Se ha descubierto que una nueva vulnerabilidad del tipo 0-day (identificada por MITRE como CVE-2010-0806) está circulando in-the-wild en Internet. Microsoft ha confirmado la vulnerabilidad 981374 y ha dicho que se encuentra trabajando en la solución.

La vulnerabilidad hace uso de “use-after-free” (puntero de referencia inválida) en la librería iepeers.dll y afecta a las versiones 6 y 7 de Internet Explorer, permitiendo la ejecución de código remoto. Las versiones 5 y 8 no son vulnerables a esta amenaza.

Este exploit fue encontrado inicialmente circulando por Internet en páginas tales como www.pokeradaystar[ELIMINADO].com (un sitio de juegos en línea ya dado de baja) pero se espera que se propague masiva y muy rápidamente debido al tipo de ataque y navegador vulnerable.

Un ataque a un navegador, con la cantidad de usuarios que posee Internet Explorer 6 y 7, es una amenaza muy peligrosa y más teniendo en cuenta que este exploit en particular ya esta disponible en sitios públicos y preparado para ser utilizado con herramientas del tipo point-and-click preparadas para ser utilizadas en su mayoría por usuarios novatos.

Este ataque hace uso de las funciones de navegador y por eso le permite al atacante utilizar técnicas de Drive-by-Download y Download-and-Execute (descargar y ejecutar) desde una web creada con fines maliciosos para descargar malware.

Hasta que la vulnerabilidad se encuentre solucionada, recomendamos utilizar un navegador alternativo o actualizar a la última versión disponible de Internet Explorer. En entornos corporativos también recomendamos estar al tanto de las actualizaciones de Microsoft para aplicar el parche inmediatamente luego de su aparición.

Sin perjuicio de lo antes dicho, los clientes de ESET se encuentran protegidos ya que el motor ThreatSense de todos nuestros productos detectan en forma proactiva los exploits utilizados como JS/Exploit.CVE-2010-0806.A y los payloads (carga dañina) como el troyano Win32/Wisp.A.

Actualización 16/03/2010: Microsoft ha lanzado una solución temporal para deshabilitar los valores por defecto de la librería afectada.

Juan Sacco
Analista de Malware

Categories: Alertas, Malware, Vulnerabilidades
1 Comment »

En estos días se está realizando una importante conferencia sobre seguridad informática, la RSA Conference. Allí, un grupo de investigadores dio una charla contando un interesante experimento: la creación de una red botnet de 8 mil dispositivos móviles iPhone y Android.

El experimento consistió en crear una aplicación, titulada WeatherFist, que además de brindar datos meteorológicos a los usuarios que la instalaran, robaba información del dispositivo, incluyendo lista de contactos y coordenadas del GPS. Luego, comenzaron a difundir su aplicación a través de un sitio web y otros portales de aplicaciones para dichas plataformas. El objetivo de los investigadores era probar la posibilidad de propagar este troyano del tipo bot para dispositivos móviles, y crear así una botnet con dispositivos móviles.

Los resultados fueron sorprendentes: en la primer hora de disponibilidad de la aplicación se realizaron 126 descargas, y fueron 702 en las primeras ocho horas. Al 5 de marzo, día en que se realizó la presentación del exp erimento, eran 7.800 dispositivos (iPhone y Android) con la aplicación en ejecución. Según declaraciones de Daniel Tijerina (uno de los investigadores), “Los resultados fueron realmente sorprendentes, porque si esto hubiera sido un código malicioso real, podría haber controlado este número de bots“.

Además, para probar la peligrosidad de las redes botnets en dispositivos móviles, los investigadores escribieron una versión maliciosa de WeatherFist, llamada WeatherFistBadMonkey, que corría código bot y grababa información de los contactos, cookies, dirección física del usuario y podría enviar spam en forma automática. Esta aplicación fue ejecutada sólo en dispositivos de los investigadores y no fue expuesta (ni lo será) en forma pública.

Cabe destacar que, al igual que con los primeros gusanos para iPhone, se trata de una amenaza que sólo afecta a dispositivos que han pasado por un proceso de jailbroking. No así los dispositivos Android que se veían todos afectados por esta aplicación, aunque esta no se distribuía en los sitios oficiales.

Según los investigadores, el experimento fue para probar cuán sencillo una aplicación puede disponer de la información del usuario en sus dispositivos móviles. Claramente lo han demostrado, conformando una de las primeras redes botnets en dispositivos móviles que, aunque experimental, demuestra las posibilidades que los atacantes están comenzando a explotar y sobra la que los usuarios deberán protegerse.

Sebastián Bortnik
Analista de Seguridad

Categories: Alertas, Malware
No Comments »

En los últimos días, hemos detectado un nuevo troyano que en esta ocasión aprovecha otro portal 2.0 para su propagación: Fotolog.

Este código malicioso deja comentarios en los perfiles de la popular red social para compartir imágenes. Estos mensajes poseen un enlace con el acortador de URLs bit.ly, como se muestra a continuación:

Si el usuario cae en la trampa y visita el enlace, se encontrará con el clásico engaño de Ingeniería Social de codecs falsos:

El archivo que se descarga es un troyano detectado por ESET NOD32 como Win32/VB.OVB trojan.

Cabe destacar algunos aspectos interesantes de este tipo de ataques:

• La ingeniería social sigue siendo un factor preponderante para infectar al usuario. El mensaje indica un contenido tentador para la víctima: “encontré este video tuyo acá“.
• La utilización de un acortador de URL como estrategia para ocultar los dominios involucrados. Cabe destacar que luego de nuestra denuncia, bit.ly marca el enlace como peligroso, y sugiere al usuario no continuar la visita.

Es importante que los usuarios recuerden la importancia de contar con tecnologías de detección de malware eficientes y combinadas con la educación del usuario (como evitar seguir enlaces sospechosos o demasiados tentadores) para una mejor seguridad.

Sebastián Bortnik
Analista de seguridad

Categories: Alertas, Malware
No Comments »

Como ya es costumbre en cualquier evento de relevancia internacional en las últimas horas hemos hallado una gran cantidad de sitios que dicen anunciar los ganadores del Oscar 2010 pero que en realidad conducen a la descarga de malware. Por ejemplo en la siguiente búsqueda de Google:

En los dos últimos resultados aparecen enlaces promocionando distintas formas de ver los Premios Oscar 2010 en vivo y si el usuario presiona sobre cualquiera de ellos, será conducido a sitios que terminan descargando rogue, en este caso troyanos detectados proactivamente por ESET NOD32 como variantes de Win32/Kryptik.CWX y Win32/TrojanDownloader.FakeAlert.ALW.

En resumen, una vez más los delincuentes utilizan todos los medios disponibles para infectarnos y más vale estar prevenido.

Cristian Borghello
Director de Educación

Categories: Alertas, Malware
1 Comment »

En los últimos días dos noticias han circulado por los principales medios de tecnología, relacionadas al malware y las redes botnets.

El primero de ellos, se trata de una botnet conocida por los lectores de este blog: Waledac.

La semana pasada Microsoft informó, a través de su blog, a la comunidad el éxito en el fallo del proceso legal que la propia empresa había iniciado. Del blog de Microsoft se extrae la siguiente información:

La baja de la botnet Waledac que Microsoft llevó a cabo esta semana [...] es el resultado de meses de investigación y aplicada con innovación en una estrategia legal.

El 22 de febrero, en respuesta por la denuncia de Microsoft (“Microsoft Corporation v. John Does 1-27, et. al.“) hacia la corte estadounidense de Virginia, el juzgado federal ordenó y garantizó y forzó el cierre de 277 dominios de Internet utilizados por los criminales de la red botnet Waledac.

Como podrán observar si leen la fuente, Microsoft ha citado la información respecto a las capacidades de envío de spam de Waledac que hemos investigado desde ESET Latinoamérica. Por lo tanto, es de esperarse que esos millones de correos no deseados enviados por la botnet representen al menos temporalmente una baja en la cantidad de spam recibido.

Al respecto Randy Abrams, Director de Educación Técnica para ESET, declaró al portal PC World: “La medición correcta no es cuánto se reduce el spam, sino más bien que este tipo de acciones se conviertan en una herramienta más para combatir el problema“.

Cabe destacar que, según el portal sudosecure.net, las medidas han sido exitosas y se ha notado un decremento importante en la actividad de la botnet.

Por otro lado, el gobierno español informó en el día de ayer que la Guardia Civil desmanteló una red de ordenadores “zombis” compuesta por más de 13 millones de PCs infectados, y conocida por el nombre Mariposa. En esta ocasión, se detuvieron a tres ciudadanos españoles que controlaban la botnet. La red, era utilizada principalmente para el robo de datos personales y financieros en los sistemas infectados, que se habían detectado en más de 190 países distintos.

Como siempre los usuarios de ESET NOD32 no tienen de que preocuparse ya que los códigos maliciosos de dicha red, eran y son detectados proactivamente por  como una variante de Win32/Agent.OSE, una variante de Win32/Peerfrag.EJ y una variante de Win32/Kryptik.AEC.

Como verán, la problemática de las botnets y el crimeware deben ser abordadas en un esfuerzo conjunto entre las entidades privadas y los gobiernos (a través de la legislación y las fuerzas de seguridad), para así dar apoyo y continuidad para combatir este tipo de delitos informáticos.

Sebastián Bortnik
Analista de Seguridad

Categories: Declaraciones, Malware
No Comments »