarnos correos desde una dirección anónima. Simplemente accediendo a esta solicitud que podríamos generar toneladas de correo electrónico no deseado en nuestra casilla:

Analizando en detalle los permisos vemos que la aplicación nos pide más allá de poder enviarnos datos a nuestra casilla de correos, acceder a datos personales, contactos, fotos y mucho más. Otro dato que nos pareció importante remarcar es el acceso para publicar datos en nuestro muro, un posible método de propagación si las intenciones de la aplicación no fuesen benignas para el usuario.

En estas fechas todos podemos ser víctimas de estos tipos de ataque, por ello normalmente remarcamos la importancia mantener el equipo constantemente protegido mediante la instalación de una solución antimalware como ESET NOD32, y la educación y concientización del usuario para prevenir ataques de Ingeniería Social. Más allá de esto aconsejamos a los usuarios mantenerse actualizados acerca de las nuevas amenazas, como también aconsejar que no se ingrese a sitios web mediante enlaces dudosos.

Pablo Ramos
Especialista de Awareness & Research

Categories: Alertas, Black Hat SEO
1 Comment »