Como parte de las trabajos que realizamos desde el Laboratorio de análisis e investigación de ESET Latinoamérica se encuentra el seguimiento de distintas campañas de propagación de malware en la región. Sin embargo, muchas veces es necesario conocer porqué los usuarios son propensos a caer en este tipo de ataques. En el post de hoy vamos a compartir alguna de las situaciones que pueden llevar a un usuario a enviar mensajes maliciosos a sus contactos, ya sea a través de correos electrónicos y servicios de mensajería instantánea y qué es lo que sucede cuando alguien se los notifica.

El primer hecho a remarca ante este tipo de situaciones pone al usuario en dos escenarios. El primero de ellos es cuando es el receptor de un mensaje o correo falsos proveniente de un contacto. ¿Qué es lo que hacen ustedes en esta situación? Bueno, normalmente existen dos caminos que uno puede tomar: notificarle a nuestro contacto sobre lo que sucede con su cuenta, o borrar el mensaje y hacer de cuenta que no paso nada. Lo más recomendable es decirle a nuestro contacto lo que ha pasado y que debería cambiar la contraseña de inmediato.

Por otro lado, cuando el usuario es la víctima del ataque y sus contraseñas son utilizadas por los atacantes para propagar malware,  salvo que sea notificado por un contacto, podría no darse cuenta de lo que ha sucedido. Entonces un día cuando intenta acceder a su correo recibe una notificación acerca de las actividades sospechosas de su cuenta y el porqué de que esta se encuentre bloqueada. ¿Que problema no?

Muchos podrían preguntarse porqué un usuario no se da cuenta de que su equipo está infectado y los cibercriminales tienen acceso  a sus cuentas. En realidad esto va un poco más allá, remarca lo importante que es la educación en seguridad informática ya que le permite al usuario reconocer correos falsos o sitios de phishing y evitar caer en el engaño. ¿Podría un sistema infectado engañar al usuario cada vez que se quiere conectar a algún sitio web? La respuesta es sí, y en muchas ocasiones salvo que algún contacto lo notifique el usuario no se daría cuenta de qué es lo que esta sucediendo con su cuenta.

Durante 90 días de seguimiento a un ataque de phishing en Brasil, miles de usuarios accedieron a una página falsa de Hotmail en dónde dejaron el registro de su usuario y sus claves. Durante este periodo, existen usuario que cayeron más 400 veces y lo pudieron identificar que se trataba de una página falsa. En promedio, esto significa algunas víctimas accedieron 4 veces por día e ingresaron su información en el sitio falso, sin poder reconocer que se trata de un engaño.

Con las credenciales obtenidas los cibercriminales envían correos falsos propagando otros códigos maliciosos, logrando cada vez a más usuarios. Además de este tipo de propagación, hay que tener en cuenta a los mensajeros instantáneos, amenazas como Dorkbot, utilizan el chat de Facebook o Windows Live Messenger para enviar mensajes a los contactos de la víctima con un enlace al malware. ¿Cuántas veces algún contacto les envió este tipo de mensajes? ¿Qué hicieron al respecto?

En conclusión, en el caso de que ustedes sean víctimas de este tipo de actividades, es recomendable que cambien las contraseñas de acceso a sus correos, redes sociales y otros servicios para evitar que se sigan enviando mensajes en su nombre. Además, también instalar una solución antivirus con capacidad de detección proactiva como ESET NOD32 Antivirus y analizar el equipo con el objetivo para asegurarse estar libre de este tipo de amenazas. Por otro lado, si reciben estos mensajes de alguno de sus contactos sería bueno comentarles que pueden estar siendo víctimas de un código malicioso, que alguien más tiene acceso a su cuenta y qué es lo que deberían hacer para protegerse.

Pablo Ramos
Especialista en Awareness & Research

Categories: Malware
No Comments »

Desde el Laboratorio de ESET Latinoamérica hemos detectado dos campañas de envío de malware a través de Facebook  que utilizan la figura de la popular cantante colombiana como táctica de Ingeniería Social. En el mensaje se hace alusión a que Shakira supuestamente habría cometido en público un acto poco digno. Para lograr aún mayor curiosidad y posibles víctimas, no se explicita qué más aparece en el video pero sí se menciona que con lo que hace, es suficiente para perderle el respeto. La siguiente imagen corresponde al primer caso encontrado:

Si el usuario es incauto y sigue el hipervínculo, se desplegará una falsa página de Facebook en donde se le pide que ejecute un programa Java cuyo objetivo es descargar y ejecutar automáticamente un código malicioso detectado proactivamente por ESET NOD32 Antivirus como una variante de Win32/Injector.NQM troyano.

Cabe destacar que los ciberdelincuentes al no contar con una firma válida que certifique que dicha aplicación Java es genuina, decidieron utilizar en su lugar el nombre de una conocida empresa informática como puede apreciarse en la siguiente imagen:

Ver más… »

Categories: Alertas, Malware
12 Comments »

Desde el Laboratorio de Investigacion de ESET Latinoamérica siempre afirmamos que uno de los pilares fundamentales para lograr un uso más seguro de las computadoras y dispositivos móviles es la educación de los usuarios. Por lo mismo, las diferentes compañías pertenecientes a la industria de la computación pueden esmerarse por mejorar la seguridad de sus plataformas y productos, sin embargo, si la persona no se ciñe a un patrón de conducta que sea seguro ni tampoco se instruye sobre el modus operandi de los cibercriminales y las amenazas que estos crean, los esfuerzos por parte de las empresas para mejorar la confiabilidad pueden resultar en el mejor de los casos, poco efectivo.

Apple no es la excepción a esta regla. Pese a que Mac es una de las plataformas más seguras del mercado, según un estudio de Indego, el año 2011 estuvo marcado por la aparición de algunos códigos maliciosos que aunque no son tan prolíficos en comparación con los de otros sistemas operativos como Windows o Android, sí pudieron reafirmar que el factor educación también es determinante para todos los usuarios sin excepción.

De acuerdo a la investigación, el primer acontecimiento de seguridad para Mac se produjo en febrero de 2011 con el descubrimiento de una herramienta de administración remota que al igual que sus pares de Windows, representa un potencial riesgo sólo si quien la emplea lo hace con fines maliciosos. Aunque aparecieron algunas versiones mejoradas de esta aplicación, su posible peligro desapareció rápidamente dando lugar a un panorama calmo que se mantendría dos meses.

En mayo apareció para OS X el primero de algunos rogue que aparecerían más adelante, es decir, códigos maliciosos que haciendo uso de la táctica Scareware o asustar al usuario, se presentan como soluciones antivirus o antiespías que detectan falsamente en el sistema de la víctima una gran cantidad de malware para luego ofrecerle una licencia a cambio de la supuesta remoción de dichas amenazas.

Ver más… »

Categories: Malware
No Comments »

Como parte del trabajo de investigación realizado por el Laboratorio ESET Latinoamérica se realizó el seguimiento de Dorkbot, el código malicioso con mayor índice de detección durante  todo el 2011 para la región. Días atrás compartimos con ustedes el reporte de esta familia de códigos maliciosos propagándose a través del chat de Facebook, Windows Live Messenger  y los dispositivos USB. Ahora les presentamos el informe completo “Dorkbot: conquistando Latinoamérica“.

A lo largo del artículo, se analizan las diferentes variantes de este código malicioso, las estadísticas de detección para los diferentes países de la región y además el estudio de un caso real que se propaga en Latinoamérica con el objetivo de robar credenciales bancarias de Chile y Perú. Las características de este gusano y su habilidad para propagarse a través de la explotación de accesos directos en los dispositivos de almacenamiento masivo potenciaron su elección como el crimepack  más utilizado en la región:

Dorkbot es parte de una suite de herramientas, denominadas crimepacks, las cuales son utilizadas para crear malware y obtener beneficios de él. Los crimepacks pueden ser adquiridos por los cibercriminales con el objetivo de realizar ataques para el robo de información. Esto significa que una vez que cuentan con el paquete de construcción pueden realizar distintas campañas de propagación de códigos maliciosos a lo largo de la región.

Observando las estadísticas de detección para América Latina vemos el crecimiento de esta familia de códigos maliciosos, y cómo desplazó de los primeros lugares a amenazas como INF/Autorun y Win32/Autorun durante el final del 2011. El valor más alto se registró en septiembre pero a meses de la aparición de la primera variante de este gusano (en abril), su nivel de detecciones creció considerablemente.

Otro de los puntos a tener en cuenta acerca de esta amenaza es la amplia diferencia entre su utilización en América Latina y el resto del mundo. Durante el mes de diciembre de 2011, el porcentaje de propagación de esta amenaza en la región fue del 8%, mientras que en Europa fue del 0,8% y en Norteamérica fue de apenas 0,26%. Desde el Laboratorio de Análisis e Investigación de ESET Latinoamérica se realizó el seguimiento de este crecimiento en los países de la región.

Recuerden que pueden leer el informe completo en la sección de Informes y Tendencias en el Centro de Amenazas de  ESET Latinoamérica. Continuaremos compartiendo con ustedes información acerca de las investigaciones realizadas por el Laboratorio y el seguimiento de esta amenaza y sus ataques en la región.

Pablo Ramos
Especialista de Awareness & Research

Categories: Estadísticas, Malware
4 Comments »

A pesar de los reiterados intentos por parte del personal de Google por mantener segura la tienda en línea de su sistema operativo para móviles, Android Market; siguen apareciendo amenazas como la reportada por Appriva durante estos últimos días.

Las aplicaciones afectadas son algunas versiones de Baloon Game y Deal or BE Millionaire, entre otras. En este caso, las muestras son identificadas bajo el nombre de Android/Plankton por ESET NOD32 Antivirus.  Este troyano se conecta de forma remota con un servidor enviando un mensaje con los datos más importantes del dispositivo como el fabricante, modelo, ID y demás.

En el análisis se puede observar el momento en que se realiza la conexión entre el cliente infectado y el servidor, donde las partes ofuscadas son los datos del dispositivo de la víctima que se envían. Esta muestra, tiene un funcionamiento similar a otra de Plankton que ya había sido analizada en nuestros laboratorios. Allí, se mostraba cómo el código malicioso que infecta el dispositivo envía los datos antes mencionados a un servidor, transformando el aparato en un bot y luego queda a la espera de un mensaje. Este, contiene los comandos con los que se comunicarán el bot y el Panel de Control asociado.

Ver más… »

Categories: Alertas, Malware
No Comments »