Estimados lectores,

Tenemos el agrado de compartir con ustedes el reporte mensual de amenazas y tendencias correspondientes a enero, mes que se caracterizó por las represalias y los ataques del grupo de hacktivistas Anonymous por el cierre de Megaupload, servicio de almacenamiento de archivos que fue desmantelado como parte de un operativo del FBI y otras autoridades internacionales:

• Todo comenzó un jueves 19 de enero cuando el FBI junto al Departamento de Estado de EEUU daban a conocer a la opinión pública sobre un amplio operativo en contra de dos empresas asociadas a Megaupload, logrando el cierre de todos los servicios que ofrecían ambas compañías y la acusación de infracción a derechos de autor que recae en siete personas. Demostrando tenazmente su repudio hacia cualquier regulación sobre este tema y la posible censura que esto pueda conllevar, Anonymous comenzó atacando diversos sitios como el del mismo FBI y otras instituciones para dar paso a un maratónico fin de semana en donde pudieron dar baja más sitios y publicar en Internet material discográfico de Sony Music Entertainment.

• El gusano Dorkbot se ha masificado fuertemente en nuestra región debido a sus métodos de expansión mediante dispositivos de almacenamiento extraíbles como también por otras vías. Sumado a esto, vimos en enero cómo aprovechando el delicado estado de salud de Hugo Chávez, equipos zombis pertenecientes a esta botnet lanzaron una campaña de propagación a través del chat de Facebook ofreciendo aparentes fotos que lo mostrarían agónico con el fin de reclutar más computadoras zombis en Latinoamérica.

• 45.000 credenciales pertenecientes a usuarios de Facebook fueron robadas por una nueva variante del virus Ramnit, código malicioso capaz de sustraer datos sensibles del usuario como información personal sobre su familia y amigos.

• Mediante un supuesto video erótico de la hija del Presidente Piñera, apareció en nuestro laboratorio un troyano bancario que haciendo uso de la técnica de Pharming local, modifica el archivo host de la víctima para que cuando intente ingresar a determinados sitios de bancos en Chile, se le redirija a portales falsos pero visualmente similares que sustraen información financiera.

• Durante este mes pudimos observar que el impacto de un código malicioso puede afectar otros ámbitos importantes de la vida más allá del económico. Es así como se tuvo que repetir un juicio en Estados Unidos por la pérdida de información no respaldada por causa de un virus. También se dejó de atender a personas en un hospital del mismo país ubicado en Georgia debido a una vulnerabilidad en los sistemas informáticos del recinto de salud que no permitieron el ingreso de nuevos pacientes.

• Finalmente destacar el caso del New York Times cuando envió spam como un claro ejemplo que desmiente una vez más el mito que existe en algunos ambientes corporativos en donde se cree que los ataques informáticos sólo provienen del exterior, ignorando el peligro que puede llegar a representar un inocente atacante interno.

Para obtener mayor información sobre las amenazas destacadas de enero, pueden visitar nuestro ranking de propagación de amenazas destacadas del mes.

André Goujon
Especialista de Awareness & Research

Categories: Reportes mensuales
2 Comments »

Una vez más, como todos los meses, compartimos con ustedes el reporte mensual de amenazas, esta vez el correspondiente a  Diciembre. Este mes se caracterizó por el descubrimiento de un ataque de phishing para Facebook:

• Este ataque, basado en Ingeniería Social, explota la curiosidad del usuario presentando un video en el que supuestamente este aparece. Al querer ver este video, se informa al usuario que no podrá verlo a menos que descargue el supuesto plugin de Youtube. En caso de descargarlo, la amenaza realiza 2 ataques, por un lado redirecciona a un sitio para suscribirse a un servicio Premium para celulares, el cual debitará dinero de su crédito. Por otra parte, el supuesto plugin que descarga es en realidad un ataque de phishing que afecta a 2 bancos de Chile.
• Otro ataque de phishing, el cual se presenta a través de un correo electrónico, se presenta con la amenaza de que en caso de no actualizar los datos de la tarjeta de coordenadas, esta será desactivada y eliminada del sistema. Cuando el usuario hace clic en el enlace brindado por el correo electrónico es redirigido a una imitación del sitio del banco más grande de Venezuela.
• Este mes ha aparecido un nuevo ataque de las foto-multas focalizadas para los usuarios de Argentina. Este ataque ya existía desde el mes anterior, pero los creadores han lanzado una actualización.
• Ante la muerte del dictador Kim Jong-il se ha creado una amenaza que promete un video completo de su muerte. Esta amenaza ha sido encontrada en el famoso sitio para compartir videos, Youtube, en donde un video con una imagen estática indica en sus comentarios que el video se encuentra alojado en otro sitio debido al contenido. Una vez que la víctima hace clic en el enlace es redireccionada a un sitio en el cual se le solicita la descarga de una de herramientas para el navegador para poder así finalmente ver el video. El problema con esta descarga es que en realidad se trata de un malware.
• Thomas Cannon, investigador de viaForensics, ha encontrado una vulnerabilidad en el sistema operativo Android. Una aplicación gracias a este exploit puede instalar un backdoor sin tener los permisos necesarios. Gracias a esto un atacante puede obtener una consola remota a través de la cual se puede acceder al sistema de archivos y ejecutar comandos.
• Los creadores de Nmap, la famosa herramienta para escanear puertos, indicaron que el sitio de descargas C|Net había troyanizado el instalador de su herramienta. En conjunto con el instalador del escaneador de puertos, se descarga un creador de molestas toolbars.

Para obtener mayor información sobre las amenazas destacadas de diciembre, pueden visitar nuestro ranking de propagación de amenazas destacadas del mes.

Gonzalo Presa
Analista Jr. de Seguridad

Categories: Reportes mensuales
5 Comments »

Una vez más, como todos los meses, compartimos con ustedes el reporte mensual de amenazas, esta vez el correspondiente a  noviembre. Este mes se caracterizó por el descubrimiento de un bootkit para Windows 8:

• Stoned Lite es el nombre del exploit, creado por el ingeniero en software Peter Kleissner para saltar las políticas de seguridad de Windows 8. Este exploit debe ser ejecutado vía USB o CD al inicio del sistema y así permitir la ejecución de aplicaciones que no estén firmadas digitalmente, es decir, que no posean permiso de Windows para ser ejecutadas.
• AnserverBot es una amenaza creada para atacar los smartphones con sistemas Android que se propaga inyectado dentro de otras aplicaciones ubicadas en repositorios de aplicaciones en China alternativos al Android Market. La funcionalidad principal de este malware es convertir al dispositivo en parte de una botnet, mientras que también tiene la capacidad de carga dinámica y ofuscación de código, cifrado de datos, auto verificación de firmas y la posibilidad de detectar y eliminar ciertas herramientas de seguridad para dispositivos móviles.

• Se descubrió un troyano bancario el cual está focalizado en 5 bancos brasileros. Esta amenaza, al infectar el sistema, no modifica el archivo hosts como acostumbran hacerlo este tipo de malware, sino que modifica la configuración del sistema a través de un proxy.

• Un nuevo ataque de phishing a Facebook encubierto bajo la promesa de un nuevo video con contenido sexual de Silvina Luna. Al hacerse miembro del grupo se podrá acceder al link con el supuesto video, que llevará a la víctima a un sitio web de aspecto similar a la famosa red social para que ingrese nuevamente sus credenciales.

• El envío de spam y malware en las redes sociales es importante en estos días, por lo que es importante para los cibercriminales poseer distintos perfiles. Para esto han creado una herramienta que genera múltiples perfiles de Facebook con tan sólo unos pocos clics.

Para obtener mayor información sobre las amenazas destacadas de Noviembre, pueden visitar nuestro ranking de propagación de amenazas destacadas del mes.

Gonzalo Presa
Analista Jr. de Seguridad

Categories: Malware, Reportes mensuales
1 Comment »

El siguiente es el resumen mensual de amenazas correspondiente al mes de octubre. Este mes, se caracterizo por el descubrimiento de un nuevo código malicioso por parte del laboratorio de ESET. Este malware se encuentra enfocado para usuarios que utilizan la plataforma Mac OS X:

• Tsunami es el nombre dado a esta nueva amenaza, la cual en su primera versión solamente afectaba a los sistemas operativos Linux. En esta reciente muestra encontrada, esta vez está enfocada para usuarios de Mac OS. Una vez residente en el equipo de la víctima, este malware pasa a formar parte de una botnet. Esta red de computadoras zombis, puede ser utilizada para ataques de DDoS (Denegación Distribución de servicios).
• Tanto la muerte de Steve Jobs, como la muerte del líder Libio Muammar Gaddafi fueron utilizadas para la propagación de amenazas. Al pasar las horas sobre el anunció del fallecimiento de Steve Jobs, se empezaron a propagar por las redes sociales distintos tipos de Scams. También la muerte de Gaddafi logro ser un gran acontecimiento en la red, ya que fue utilizada para la distribución de troyano que simulaba ser un supuesto video de la captura del líder libio.
• El reality show Gran hermano, tampoco escapo de ser utilizado como herramienta de Ingeniera Social. A través de una campaña de correos masivos, se incentivaba a los usuarios a descargar un formulario que resultaba ser un troyano.
• Un nuevo caso de rogue fue reportado nuevamente, esta vez la plataforma móvil Android, fue la afectada. El código malicioso se encargaba de suscribir a la victima a servicios de mensajes Premium.
• El famoso juego World of Warcraft fue utilizado para la propagación de phishing. El engaño consistía en que la victima accediera a un link, adjunto al correo y accediera a esta página para robar sus cuentas de usuarios.
• Las entidades financieras como siempre también fueron víctimas de casos de phishing. En esta ocasión, el criminal que desarrollo el falso sitio, olvido borrar el paquete que utiliza para montar esta estafa, así también en estos archivos se puede encontrar el correo donde van los datos robados.
• La tecnología avanza y las nuevas técnicas de ataque también. En uno de los servidores que se utilizaba para la propagación de amenazas, se pudo encontrar una interface para el envió masivo de mensajes SMS a dispositivos móviles.
• Los ataques typosquatting son cada vez más utilizados por los desarrolladores de código malicioso, ya que suelen aprovecharse de los errores de redacción.

Para obtener mayor información sobre las amenazas destacadas de octubre, pueden visitar nuestro ranking de propagación de amenazas destacadas del mes.

Claudio Cortés Cid
Especialista de Awareness & Research

Categories: Reportes mensuales
7 Comments »

Escuchá el resumen mensual de amenazas en formato podcast:

Nuevamente compartimos un resumen mensual de amenazas correspondiente al mes de septiembre. Se reporto durante este mes una nueva propagación de una amenaza denominada Ramnit. La amenaza fue calificada como severa (la más alta), por el centro de protección de Microsoft:

• Ramnit un malware del tipo virus que se encuentra propagándose por la red. Este virus en poco tiempo se ha ubicado entre las 10 amenazas mas propagadas de América latina. Una vez infectado el sistemas, este realiza un búsqueda de archivos ejecutables y librearías y en cada uno agrega una sección que ejecutara antes del código original. Este malware también explota vulnerabilidades en varios sistemas operativos de Microsoft, permitiendo tener más control del sistema.
• SPITMO, la versión de móvil de SpyEye, se encuentra siguiendo los pasos de Zeus. Este malware que afecta a los sistemas móviles de Android, está causando pérdidas millonarias a diferentes victimas. Esta versión posee la capacidad de guarda la información de autentificación del home banking de la víctima.
• Se han reportado un caso de phishing que simula ser una página oficial de Skype, todo esto con el objetivo de robar credenciales de acceso e información bancaria. El sitio presenta iconos falsos, para hacer creer a la victima que se encuentra en un sitio seguro.
• Los desarrolladores de código malicioso se encuentran trabajando constantemente en mejorar de sus amenazas, este es el caso de Mebromi.  Este malware posee la capacidad de infectar la BIOS del equipo a través de un driver que se ejecuta en modo kernel para luego pasar a infectar la MBR del sistema operativo. Cada vez que la victima inicia el sistema siempre se ejecutara en primer término otro código malicioso.
• Un ataque que ha comprometido a varios sitios alojados en Go Daddy, fueron utilizados para la propagación de malware. Estos sitios re direccionaba al visitando a una página la cual contenía código malicioso. Un total de 445 cuentas fueron afectadas en este ataque.
• Los ataques de phishing al sistema Brasileño, cada vez se están volviendo más constantes, durante este mes se reportaron dos casos que utilizaron las mismas metodología para montar estos sitios. En el primer caso se pudo encontrar que en el servidor vulnerado se encontraban diferentes paquetes para montar phishing de distintas entidades bancarias. En el segundo caso, se pudo encontrar el backdoor utilizado para subir los archivos al servidor.
• La pornografía es utilizada muchas veces para atraer nuevas víctimas. En este caso se pudo encontrar un malware del tipo ransonware que imitaba ser un video con contenido pornográfico, una vez infectado el sistema operativo de la víctima se le pedía una contraseña.
• El negocio del rogue o falsas soluciones de seguridad, sigue generando perdidas alrededor del mundo. System recovery es un nuevo malware, que utiliza técnicas para inducir a la victima a ingresar los datos de las tarjeta bancaria.

Para obtener mayor información sobre las amenazas destacadas de septiembre, pueden visitar nuestro ranking de propagación de amenazas destacadas del mes.

Claudio Cortés Cid
Especialista de Awareness & Research

Categories: Reportes mensuales
No Comments »