Como hemos explicado anteriormente, los ataques de malware pueden ser realizados a través de muchos medios, como por ejemplo por medio de correos electrónicos o las redes sociales. Esto lo hacen los creadores de códigos maliciosos para poder afectar a la mayor cantidad de víctimas posibles.

Uno de los medios por los cuales se propagan las amenazas son los programas de mensajería instantánea, como por ejemplo: Yahoo! Messenger. A través del uso de técnicas de Ingeniería Social se utiliza este mensajero para propagar una página de suscripción a servicios de mensajes Premium para dispositivos móviles.

El atacante envía a través de un mensaje privado un enlace para compartir su cámara web, indicando que únicamente estará disponible por los próximos 5 minutos, incitando así a la víctima a hacer clic en el enlace enviado y caer en la trampa del cibercriminal:

Cabe remarcar que el mensaje se encuentra en un idioma distinto al español, junto con el desconocimiento del correo electrónico, es el primer punto en el cual se deberá desconfiar y por lo tanto descartar automáticamente el mensaje o correo electrónico según corresponda el ataque.

Al hacer clic en el enlace enviado, se podrá observar que la víctima será redirigida a distintos sitios, saltando por distintas direcciones para finalmente llegar a la siguiente imagen:

En esta imagen se podrá observar que la víctima ha sido redirigida a un sitio web en el cual debe ingresar su número de teléfono celular y la compañía que utiliza para poder seguir avanzando y finalmente poder contactar, vía cámara web, a esta persona que le habló inicialmente por el chat.

Al ingresar sus datos no podrá apreciar a este supuesto contacto, sino que además se habrá suscrito a un servicio Premium de telefonía, el cual le enviará material no solicitado a su dispositivo móvil con la única finalidad de adquirir su dinero.

Para evitar estos ataques, es indispensable verificar de quién proviene el correo electrónico como así también se deberá corroborar que todos enlaces o archivos adjuntos de la misma manera, y con esto asegurar una mayor protección.

Estos consejos en conjunto con una solución antivirus con capacidad de detección proactiva, servirán no solo para protegerlos de estas amenazas, sino que también ante otros tipos de ataques.

Gonzalo Presa
Analista Jr. de Seguridad

Categories: Ingeniería Social, Malware
No Comments »

Los ataques a través de correos electrónicos y redes sociales son los métodos de infección preferidos por los creadores de malware debido a su grado de difusión. En esta ocasión analizaremos una muestra que utiliza estos dos medios para lograr la infección.

Esta amenaza utiliza tanto los correos electrónicos como Facebook debido a que el creador de la amenaza envía a la casilla de correo de la víctima un mensaje falso de la conocida red social indicando que han publicado un video en su muro. Lo interesante de este correo, a pesar de lo ya conocido por muchos, como parecer provenir de una casilla segura, en este caso de Facebook, es que en la parte superior del video se distingue la leyenda: Este video fue clasificado Prohibido para menores de 18 años.

Esto último es por el único motivo de llamar la atención de la víctima generar un interés particular en ella para que haga lo que el atacante desee. Esto es comúnmente conocido como Ingeniería Social. Como todos los correos recibidos desde Facebook contienen muchos enlaces para redirigir al usuario a la red social, los cuales son aprovechados por el atacante, convirtiéndolos en enlaces para la descarga de un archivo malicioso que es detectado por ESET NOD32 Antivirus como el troyano Win32/VB.NRE.

Para evitar este tipo de ataques es importante que los usuarios utilicen una solución antivirus con capacidad de detección proactiva, además de contar con buenas prácticas para navegar en internet y tengan conciencia objetiva al momento de recibir un correo por el cual no han solicitado.

Gonzalo Presa
Analista Jr. de Seguridad

Categories: Ingeniería Social, Malware
No Comments »

Los ataques de phishing se caracterizan por su distribución masiva a través de correos electrónicos y su utilización de Ingeniería Social para adquirir información sensible de la victima.Estos ataques son mayormente destinados a la obtención de datos bancarios, debido a las finalidades lucrativas de los mismos, la adquisición de contraseñas, por ejemplo las pertenecientes a las redes sociales, como de cualquier otra índole que el atacante desea adquirir.

En esta oportunidad hablaremos acerca de un ataque de phishing creado para la obtención de los datos de logueo a la cuenta del video juego reconocido a nivel internacional y de uso masivo, World of Worcraft. El ataque inicia con un correo enviado al azar, debido a que este llega incluso a personas que no utilizan el famoso video juego, indicando que existe cierto incumplimiento con los términos de uso en su cuenta de World of Warcraft, por lo que, en caso de que esta supuesta violación sea demostrada, la cuenta será dada de baja.

Para evitar la baja de la cuenta, el correo indica que se deberá validar que se trata de el dueño de dicha cuenta de World of Warcraft haciendo click en un link que este nos ofrece.

Al hacer click en dicho link nos direccionará a una imitación del sitio oficial de World of Warcraft, en el cual aparece un log in para conectarse a la cuenta de dicho video juego, y así, según el correo recibido, evitar la cancelación de la cuenta.

Ver más… »

Categories: Ingeniería Social, Malware, Phishing
2 Comments »

Al momento de navegar en Internet, acceder a las redes sociales, los correos electrónicos o llenar un formulario en línea, existen una serie de inconvenientes que muchos usuarios suelen encontrar. Muchos problemas que pueden causar la infección de un equipo, smartphone o la fuga de información son reportados a diario y la cantidad de usuarios que ven su información comprometida es considerable. Es por ello que hoy, vamos a repasar 10 consejos para evitar la infección de un sistema o dispositivo.

1. Utilizar una conexión segura

Parece sencillo, pero muchos usuarios suelen pasar por alto que al momento de iniciar sesión en un sitio web la conexión sea a través de HTTPS (Hipertext Transfer Protocol Secure). Al acceder a una página web a utilizando este protocolo, la comunicación entre el cliente y el servidor viaja cifrada, lo que aumenta la seguridad y minimiza la posibilidad del robo de contraseñas. Al acceder a este tipo de sitios, se puede observar la diferencia entre acceder utilizando HTTPS o sin seguridad a través de HTTP. Es posible configurar una conexión segura en las redes sociales, para que toda la comunicación con el sitio sea cifrada.

2. Evitar los enlaces engañosos

Cuando se reciben correos electrónicos de dudosa procedencia, como por ejemplo de un contacto que habla en español recibimos un correo en portugués, un supuesto correo de una entidad bancaria para actualizar la información, cadenas de correo acerca del cambio de un servicio de correos gratuito a pago o un multimillonario que quiere regalar su dinero. En más de una ocasión hemos compartido con ustedes los análisis e investigaciones en dónde los atacantes ocultan el enlace real dentro de un link de YouTube u otra estrategia similar.

Ver más… »

Categories: Ingeniería Social, Vulnerabilidades
3 Comments »

Tal y como hemos explicado anteriormente, el typosquatting es un ataque para los despistados, debido a que aprovecha los errores ortográficos o de tipeo que pueden cometer los usuarios al ingresar una dirección URL en el navegador, para infectarlo o cometer algún perjuicio. Esto es muy importante que se prevenga, debido a que por un error, el usuario puede ingresar a un sitio malicioso y comprometer tanto su equipo como su información personal.

En este caso, analizaremos un estudio realizado por Godai Group, quienes registraron dominios de Internet, para la utilización de las casillas de correo de los mismos, conteniendo errores comunes de ortografía y tipeo, como la falta de guiones o puntos. Realizaron este estudio por un período de 6 meses, recibiendo 20 gigabytes en correos, equivalentes a más de 120.000 correos.

Existen 2 tipos de ataques, a través de las casillas de correo, utilizando typosquatting. El primer tipo de ataque consiste simplemente en utilizar estas casillas de correo únicamente para recibir información enviada erróneamente, a la espera de información sensible.

El segundo tipo es más elaborado que el primero, debido a que el atacante utiliza técnicas de Ingeniería Social, y está orientado a un dominio e individuo en particular. Este ataque consiste en registrar 2 dominios que estén comunicados entre sí, tales como una compañía y un banco, para poder obtener información sensible como cuentas bancarias, usuarios y contraseñas, etc. Este tipo de ataques se produce de la siguiente manera:

1. La empresa envía un correo al banco con un error de tipeo, por lo cual lo dirige al atacante, quien posee dicho dominio con el error.
2. El atacante reenvía este correo al banco simulando ser la empresa, para así poder adquirir los datos de la empresa y luego poder perjudicarla a nivel monetario.
3. El banco contesta el correo con la información requerida, debido a que este confía en el dominio del que lo recibe y este puede contener información del tipo personal, ya sean sobrenombres o firmas, lo que hace mas fácil el engaño
4. Finalmente el atacante devuelve la información solicitada en una primera instancia por la empresa utilizando el correo del banco con el error.

Gracias a estos pasos ninguna de las partes comprometidas advertirá el ataque, a menos que estos verifiquen las casillas de correo, y el atacante podrá solicitar de manera adicional cualquier información distinta de la requerida por la empresa, debido a que el banco confía en este. Esto puede generar una pérdida importante a nivel monetario como de fuga de información, debido a que el atacante, al haber adquirido las credenciales del Home Banking de la empresa, por ejemplo, podrá realizar cualquier movimiento que desee.

En resumen, estos ataques avanzan continuamente, y su foco de ataque es amplio, debido a que puede utilizarse en los casos anteriormente explicados, como así también en la adquisición de credenciales de inicio de sesión de Facebook, o ser utilizado en conjunto con un ataque de phishing, para así aumentar la confianza del usuario al momento del ingreso de los datos sensibles que desee el atacante.

Gonzalo Presa
Analista Jr. de Seguridad

Categories: Fuga de información, Ingeniería Social
No Comments »