En los últimos días se ha comenzado a ver una nueva técnica de ataque llamada clickJacking mediante la cual se podría explotar una vulnerabilidad en los navegadores web más utilizados para realizar distintos tipos de ataques, que podrían terminar en robos de credenciales (nombre de usuario, contraseña, etc.), fraudes y estafas hacia el usuario.

Como era de esperar, los delincuentes informáticos comenzaron a explotar esta técnica para realizar ataques relacionados a phishing y malware. El ataque consiste básicamente en manipular un enlace web de manera de poder engañar al usuario y que termine ingresado a un sitio dañino sin saberlo. En este sitio se le podría robar sus credenciales de acceso o descargar malware como se demuestra a continuación.

En los últimos días, ESET ha hallado correos en donde se invita al usuario a ingresar a un sitio bancario para descargar un supuesto certificado de seguridad de la entidad. Al hacer clic, el usuario ingresa a un sitio falso de la entidad en cuestión. Hasta aquí podría pensarse que se trata de un caso de phishing normal.

Lo original de este caso es que justamente se utiliza la técnica denominada ClickJacking para manipular el enlace y, por intermedio del mismo, redireccionar al usuario hacia la descarga de un código malicioso que, en este caso, ESET NOD32 detecta como Win32/TrojanDownloader.Small.OFV.

El código mostrado en la parte inferior realiza justamente esta acción: por un lado se abre una ventana al usuario con las políticas de privacidad del banco auténtico (comando window.open) e inmediatamente después se ofrece la descarga del supuesto certificado (tag href) que en realidad es el malware mencionado. Este funcionamiento puede resultar confuso y, el usuario puede descargar, sin desearlo ni saberlo, el archivo dañino a su equipo.

Si bien este tipo de ataques aún se encuentra en desarrollo y estudio, es muy peligroso y es probable que sea cada vez más utilizado para realizar ataques como el descripto, ya que, como vemos, permite ocultar el redireccionamiento del enlace de manera que no sepamos hacia donde lleva el vínculo mostrado.

Es importante destacar que la técnica utilizada depende de la forma en que los navegadores manipulan (parsean) el código fuente, por lo que la solución al problema podría ser tardía y los delincuentes tendrían una mayor ventana de tiempo para realizar distintos tipos de ataques hacia el usuario. Por ejemplo, la técnica mostrada puede mejorarse y perfeccionarse y lograr descargar e instalar malware en el equipo del usuario sin que el mismo se percate de ninguna acción en su navegador.

Por el momento, como medidas preventivas para contrarrestar este ataque, podemos tener en cuenta las siguientes recomendaciones:

• Deshabilitar el scripting y los plugins en el navegador. Si bien JavaScript no se necesita para llevar a cabo el ataque, sí lo favorece notablemente.
• Utilizar Firefox como navegador, con la extensión NoScript podría evitar la ejecución de componentes JavaScript, Flash, entre otros.
• Utilizar Opera como navegador, deshabilitando los iframes es otra de las opciones viables para evitar el ataque.
• Si se utiliza Internet Explorer y otro navegador se pueden minimizar, pero no evitar este tipo de ataques.
• Este ataque afecta a todos los navegadores visuales por lo que utilizar navegadores en modo texto como Links, Lynx o w3m, podría ser una buena opción, aunque esto es recomendable sólo para usuarios con mayores conocimientos técnicos.
• En casos semejantes al mostrado, la mejor acción es no hacer clic en enlaces provistos en correos electrónicos.
• Instalar un antivirus con capacidades proactivas capaz de detectar malware desconocido en cualquier momento evitará los casos que descargan códigos maliciosos.

Esta vulnerabilidad representa un nuevo vector de ataque del cual debemos estar muy atentos, ser cautelosos y conscientes sobre que gran parte de la responsabilidad en cuanto a la prevención recae en nosotros mismos como usuarios, porque somos nosotros el objetivo de los atacantes.

Cristian

Vota primero

Categorias: Alertas, Malware, Phishing, Spam, Vulnerabilidades
Dejar un comentario »

Durantes las últimas semanas nuestro laboratorio ha recepcionado una importante cantidad de correos electrónicos no deseados que simulan provenir de una empresa dedicada al monitoreo de las actividades realizadas en sus redes a fin de detectar actividades ilícitas.

El spam en cuestión es como el que se observa en la siguiente captura:

La supuesta compañía se llama ICS Monitoring Team y a través del spam incita al usuario a descargar un supuesto informe sobre las actividades delictivas descubiertas durante los últimos seis meses.

Contrariamente a esta promesa, los usuarios que accedan descargarán un archivo comprimido en formato .zip que contiene un archivo ejecutable llamado user-EA49943X-activities.exe, un malware que ESET NOD32 Antivirus detecta bajo el nombre de Win32/Spy.Goldun.NDM, un troyano diseñado para robar información confidencial de acceso a servicios pagos como e-gold.

El robo de información confidencial es uno de los objetivos más buscados por los códigos maliciosos actuales y en consecuencia, debemos extremar las precauciones ante situaciones como la mencionada a través de buenas prácticas, entre otras: hacer caso omiso al correo no solicitado y mantener el programa antivirus actualizado.

Si desean obtener más información sobre otras formas de prevención, les recomiendo que recurran a nuestra Plataforma Educativa donde encontrarán cursos gratuitos, además de pasar por nuestros Videos Educativos.

Jorge

Promedio: 4.67

Categorias: Ingeniería Social, Malware, Spam
Dejar un comentario »

Fueron varias las oportunidades en que hemos advertido sobre determinados códigos maliciosos que simulan, como parte de su estrategia de Ingeniería Social, ser alguna aplicación benigna y de utilidad para los usuarios.

Sin embargo, no siempre se puede confiar en las cosas que encontramos en Internet, sobre todo, las que se encuentran en sitios web de dudosa reputación, ya que de lo contrario, nos podemos confundir (caer en la trampa) y descargar algo como lo siguiente:

Este es un nuevo caso en donde el programa malicioso, intenta simular ser un conocido programa de compresión de archivos: WinRAR.

Pero contrariamente a lo que el usuario espera, al acceder a la descarga ofrecida, no se encontrará con el programa en cuestión sino que o hará con un código malicioso que ESET NOD32 detecta bajo el nombre de Win32/TrojanDownloader.FakeAlert.JI.

Siempre debemos verificar la fuente desde la cual realizamos las descargas, incorporando como un buen hábito, descargar lo que necesitemos desde los sitios web oficiales.

Mientras tanto, también los invito a ver los videos educativos preparados por nuestro laboratorio sobre casos de infección y sobre cómo prevenirlos.

Jorge

Promedio: 5

Categorias: Ingeniería Social, Malware
Dejar un comentario »

Es muy común escuchar la frase “Ningún antivirus detecta este virus”. Sin embargo y tal como expliqué en troyanos indetectables, esto es una situación pasajera.

Tomemos por ejemplo el siguiente gusano, no detectado en ese momento por ningún antivirus:

Esto sucede porque es muy común que los desarrolladores de malware prueben sus creaciones una y otra vez contra todos los antivirus (o contra los más comunes) y, cuando logran un nivel importante de no detecciones, deciden propagar su programa dañino.

La ventaja inmediata es obvia, ya que de este modo logran infectar a la mayor cantidad de usuarios posible, sea cual sea la solución de seguridad utilizada por el mismo.

Más allá de eso, como decía anteriormente esta situación es pasajera y los antivirus comenzarán a detectar este archivo ni bien se encuentre infectando a un usuario. En este caso el gusano se propagaba por mensajería electrónica y por supuesto fue detectado inmediatamente por ESET NOD32 como Win32/AutoRun.AAC.

Por eso también es fundamental contar con una solución que provea detección heurística para poder detectar malware desconocido hasta el momento.

Cristian

Promedio: 4.67

Categorias: Educación, Heurística, Malware
1 Comentario »

Hace unos días nos han informado que un sitio, que pretende ser un servicio de Google, está siendo utilizado para propagar malware.

Lo que se realiza es una inclusión de código ofuscado en diversos sitios vulnerables y a través del mismo se redirecciona al usuario al supuesto servicio de Google Analytics, que en realidad es un sitio que ha sido registrado por personas malintencionadas para propagar malware.

El script ofuscado en JavaScript es detectado por ESET NOD32 como JS/TrojanDownloader.Small.NAT y el sitio dañino es bloqueado, negando el acceso al mismo:

Con esta detección y bloqueo realizado por ESET, evitamos que usuarios desprevenidos ingresen al mismo y se infecten, manteniendolo protegido en todo momento.

Cristian

Promedio: 4.75

Categorias: Malware
Dejar un comentario »

En las últimas horas hemos descubierto un nuevo vector de ataque a través de sitios web, el cual se basa en la modificación de un archivo importante, llamado .htaccess, en los sistemas que usan Apache como servidor web. El ataque se produce cuando los usuarios ingresan a servidores web que han sido vulnerados y cuyo archivo .htaccess ha sido modificado para que se produzca una redirección automática a un sitio dañino o con contenido malicioso.

Este tipo de ataques es sumamente peligroso porque cualquier persona podría ingresar realmente a cualquier sitio vulnerado y automáticamente y sin previo aviso, será redirigido al sitio dañino. Supongamos que poseemos un sitio llamado “sitio-el-usuario.com” y se encuentra lo siguiente en el archivo .htaccess:

En este caso cada vez que un usuario cualquiera ingrese al “sitio-del-usuario.com” será redirigido automáticamente a “sitio-danino.com”.

En los ejemplos que se pueden encontrar en Internet, el usuario es enviado a un sitio del nefasto WinAntivirus 2008 cuyo accionar puede conocerse a través del artículo Rogue: falsos antivirus gratis y en nuestro Video Educativo.

Como siempre el instalador (antivirus.v.1.0.20586.exe) del mismo es detectado por Heurística por ESET NOD32 como probablemente una variante de Win32/Statik:

En este caso es fundamental que todos los administradores tomen los recaudos necesarios para que sus servidores no se encuentren vulnerables y no se permita la modificación del sistema de archivos por personas inescrupolosas. Imagine la pérdida de imagen de su sitio, si el mismo modificado por este tipo de personas y que todos los visitantes de su sitio web es redirigido a un sitio malicioso.

En malware internacional alojado en sitios latinoamericanos dimos algunas recomendaciones al igual que cuando hablamos de los ataques masivo a miles de sitios webs para evitar este tipo de ataques.

Actualización 23:00 hs: cabe aclarar que el archivo .htaccess puede ser encontrado en sistemas *NIX o Windows con Apache instalado, por lo que lo descripto anteriormente aplica a cualquier configuración.

Cristian

Promedio: 4.8

Categorias: Alertas, Malware
7 Comentarios »

Al igual que como informan los amigos de Hispasec, hoy nosotros también hemos recibido un archivo de Microsoft Word con una macro que permite copiar un archivo ejecutable whlp32.exe al sistema y ejecutarlo.

Si bien este es un caso aislado y Office bloquea este tipo de macros, puede indicar que los creadores de malware están buscando otras alternativas de infección y han vuelto a poner sus ojos en los documentos de ofimática, como hace más de 10 años.

Esta macro también baja el nivel de seguridad configurado por defecto en Microsoft Word (Alto), lo que podría permitir a otros programas similares ejecutarse posteriormente sin autorización del usuario. A continuación vemos parte del código de la macro y la función que realiza esta acción particular:

En el caso de ESET NOD32, el archivo dañino es detectado como W97M/TrojanDropper.Fordo.B, donde justamente el prefijo W97M indica que se trata de un virus de Office 97 o superior.

Más vale estar prevenido confirmando que el nivel de seguridad para la ejecución de macros se encuentre en Alto ya que, al parecer, a los creadores de malware no les interesa la historia y cuan vieja sea la técnica utilizada para infectarnos.

Cristian

Promedio: 4.5

Categorias: Alertas, Malware
Dejar un comentario »

Un usuario nos ha reportado que una radio argentina está sirviendo (como miles de otros sitios) como plataforma de ataque para infectar a usuarios a través de la técnica Drive-by-Download. Al ingresar al sitio web de la radio puede apreciarse el código fuente de un script ofuscado al final del HTML del sitio:

Al desofuscarlo podemos ver que se abre un iframe en el navegador del usuario conduciéndolo a un sitio dañino:

Posteriormente, este sitio conducirá al usuario a un casino online que descarga automáticamente un archivo desde http://[eliminado]daily.com/479/SmartDownload.exe que ESET NOD32 detecta como Win32/Adware.CasOnline.

Por eso es fundamental seguir los consejos que damos día a día para no caer en este tipo de descargas.

Cristian

Promedio: 4.67

Categorias: Malware
Dejar un comentario »

A continuación dejo una pequeña lista de programas de seguridad falsos (rogue) que instalan adware o spyware en el sistema, simulando ser aplicaciones reales que protegen al usuario:

• Advanced Privacy Guard
• Adware Delete
• AntiMalware Suite
• AntiRogue Killer
• AntiSpy Hunter
• Antispyware 2008 XP
• Antispyware Pro XP
• Antivirus XP 2008 / 2009
• Antivirus Lab 2009
• Antivirus Protection
• Antivirus Security
• AntiVirXP08
• Avatod Antispyware
• Cleaner 2009
• Doctor AntiVirus 2008
• Internet Antivirus
• Internet Security Deluxe
• Malware Crush
• Micro Antivirus
• MicroAV Security Center
• MS Antivirus 2008 / 2009
• PC Protection Center 2008
• PCAntispy
• Registry Doctor 2008
• Security Scanner 2008
• Smart Antivirus 2009
• Spy Devastator
• Spyware Detector
• Spyware Scanner 2008
• System Sweeper
• Total Antivirus
• Total Secure 2009
• Ultimate Cleaner
• Virus Protect Pro
• Virus Remover 2008
• Win Antivirus 2008
• Win Defender 2008
• Win Protector
• WinX Security Center
• XLG Privacy Control Center
• XP Protector 2009

Por supuesto hay muchos otros y cotojo mantiene una lista actualizada en su blog.

Básicamente todos funcionan de forma similar al descripto en Rogue: falsos antivirus gratis y en nuestro Video Educativo, por lo que se debe estar alerta y evitar su instalación.

Cristian

Promedio: 4

Categorias: Malware
2 Comentarios »

Luego del engaño sobre la supuesta promoción de la empresa Claro y los tickets para obtener servicios gratis, se suma un nuevo engaño. Esta vez, el turno es para la empresa Coca-Cola.

Hace unos días se está diseminando un spam cuya apariencia es como la que les mostramos en la siguiente captura:

Al igual que sucedió con el sitio web falso de Claro, en esta oportunidad se utiliza un método similar. Cuando el usuario hace clic sobre el enlace para descargar el supuesto formulario, es direccionado hacia una página desde donde se descargará un código malicioso.

Los creadores y diseminadores de malware depositan cada vez más esfuerzos en encontrar nuevas y más llamativos métodos de engaño, y esto lo podemos apreciar en cada uno de los post que publicamos.

Por lo tanto, como siempre decimos, es sumamente importante estar prevenido, atentos y confiar la seguridad antivirus a programas como ESET NOD32 que, a través de su Heurística Avanzada, lo mantendrá protegido en todo momento.

Jorge

Promedio: 3.8

Categorias: Ingeniería Social, Malware
2 Comentarios »