Ya se acerca esa época del año en la que empezamos a observar pinos, luces de colores y regalos. Así es, navidad, una celebración que, entre otras cosas, se caracteriza por recibir algún que otro presente. Lamentablemente, en lo que se refiere al ámbito del malware, no solo no nos regalan nada, sino que buscan robarnos algo. En ocasiones anteriores les mencionamos algunas practicas comunes para las fiestas, pero ahora queremos mencionarles algunas otras.

Hace unos días recibimos en nuestro Laboratorio de Análisis e Investigación de Malware el siguiente script escrito en lenguaje BATCH, el cual, además de llamarse “Cold xmas.bat” (un nombre relacionado a Christmas, la expresión en inglés de navidad), realiza un serie de tareas curiosas:

Más allá de la utilización de lenguaje vulgar para definir las variables y posteriormente utilizar la combinación de las mismas para armar un comando, se observa cómo crea una serie de carpetas con los nombres normalmente utilizados por programas peer-to-peer.

Posteriormente busca copiar a una de las carpetas creadas todos los archivos con nombres referentes a licencias dentro de la unidad C:, y los posibles archivos de licencia de diversas soluciones antivirus, donde se destaca un nombre que apunta a los productos de ESET. Los usuarios de ESET NOD32 Antivirus pueden estar tranquilos ya que no es esta la ruta donde se guarda la licencia del producto.

Por último comparte toda la unidad C: y agradece de forma irónica las posibles licencias compartidas. Es más que claro que no es un script muy elaborado ni genérico, pero es importante destacar de todo esto que la utilización de las fiestas venideras como método de engaño es algo real y que en los próximos días probablemente se vuelva muy presente.

Es por esto que queremos facilitarles una serie de recomendaciones para evitar ser víctimas de dichos engaños:

• Ser precavido con los correos que se reciban con supuestos saludos y postales navideñas que contengan enlaces. El hecho que los mismos provengan de contactos conocidos no es un factor determinante para catalogarlos como seguros.

• Algunos correos y publicidades web alegan brindar grandes descuentos o, incluso, regalar productos novedosos simplemente para atraer la atención de usuarios curiosos. Bajo ningún punto se debe hacer clic en los mismos.

• En esta época no son nada raros los sorteos, tendencia que muchos usuarios maliciosos suelen aprovechar para robar información sensible. A menos que el formulario se encuentre alojado en un sitio web cuya autenticidad haya sido verificada, se recomienda no llenar los mismos.

• Las populares cadenas navideñas a veces poseen un propósito no tan amigable como su contenido, ya que buscan robar las listas de direcciones de correo dentro de las mismas, para luego venderlas a spammers. En caso que se desee compartir dicha cadena se recomienda reenviar la misma agregando los contactos dentro del campo “copia oculta” y eliminando las direcciones de correo que se encuentren dentro del cuerpo del mensaje.

• En caso de querer realizar las compras navideñas de manera online, se recomienda utilizar sitios conocidos y que posean un certificado de seguridad valido. Esto se puede verificar haciendo clic en el logo del candado que suele aparecer al lado de la dirección web y luego verificar que la URL que allí aparece sea idéntica a la que accedimos mediante el navegador.

Adicionalmente a estas recomendaciones siempre es importante disponer de una solución antivirus con detección proactiva de amenazas. Este es un momento del año muy especial como para verlo amargado por una infección o estafa, es por eso que es preferible tomarse unos segundos antes de hacer clic.

Joaquín Rodríguez Varela
Malware Lab Engineer

Categories: Análisis de malware, Malware, Malware en imágenes
4 Comments »

Hace un tiempo les contábamos cómo opera un phisher, donde detallábamos cuál es el proceso típico en un ataque de phishing. Hoy aprovechamos que hemos recibido un nuevo ataque de phishing a través de archivos maliciosos, para mostrar paso a paso la anatomía de un ataque de phishing, visto desde la perspectiva del usuario, hasta la recolección de los datos por parte del atacante, ¿cuán rentable es este ataque?

El ataque comienza como la gran mayoría de los ataques de este tipo, con un correo electrónico indicando la presencia de un nuevo instalador de un “módulo de protección“, e invitando al usuario a través de mensajes sugerentes (y un importante botón de descarga) para bajar el archivo:

Si el usuario descarga el archivo, que es detectado por ESET NOD32 Antivirus como Win32/Spy.Banbra.OAH, se ejecutará una aplicación a través de browser que en primer término indicará la necesidad de actualizar los datos de acceso al home banking:

Ver más… »

Categories: Malware en imágenes, Phishing
7 Comments »

El rogue es uno de los métodos de engaño más difundidos en la red. Lamentablemente también es uno de los métodos más efectivos, por lo que hemos realizado esta guía explicando cómo identificarlos. Para aquellos que no lo saben, se llama rogue al software que simula ser una aplicación antivirus o de seguridad cuando, en realidad, busca instalar malware en el equipo u obtener un rédito económico a raíz de la venta de la aplicación en cuestión. Es importante destacar que la aplicación no brinda protección alguna, sólo simula analizar el equipo y desinfectarlo.

Entonces, ¿cómo identificar un rogue? Los puntos a tener en cuenta son los siguientes:

1. La amenaza por lo general se descarga sin autorización del usuario o solicita su descarga de forma muy perseverante luego de ingresar a un sitio donde se realiza un falso análisis online de nuestro equipo. Dicha simulación de análisis siempre detecta amenazas e insiste en que nuestro equipo se encuentra en peligro.
2. Al realizar la exploración desde la supuesta aplicación de seguridad, siempre se encuentra una gran cantidad de amenazas (obviamente esto no es cierto), pero casi nunca se detalla puntualmente qué archivos se encontrarían infectados.
3. Al querer realizar la limpieza de las amenazas el programa, el mismo lo “invitará” a comprar la licencia del producto, generalmente por medio de un pop-up que lo llevará a un sitio donde puede realizar la transacción con tarjeta de crédito. Es muy importante que bajo ninguna circunstancia se ingresen dichos datos.
4. El rogue, una vez instalado, tiende a realizar ciertas modificaciones a nuestro sistema operativo para enfatizar el riego que posee el mismo y así incentivar al usuario a realizar la compra del producto. Estos cambios incluyen, por ejemplo, la modificación del fondo de pantalla, constantes y molestos avisos de alertas de seguridad, modificaciones a la pantalla de inicio del sistema operativo e incluso modificaciones a la barra de inicio.
5. Si se intenta desinstalar la herramienta desde la opción “Agregar o quitar programas” del panel de control, al reiniciar el equipo la misma vuelve a instalarse de forma automática.

De poseer una solución antivirus con detección proactiva como es ESET NOD32 Antivirus, al intentar realizar la descarga de la amenaza se disparará una alerta del producto informando que el mismo se encuentra infectado con Win32/Adware.[nombre_del_rogue].

Es por esto que siempre es recomendable utilizar herramientas de seguridad reconocidas en el mercado y comprobar su legitimidad en sitios populares de test independiente como son Virus Bulletin y AV Comparatives, entre otros.

Joaquín Rodríguez Varela
Malware Lab Engineer

Categories: Malware en imágenes, Rogue
32 Comments »

No es ninguna novedad observar la utilización de pharming local como un vector de ataque. Esta metodología maliciosa es empleada principalmente para realizar ataques de phishing pero, en ciertos casos, es utilizada para evitar la desinfección de un equipo ya afectado, bloqueando sitios de empresas antivirus o de descarga de herramientas de limpieza.

En el día a día analizamos cientos de amenazas, pero lo que nos llamó la atención de esta variante de Win32/Qhost en particular, es la modificación que realiza sobre el archivo hosts. Esta amenaza, luego de infectar el equipo, modifica dicho archivo llenándolo de texto misceláneo (código basura) el cual no afecta al funcionamiento del archivo original, ya que esas líneas de código se encuentras comentadas (comienzan con un numeral). Entre medio de todo ese código basura se pueden dilucidar lineas claras de dominios siendo direccionados a una misma dirección IP maliciosa.

Lo particular de una de estas lineas es que puntualmente busca bloquear el acceso al sitio de ESET Latinoamérica, como se observa a continuación:

Dicha acción es para evitar que un usuario que no posea la solución de ESET y que busca descargarla luego de infectarse no pueda hacerlo y solo logre abrir el sitio malicioso nuevamente. Esto no afecta a aquellos usuarios que poseen instaladas las soluciones de ESET ya que la amenaza es detectada al instante que intenta ingresar en el equipo, evitando cualquier alteración sobre el mismo.

Adicionalmente al sitio de ESET Latinoamérica, encontramos que en el archivo hosts también se intentan bloquear los siguientes dominios de la empresa:

• www.eset.com
• www.eset.eu
• kb.eset.com
• beta.eset.com
• download.eset.com

Queda claro que tanto nuestros productos como nuestros artículos informativos en la ESET Knowledgebase, representan una potencial amenaza para las actividades ilegales que los atacantes buscan desarrollar, denotando la importancia de poseer una solución antivirus actualizada a la fecha y con detección proactiva, como es ESET NOD32 Antivirus.

Joaquín Rodriguez Varela
Sales Engineer

Categories: Análisis de malware, Curiosidades, Malware, Malware en imágenes
No Comments »

Hace pocos minutos hemos encontrado casos en donde si el usuario realiza búsquedas sobre el Mundial de Fútbol 2010, a realizarse en Sudáfrica a partir del próximo mes, es enviado a sitios falsos que intentan infectarlo. Es decir que ya se están utilizando técnicas de BlackHat SEO para posicionar estos sitios en un buen lugar en el buscador, de forma de infectar a millones de usuarios interesados en este evento pronto a comenzar.

Si el usuario realiza alguna búsqueda relacionada a la temática, en algunos casos recibirá como resultados sitios maliciosos, como es el caso presentado en la siguiente imagen donde los primeros cuatro resultados enlazan a páginas web creadas para propagar malware:

En el ejemplo brindado, si el usuario hace clic en los enlaces y visita los sitios, será direccionado a páginas web que realizan falsas exploraciones sobre el sistema, una técnica utilizada para la propagación de rogue.

Nótese que si el usuario accede al la dirección URL que aparece en los resultados de búsqueda de forma manual, el mismo es direccionado al sitio web de la CNN, ya que la visita no proviene de Google:

Esta es una estrategia para dificultar la detección del sitio web malicioso, al que sólo puede llegarse a través de los resultados en los buscadores.

Los usuarios de ESET NOD32 Antivirus pueden estar tranquilos ya que el sitio web es detectado por nuestras soluciones de seguridad, así como también es detectado el troyano como HTML/TrojanDownloader.FraudLoad.NAC:

En resumen, a menos de un mes del mundial de fútbol, los atacantes una vez más están aprovechando cualquier noticia que repercuta en un incremento en las búsquedas relacionadas, como ya ha ocurrido en otras oportunidades.

Por último, vale destacar que es de esperarse que esta temática siga siendo utilizada como estrategia para la propagación de malware mientras dure el mundial así que… ¡a cuidarse!

Actualización 21:00 hs: ¿Qué sucede en un sistema infectado con este rogue?

Cristian Borghello y Sebastián Bortnik
Laboratorio de ESET Latinoamérica

Categories: Alertas, Black Hat SEO, Malware, Malware en imágenes, Rogue
11 Comments »