Durantes las últimas semanas nuestro laboratorio ha recepcionado una importante cantidad de correos electrónicos no deseados que simulan provenir de una empresa dedicada al monitoreo de las actividades realizadas en sus redes a fin de detectar actividades ilícitas.

El spam en cuestión es como el que se observa en la siguiente captura:

La supuesta compañía se llama ICS Monitoring Team y a través del spam incita al usuario a descargar un supuesto informe sobre las actividades delictivas descubiertas durante los últimos seis meses.

Contrariamente a esta promesa, los usuarios que accedan descargarán un archivo comprimido en formato .zip que contiene un archivo ejecutable llamado user-EA49943X-activities.exe, un malware que ESET NOD32 Antivirus detecta bajo el nombre de Win32/Spy.Goldun.NDM, un troyano diseñado para robar información confidencial de acceso a servicios pagos como e-gold.

El robo de información confidencial es uno de los objetivos más buscados por los códigos maliciosos actuales y en consecuencia, debemos extremar las precauciones ante situaciones como la mencionada a través de buenas prácticas, entre otras: hacer caso omiso al correo no solicitado y mantener el programa antivirus actualizado.

Si desean obtener más información sobre otras formas de prevención, les recomiendo que recurran a nuestra Plataforma Educativa donde encontrarán cursos gratuitos, además de pasar por nuestros Videos Educativos.

Jorge

Promedio: 4.67

• Ahora, Nuwar se viste de antispyware
• Acciones inofensivas y el malware
• ESET SysInspector

Categorias: Ingeniería Social, Malware, Spam
Dejar un comentario »

Fueron varias las oportunidades en que hemos advertido sobre determinados códigos maliciosos que simulan, como parte de su estrategia de Ingeniería Social, ser alguna aplicación benigna y de utilidad para los usuarios.

Sin embargo, no siempre se puede confiar en las cosas que encontramos en Internet, sobre todo, las que se encuentran en sitios web de dudosa reputación, ya que de lo contrario, nos podemos confundir (caer en la trampa) y descargar algo como lo siguiente:

Este es un nuevo caso en donde el programa malicioso, intenta simular ser un conocido programa de compresión de archivos: WinRAR.

Pero contrariamente a lo que el usuario espera, al acceder a la descarga ofrecida, no se encontrará con el programa en cuestión sino que o hará con un código malicioso que ESET NOD32 detecta bajo el nombre de Win32/TrojanDownloader.FakeAlert.JI.

Siempre debemos verificar la fuente desde la cual realizamos las descargas, incorporando como un buen hábito, descargar lo que necesitemos desde los sitios web oficiales.

Mientras tanto, también los invito a ver los videos educativos preparados por nuestro laboratorio sobre casos de infección y sobre cómo prevenirlos.

Jorge

Promedio: 5

• Reporte de amenazas de Septiembre
• Extensiones de Firefox utilizadas para propagar malware
• Troyano en MySpace simula ser una actualización de Microsoft

Categorias: Ingeniería Social, Malware
2 Comentarios »

Luego del engaño sobre la supuesta promoción de la empresa Claro y los tickets para obtener servicios gratis, se suma un nuevo engaño. Esta vez, el turno es para la empresa Coca-Cola.

Hace unos días se está diseminando un spam cuya apariencia es como la que les mostramos en la siguiente captura:

Al igual que sucedió con el sitio web falso de Claro, en esta oportunidad se utiliza un método similar. Cuando el usuario hace clic sobre el enlace para descargar el supuesto formulario, es direccionado hacia una página desde donde se descargará un código malicioso.

Los creadores y diseminadores de malware depositan cada vez más esfuerzos en encontrar nuevas y más llamativos métodos de engaño, y esto lo podemos apreciar en cada uno de los post que publicamos.

Por lo tanto, como siempre decimos, es sumamente importante estar prevenido, atentos y confiar la seguridad antivirus a programas como ESET NOD32 que, a través de su Heurística Avanzada, lo mantendrá protegido en todo momento.

Jorge

Promedio: 3.8

• Reporte de amenazas de Septiembre
• Troyano en MySpace simula ser una actualización de Microsoft
• ¡Cuidado! Falsos ActiveX de Flash Player

Categorias: Ingeniería Social, Malware
2 Comentarios »

Sin lugar a dudas, desde su aparición durante el año 2004 el gusano Nuwar (también llamado Storm) supo ganarse la fama de insistente y, por qué no reconocerlo, bastante ingenioso en cuanto a sus metodologías de diseminación.

Sin embargo y a pesar de haber sido objeto de análisis por parte de nuestro Laboratorio y varios post escritos en nuestro Blog en varias oportunidades, me resultó interesante transcribirles algunos de los asuntos con los cuales suele aparece diariamente en nuestra casilla de correo electrónico.

Así que, aquí tienen unos pocos junto a sus traducciones:

• Boy eats fried rat, pictures
  (Niño come rata frita, fotos)
• Arnold says I’m gay too!
  (Arnold dice: yo también soy gay)
• Obama admits extra-marital affair
  (Obama admite romance extra matrimonial)
• Son Stabbed to Death, Mother Injured
  (Hijo muerto a puñaladas, madre herida)
• Iran Executes 29 Convicts in One Day
  (Iran ejecuta 29 condenados en un día)
• Madonna admits Timberlake affair
  (Madonna admite romance con Timberlake)
• Spam King murder
  (Rey del spam asesinado)

Algunos más divertidos que otros, pero todos, absolutamente todos, muy peligrosos y también, absolutamente todos, detectados por ESET NOD32.

Es interesante mencionar que los creadores de Nuwar, también se encargan de propagar, utilizando los mismos métodos, un troyano downloader que ESET NOD32 identifica bajo el nombre de Win32/Agent.ETH.

Jorge

Promedio: 5

• Nuwar ¿qué haremos contigo?
• Tormenta de juegos
• Nuwar, round 2

Categorias: Curiosidades, Educación, Ingeniería Social, Malware
1 Comentario »

Como medida preventiva siempre es muy importante la implementación, además de un antivirus como ESET NOD32, de un firewall que permita controlar el flujo de datos de entrada y de salida en nuestro sistema.

Pero, como siempre aconsejamos, al momento de la instalación, es necesario evaluar qué producto se adapta mejor a nuestras necesidades, ya que los esfuerzos en idear nuevas estrategias de engaño están a la orden del día en la agenda de los delincuentes informáticos.

Un ejemplo de ello es lo que les muestro en la siguiente captura donde se promociona la descarga de un falso firewall:

Se trata de lo que se conoce bajo el término de rogue. En este caso, el falso firewall invita a crear una cuenta en donde se debe especificar la dirección de correo para luego pedir información relacionada a nuestra tarjeta de crédito.

Para saber más acerca del malware tipo rogue, pueden leer el artículo llamado Rogue: falsos antivirus gratis y ver el video educativo que explica de qué manera tomar medidas preventivas.

Claro está que quién complete el formulario con la información de la tarjeta, no va recibir nada positivo a cambio.

Así que, si desean instalar un firewall, sería recomendable que puedan probar ESET Smart Security para, además de contar con las ventajas de ESET NOD32 como antivirus, cuenten con un Firewall y un antispam en un solo motor.

Jorge

Promedio: 4.8

• La mejor forma de protección es la prevención (I)
• Reporte de amenazas de Septiembre
• ¿Centro de seguridad de Windows malicioso?

Categorias: Ingeniería Social, Malware
Dejar un comentario »

Creo que ya no es noticia para nadie que desde hace un par de semanas se está aprovechando a CNN como excusa para propagar malware y que comenzó con la campaña de los videos de famosas desnudas (y no sólo Angelina Jolie).

Por eso en este caso analizaré las técnicas que se están empleando para hacer esta campaña que tiene como objetivo que el usuario descargue el troyano Win32/Agent.ETH que luego descarga el rogue Antivirus XP 2008 que ESET NOD32 detecta a través de su Heurística Avanzada como variante de Win32/TrojanDownloader.FakeAlert.FT y que es objeto de estudio nuestro artículo Rogue: falsos antivirus gratis.

Para propagarse, en el primer caso se envía spam con supuestas noticias y texto llamativos para que el usuario se vea tentado de hacer clic.

Estos correos utilizan una técnica básica de Ingeniería Social y generalmente incluyen logos de algún medio de comunicación (como CNN ó BBC) para lograr mayor impacto y credibilidad. En los últimos casos analizados también se insertan enlaces a noticias reales con el mismo fin. En este ejemplo, se puede ver un supuesto servicio llamado “CNN Alerts” para lograr el efecto deseado:

Cabe mencionar que CNN dispone de este servicio de información CNN E-Mails a través del correo electrónico, pero el usuario debe registrarse previamente para recibir las noticias. Es decir, que este tipo de engaño puede obtener mayor repercusión en usuarios registrados ya que los mismos podrían confundir el correo real con el falso.

Hasta aquí es noticia vieja, ya que es normal que el malware se propague por spam. Lo novedoso de esta campaña es que los creadores de malware también la están difundiendo por la web a través del servicio de Blog de Google:

Como puede verse, la metodología es la misma y a la derecha se pegó la cantidad de posts publicados en ese blog durante su laaaaaaarga vida… desde 1979 año en que había alrededor de 3 computadoras conectadas en el mundo, las usaban los militares norteamericanos e Internet, como la conocemos hoy, aún no existía. Además, evidentemente esta persona conoce la forma de viajar al futuro, al Año 2013 específicamente.

Por supuesto, se trata de la creación masiva de posts en blogs creados automáticamente para engañar a los usuarios. Lo grave de este caso es que si se realiza una búsqueda en cualquier buscador, se pueden encontrar más de 8.000 sitios de este tipo:

Lo realmente peligroso es que el usuario podría ingresar a estos sitios desde el mismo buscador y ser infectado, si no cuenta con la protección adecuada.

Por eso, es fundamental no abrir nada que no se haya solicitado y prestar especial atención a las URL de las búsquedas que se realizan, así como también desconfiar de los servicios a los que no se está suscripto.

Cristian

Vota primero

• La Wikipedia utilizada para propagar malware
• Homero Simpson propaga un troyano
• Falsos correos de FedEx

Categorias: Alertas, Educación, Ingeniería Social, Malware, Spam
8 Comentarios »

Cuando informamos de los correos falsos de famosas desnudas no nos imaginamos que, 10 días después, esta técnica tan arcaica fuera el motivo de un importante porcentaje del malware propagado diariamente.

Según informa Websense, actualmente los correos que mencionan a Angelina Jolie alcanzan los millones diarios (alrededor de 150 mil por hora) y se calcula que el 4% del total del emails entrantes pertenecen a este tipo de correos, con enlaces maliciosos (archivo video-nude-anjelia.avi.exe) a más de 100 nuevos sitios comprometidos diariamente .

Más allá que ESET NOD32 nos proteja de esta amenaza, en estos casos el sentido común es el mejor de nuestros aliados.

Cristian

Promedio: 5

• Muchas famosas y mucho malware
• Como envía spam Angelina
• Antivirus XP 2008, una pesadilla

Categorias: Ingeniería Social, Malware
Dejar un comentario »

Según se informa en diversos medios se está aprovechando una dirección registrada por Homero Simpson para propagar malware. ¿Cómo?

En realidad sucede que en un capítulo de la temporada 14 de Los Simpsons, Homero registra su dirección de correo electrónico en AOL. Esta dirección fue registrada efectivamente por los productores de la conocida serie y los fanáticos por supuesto lo agregaron como contacto en su mensajero AIM. Incluso las consultas registradas fueron respondidas por algún tiempo por los productores.

Actualmente, ese “contacto” está siendo utilizado como anzuelo para propagar un conocido troyano a través del mensajero y con un enlace que apunta a un sitio de descargas gratuito al archivo kimya.exe:

Como puede verse, el troyano es detectado por ESET NOD32 como Turkojan, un programa cliente/servidor tipo RAT (Remote Administration Tool) que permite el control remoto del usuario infectado.

Esto demuestra el ingenio que tienen los creadores de malware al propagar sus creaciones.

Cristian

Vota primero

• Tickets para obtener servicios gratis
• Supuesto video de TIM Brasil propaga malware (II)
• Troyano en MySpace simula ser una actualización de Microsoft

Categorias: Curiosidades, Ingeniería Social, Malware
5 Comentarios »

En las últimas horas hemos hallado un nuevo engaño por parte de un falso programa antivirus que intenta aprovechar el nombre de un conocido sitio web.

En esta oportunidad, la dirección web de este malware tipo rogue, es muy similar a la del sitio web stopbadware.org, un proyecto dirigido por Google destinado al bloqueo de sitios web con contenido malicioso.

Si bien este tipo de técnicas no son novedosas, cada vez son más aprovechadas por personas malintencionadas para propagar malware, donde páginas de este estilo son utilizadas a modo de “carnada” para crear en el usuario sensación de confianza pero luego son redireccionados hacia el portal del producto malicioso.

Afortunadamente para nuestros usuarios, ESET NOD32 bloquea el acceso al sitio web malicioso previniéndo que el usuario sea víctima de su accionar.

En consecuencia, es de vital importancia que estemos muy atentos al navegar por Internet ya que son muchas las amenazas a las que estamos expuestos y son muchas las maniobras empleadas para intentar engañarnos con la intención de obtener algún beneficio personal.

Jorge

Vota primero

Categorias: Ingeniería Social, Malware
Dejar un comentario »

Hace un tiempo, nuestro laboratorio alertaba sobre la propagación de una falsa actualización en Flash Player, y en los últimos días hemos encontrado un número importante de páginas que despliegan una pequeña ventana simulando ser un error en el objeto ActiveX de Flash.

Al momento de ingresar al sitio web malicioso, el usuario visualiza una ventana pop-up, como la que se observa en la imagen, mostrando un supuesto error de ActiveX con la leyenda “FlashActiveX Object Error:” requiriendo, en consecuencia, la instalación de la falsa nueva versión de Macromedia Flash Flayer.

El usuario desprevenido que acceda al sitio descargará un archivo llamado MediaTubeCodec_ver1.376.0.exe que infectará su computadora con un troyano del tipo downloader.

Lamentablemente para sus creadores, los usuarios que utilicen ESET NOD32 pueden quedarse tranquilos, ya que esta amenaza es bloqueada y detectada bajo el nombre de Win32/TrojanDownloader.Zlob.CBT.

Jorge

Vota primero

• Archivos Flash en peligro
• Archivos Flash en peligro (actualización)
• Falsa actualización crítica de Flash Player

Categorias: Ingeniería Social, Malware
Dejar un comentario »