No es sorpresa recibir una supuesta postal que nos redireccione a una descarga de un archivo malicioso, por lo que los desarrolladores de malware intentan engañar al usuario simulando ser un amigo/a (amiga en este caso) que desea compartir algún archivo.

El ingenio radica en que en el cuerpo del mensaje, “Carla” explica que nos envía la foto desde la cuenta de otra persona porque no se encuentra en su hogar. La supuesta imagen adjunta no es más que un link oculto a un archivo de extensión .exe el cual ESET NOD32 detecta como Win32/TrojanDownloader.VB.EOC

Joaquín

• ¿Mis fotos privadas online?
• ESET en Segurinfo 2008
• Comenzó Virus Bulletin 2007

Categorias: Ingeniería Social, Malware, Spam
3 Comentario »

Tal y como lo veníamos anunciando, los buscadores pueden ser utilizados para promocionar productos o descargar malware a través de vínculos con redirecciones como las de Google.

En el siguiente correo, que llega por spam, puede verse un ejemplo de este caso, en donde se invoca a un archivo PHP y no al clásico ejecutable al que solemos estar acostumbrados. Esta redirección tiene como objetivo engañar al usuario para que haga clic en un supuesto “mensaje parcial disponible para descarga”.

Por supuesto, el script PHP termina descargando un archivo ejecutable que ESET NOD32 detecta por heurística como probablemente una variante de Win32/Statik.

El consejo en este caso es no confiar en correos y enlaces provistos en los mismos.

Actualización 04/06/2008: Google ha corregido el problema pero ahora el mismo se encuentra en DoubleClick.

Cristian

• Redirecciones de Google a sitios de Viagra
• Spam a través de enlaces legítimos
• Buscadores utilizados para difundir malware

Categorias: Alertas, Malware, Spam
2 Comentario »

Es nuestra costumbre aconsejar sobre no publicar las direcciones de correo en sitios web, debido a que las mismas pueden ser obtenidas para fines fraudulentos, como puede ser el envío de correo masivo.

Para ejemplificar esta obtención masiva de direcciones, que posteriormente son vendidas en el mercado negro, podemos apreciar la siguiente imagen. La misma ha sido obtenida desde un servidor comprometido que ha estado siendo utilizando para estos fines. Aquí se muestra claramente como se obtienen estas direcciones, seleccionando el país, el área de interés y el webmail buscado y el buscador que se desea utilizar:

Una vez que el atacante selecciones las opciones que desee, la aplicación generará un listado de direcciones que son obtenidas desde los buscadores seleccionados, a través de consultas en los mismos. Al finalizar el proceso se puede descargar los email obtenidos para hacer con ellas lo que mejor parezca:

Por eso, una vez más aconsejamos cuidar las direcciones de correo.

Cristian

• Robo de información de MSN
• Urgente, reenvialo
• Bloqueo de sitios con ESET

Categorias: Spam
Sin Comentarios »

Esta técnica es sumamente vieja pero todavía sigue siendo utilizada por spammers y por diversos servicios de publicidad para conocer si un correo ha sido abierto o visualizado.

Se trata de insertar una imagen generalmente muy pequeña y poco visible (o transparente) en el correo electrónico y luego verificar en el servidor web que la aloja si esa imagen ha sido descargada o no. Si la imagen es descargada, indica que alguien ha abierto el correo y es una buena señal para seguir enviando correo, publicidad o spam a ese destinatario

Últimamente esta técnica está cayendo en desuso debido al bloqueo de imágenes automático de los clientes de correo y los webmail. Sin embargo, como mencioné, algunas empresas y spammers lo siguen utilizando, como en este caso:

El rastreo de emails a través de este método es un buen motivo para bloquear las imágenes en el correo electrónico y que nadie conozca, al menos a través de esta forma, que leemos o dejamos de leer.

Cristian

• SPAM 3D, otra variante
• Nuwar con amor
• Antivirus falsos

Categorias: Spam
2 Comentario »

Al igual que cuando denunciamos los casos de spam en foros de Unicef, en esta ocasión tenemos la obligación de hacerlo con otro conocido sitio de Internet, como lo es Digg, el sitio web especializado en noticias sobre ciencia y tecnología.

Usuarios malintencionados han comenzado a crear perfiles en los cuales alojan publicidad de otros sitios de productos y servicios que distan bastante de ser legales.

Desconocemos si estos perfiles estan siendo creados automáticamente a través de herramientas o manualmente, pero los casos que han sido encontrados, ya han sido denunciados por nuestro Laboratorio.

Como vemos, esta metodología se hace cada vez más popular entre los delincuentes y se ha transformado en algo común a la hora de realizar publicidad. A medida que esta práctica se vuelva normal, no faltarán los casos en donde se permita la descarga de malware a través de estos perfiles falsos.

Actualización 07/05/2008 10:00: Digg acaba de confirmarnos que los perfiles han sido removidos.

Cristian

• Redirecciones de Google a sitios de Viagra
• Spam utilizando Google como señuelo
• Precaución al navegar por nuevos ataques a sitios web

Categorias: Spam
1 Comentario »

Es una gran satisfacción cuando un Blog es conocido por la comunidad porque quiere decir que el mismo es de interés y de utilidad para los usuarios y que los mismos son cada día más.

Lamentablemente este éxito también se deja ver en la cantidad de comentarios basura y Splog que inundan al mismo. Por ejemplo, en la siguiente imagen pueden verse dos páginas de comentarios enviados automáticamente para promocionar sitios de Yahoo 360! fraudulentos.

Tal y como mencionábamos hace unos días estos comentarios redirigen al usuario a sitios de promoción de diversos productos y servicios de juegos online.

Por eso es fundamental que los comentarios de cualquier blog se encuentren moderados (como en nuestro caso) para que los mismos no sean publicados automáticamente perjudicando a sus lectores.

Cristian

• Propagación de malware a través de importantes foros (y II)
• 29A, parte de la historia de los virus
• Premio para ESET Smart Security

Categorias: Spam
Sin Comentarios »

Como es sabido el correo basura invade nuestras casillas día a día y si somos usuarios responsables es poco probable que prestemos atención a los correos que llegan de esa forma.

En cambio, como profesionales en seguridad, en nuestro Laboratorio nos vemos obligados a analizar gran cantidad de casos buscando nuevas tendencias en el envío de correo. Por ejemplo el siguiente email:

Como puede verse, excepto al asunto, se pretende engañar al usuario informando que recibimos ese correo porque estamos suscriptos al servicio MSN de Microsoft y se deja constancia que para dejar de recibir dicho correo podemos des-sucribirnos del servicio haciendo clic en Unsuscribe.

Al pie se nota que cada enlace lleva a un sitio distinto. Este correo se trata de una técnica de Ingeniería Social bastante vieja y burda por el cual el usuario cree desuscribirse de un servicio, pero en realidad está confirmando su dirección de correo o ingresando a un sitio en donde se le ofrecen distintos productos o servicios (en este caso productos farmacéuticos).

Preste atención a los correos y lea atentamente antes de hacer clic.

Cristian

• ¿Murio Fidel Castro?
• Correo con la muerte Felipe Calderón
• Páginas 404 dañinas

Categorias: Ingeniería Social, Spam
1 Comentario »

El día de hoy se ha convertido en uno de los más felices de mi vida ya que me acabo de enterar que puedo acceder a una importante suma de dinero que nadie ha reclamado previamente. Simplemente debo responder el siguiente correo con “YES, quiero ser millonario”.

La alegría me duró poco porque, por supuesto, este correo (que es enviado en forma masiva) se trata de un engaño denominado Scam en donde se intenta convencer al usuario de que una importante suma de dinero se encuentra disponible y lograr entablar una conversación o dialogo electrónico con el afectado. A este primer correo podría seguir el robo de información confidencial o incluso una estafa si el usuario continúa el contacto.

Recuerde que el peor enemigo en Internet es la confianza en las cosas regaladas y el peor error que podemos cometer es creer este tipo de correos y/o responderlos.

Cristian

Categorias: Educación, Hoax, Spam
1 Comentario »

Desde hace un tiempo se viene viendo un nuevo tipo de spam que a través de enlaces a sitios y servicios legítimos de buscadores como Google, Yahoo y AOL, intentan engañar al usuario.

Esta nueva metodología recibe el nombre de Open URL Redirect y su funcionamiento se basa en la características de ciertos sitios (y buscadores) que permiten la redirección a cualquier otra página web.

En Google se puede utilizar el botón voy a tener suerte, representado por el comando btnI. A través del mismo se envía un enlace al usuario conteniendo una búsqueda de un sitio web con el producto promocionado (generalmente del tipo farmacéutico) y, a través del comando mencionado, se redirige al usuario al sitio deseado.

El spam recibido es un correo normal, promocionando algún producto específico y con un enlace al buscador legítimo:

A través del procedimiento mencionado se redirige al usuario al sitio indicado en inurl y mediante el comando btnI. Por ejemplo, podemos redirigir al usuario al sitio de ESET Latinoamérica, de la siguiente manera a través de Google: http://www.google.com/search?hl=en&q=inurl:eset-la&btnI=I=

Lo interesante de esta técnica es que el usuario puede ser engañado debido a la legitimidad de la URL y que puede no ver nada sospechoso en la misma. Por supuesto esta técnica también puede ser utilizada para propagar malware.

Cristian

• Spam utilizando Google como señuelo
• Blogs de Yahoo utilizados para spam
• Spam: Desagote su pozo negro

Categorias: Spam
1 Comentario »

Siempre remarcamos que no sólo las tecnologías utilizadas en forma masiva son los vectores preferidos para propagar códigos maliciosos sino que también todo aquello que cautive la atención de los usuarios.

Es así que, ya estamos acostumbrados a esperar la propagación de un malware cada vez que sucede algún hecho (atentados terroristas, terremotos, matanzas, etc.) o una noticia ocasiona demasiado ruido como para dar vueltas por todo el mundo.

Y cómo no podría ser de otra manera la, convertida en famosa, frase “¿Por qué no te callas?” ya es utilizada para diseminar códigos maliciosos.

Bajo un correo spam llega un mensaje incitándonos a descargar un video desde YouTube en el cual podremos ver la eventual discusión entre el rey de España y el presidente venezolano, obviamente, lo que descargamos no es un video sino un malware, para ser más exacto, un troyano. Aquí tienen la imagen del spam:

Como verán, cualquier motivo es válido para propagar códigos maliciosos, cualquier excusa también para intentar infectarnos.

Educarnos al respecto se traduce en conocer este tipo de habilidades de las cuales se valen los diseminadores y creadores de códigos maliciosos, permitiéndonos prevenir ser sus víctimas.

Jorge

• ¿Murio Fidel Castro?
• El spam y la Ingeniería Social
• Correo con la muerte Felipe Calderón

Categorias: Educación, Ingeniería Social, Malware, Spam
Sin Comentarios »