En las últimas horas, se está propagando un nuevo correo electrónico del tipo spam simulando provenir de la empresa aérea de transporte de paquetes FedEx.

El mismo llega a las casillas de correo bajo la siguiente apariencia:

Como método de engaño, en el cuerpo del mensaje se argumenta que no se ha podido entregar un paquete y en consecuencia se solicita imprimir la factura adjunta. El archivo adjunto es un .zip que contiene, en este caso, un archivo ejecutable llamado Invoice_01082008.exe.

Obviamente, no se trata de ninguna factura sino que se trata de un troyano que ESET NOD32 detecta bajo el nombre de Win32/Spy.Agent.PZ. Este es otro caso de los ya conocidos tickets utilizados para propagar malware y de los supuestos correos de UPS.

El correo electrónico no deseado es uno de los canales de propagación de malware más utilizados, por tal motivo se debe estar muy atento y, de ser posible, no abrirlos. Pero sobre todo, debemos actuar con cautela, aún más cuando poseen archivos adjuntos.

Jorge

Promedio: 4

• Reporte de amenazas de Agosto
• Angelina Jolie invade el correo
• Correos falsos de famosas desnudas

Categorias: Malware, Spam
1 Comentario »

Luego de la inundación de correos masivos de CNN y ahora de MSNBC (que son los mismos correos con distinto asunto), GMail ha comenzado a modificar estos correos eliminando los enlaces de los mismos para que los usuarios desprevenidos no hagan clic e ingresen al sitio dañino.

Los correos se ven de la siguiente forma:

Sin dudas esta es una buena acción para bloquear 11 millones de mensajes por hora. De todos modos, como siempre y desde el principio ESET NOD32 continua detectando por heurística este malware como variante de Win32/Agent.ETH y ya estamos esperando las próximas variantes, con noticias falsas, que seguramente aparecerán en estos días.

Actualización 15:00 hs: ahora también se bloquean los mensajes TIM Brasil.

Cristian

Vota primero

• Detección proactiva de malware con pornografía
• Creando firmas y jugando con adobe_flash.exe
• Reporte de amenazas de Agosto

Categorias: Malware, Spam
Dejar un comentario »

Los correos de Angelina Jolie desnuda siguen llegando casi en la misma proporción que lo hacen los correos de CNN y por eso dediqué un tiempito a analizar qué hace este singular malware.

Como siempre, el enlace del archivo dañino llega en un correo y el usuario termina descargando un programa llamado video-anjelina-jolie.avi.exe que evidentemente es ejecutable y no se debería descargar bajo ningún aspecto. El dominio desde donde se descarga el ejecutable cambia continuamente debido a que son sitios web vulnerables que se utilizan para subir los archivos.

Al ejecutar el archivo, se descarga un troyano detectado por ESET NOD32 como Win32/TrojanProxy.Small.NCA y que se copiará al sistema en c:\windows\services.exe y se ejecutará. A partir de este momento, el proceso se ejecutará cada vez que se inicie el sistema.

Al ejecutarse, el programa espera 5 minutos sin hacer nada para despistar a quien lo esté analizando. Luego, se inician múltiples procesos similares que se encargan de conectarse a un servidor en Internet ([eliminado]. 51.238.230/spm/slon.php aunque puede variar en cada variante del troyano):

Estos procesos se encargan de descargar todas las direcciones de correo a las que se debe enviar spam y así asegurar la continuidad de la propagación. Luego de tener las direcciones de correo se comienza con el envío de spam utilizando para ello, distintos servidores SMTP con conexiones simultaneas:

No es difícil adivinar que la cantidad de procesos creados y las múltiples conexiones a Internet ralentizan el sistema a límites insospechados (incluso ocasionando pantallazos azules).

Esta campaña de propagación de malware está íntimamente relacionada con Antivirus XP 2008 y los nuevos archivos video-anjelina-jolie.avi.exe ya son detectados como Win32/TrojanDownloader.FakeAlert.FZ por ESET NOD32.

Cristian

Vota primero

• Correos falsos de famosas desnudas
• Angelina Jolie invade el correo
• Carla y sus fotos

Categorias: Malware, Spam
4 Comentarios »

Creo que ya no es noticia para nadie que desde hace un par de semanas se está aprovechando a CNN como excusa para propagar malware y que comenzó con la campaña de los videos de famosas desnudas (y no sólo Angelina Jolie).

Por eso en este caso analizaré las técnicas que se están empleando para hacer esta campaña que tiene como objetivo que el usuario descargue el troyano Win32/Agent.ETH que luego descarga el rogue Antivirus XP 2008 que ESET NOD32 detecta a través de su Heurística Avanzada como variante de Win32/TrojanDownloader.FakeAlert.FT y que es objeto de estudio nuestro artículo Rogue: falsos antivirus gratis.

Para propagarse, en el primer caso se envía spam con supuestas noticias y texto llamativos para que el usuario se vea tentado de hacer clic.

Estos correos utilizan una técnica básica de Ingeniería Social y generalmente incluyen logos de algún medio de comunicación (como CNN ó BBC) para lograr mayor impacto y credibilidad. En los últimos casos analizados también se insertan enlaces a noticias reales con el mismo fin. En este ejemplo, se puede ver un supuesto servicio llamado “CNN Alerts” para lograr el efecto deseado:

Cabe mencionar que CNN dispone de este servicio de información CNN E-Mails a través del correo electrónico, pero el usuario debe registrarse previamente para recibir las noticias. Es decir, que este tipo de engaño puede obtener mayor repercusión en usuarios registrados ya que los mismos podrían confundir el correo real con el falso.

Hasta aquí es noticia vieja, ya que es normal que el malware se propague por spam. Lo novedoso de esta campaña es que los creadores de malware también la están difundiendo por la web a través del servicio de Blog de Google:

Como puede verse, la metodología es la misma y a la derecha se pegó la cantidad de posts publicados en ese blog durante su laaaaaaarga vida… desde 1979 año en que había alrededor de 3 computadoras conectadas en el mundo, las usaban los militares norteamericanos e Internet, como la conocemos hoy, aún no existía. Además, evidentemente esta persona conoce la forma de viajar al futuro, al Año 2013 específicamente.

Por supuesto, se trata de la creación masiva de posts en blogs creados automáticamente para engañar a los usuarios. Lo grave de este caso es que si se realiza una búsqueda en cualquier buscador, se pueden encontrar más de 8.000 sitios de este tipo:

Lo realmente peligroso es que el usuario podría ingresar a estos sitios desde el mismo buscador y ser infectado, si no cuenta con la protección adecuada.

Por eso, es fundamental no abrir nada que no se haya solicitado y prestar especial atención a las URL de las búsquedas que se realizan, así como también desconfiar de los servicios a los que no se está suscripto.

Cristian

Vota primero

• La Wikipedia utilizada para propagar malware
• Homero Simpson propaga un troyano
• Falsos correos de FedEx

Categorias: Alertas, Educación, Ingeniería Social, Malware, Spam
8 Comentarios »

En las últimas horas nuestro Laboratorio ha recibido correos con mensajes que simulan provenir de la red social Orkut, pero que en realidad tienen el objetivo de engañar al usuario para que este descargue un malware a su equipo.

Como puede verse el enlace conduce a un sitio que no pertenece a Orkut y, al hacer clic se descarga un archivo llamado Msg_111200310.scr. La extensión .scr en realidad es un archivo ejecutable renombrado que procede a infectar el equipo con un troyano que ESET NOD32 detecta como Win32/Agent.ETH.

Cristian

Vota primero

• SpReSo: SPam en REdes SOciales
• Falsos perfiles en Twitter propagan malware
• Urgente: un virus que come tu disco rígido

Categorias: Malware, Phishing, Spam
1 Comentario »

Este es un ejemplo de lo que sucede actualmente con el spam que dice ofrecer imágenes y videos de famosas desnudas (no sólo Angelina Jolie).

Cada uno de estos enlaces es ofrecido en un correo distinto y si el usuario hace clic en cualquiera de ellos, será infectado por Nuwar, Win32/TrojanDropper.Small.NHU, Win32/Agent.ETH o por Win32/TrojanDownloader.FakeAlert.FF conocido por ser el rogue Antivirus XP 2008.

Internet es un medio maravilloso pero no quiere decir que todo lo que veamos allí sea cierto.

Nota: De este último falso antivirus conocido como Antivirus XP 2008 hablaremos pronto.

Cristian

Promedio: 4

• Detección proactiva de malware con pornografía
• Reporte de amenazas de Agosto
• Top 10 de videos (falsos) de CNN

Categorias: Malware, Spam
4 Comentarios »

Al igual que sucedía con los falsos perfiles en el foro de Unicef, en esta ocasión hemos encontrado el mismo tipo de técnica utilizada en la red social Hi5.

Es común que los spammers utilicen el splog (comentarios no deseados en foros y blogs) para promocionar sus sitios de venta de productos. Mediante esta técnica se enlaza el sitio promocionado en los comentarios de cualquier otro sitio, de la siguiente manera:

En este caso, y como puede verse, el sitio promocionado es en realidad un subdominio de la red social Hi5. Si el usuario, que lee el comentario en el blog o foro ingresa a este sitio, terminará viendo una publicidad:

Una vez más vemos como las redes sociales y las ventajas que ofrecen las nuevas formas de comunicarse son aprovechadas por los delincuentes en su provecho.

Nota: luego de nuestra comunicación Hi5 ha procedido a eliminar estos perfiles falsos. ¿Cuánto tiempo pasará para que los atacantes usen esta técnica nuevamente para propagar malware?

Cristian

Vota primero

• Sitios conocidos para promocionar Viagra
• Perfiles falsos de spaces.live.com
• SpReSo: SPam en REdes SOciales

Categorias: Spam
5 Comentarios »

En las últimas horas, nuestro Laboratorio ha descubierto la diseminación de un código malicioso que como argumento simula provenir de la prestigiosa cadena de noticias BBC News, pero en realidad sus enlaces conducen a sitios web vulnerados de Latinoamérica.

En esta oportunidad, y como es costumbre en el malware actual, la amenaza intenta llegar hasta los usuarios a través de un correo spam cuyo argumento engañoso se basa en que el mismo permite, supuestamente, visualizar videos gratuitos de diferentes celebridades.

Además de simular provenir desde la BBC News, en el cuerpo del mensaje también podemos leer que involucra a la empresa Microsoft. Como de costumbre esta amenaza es detectada y bloqueada por ESET NOD32 a través de su motor de Heurística Avanzada.

Jorge

Vota primero

• Top 10 de videos (falsos) de CNN
• Entrevista a los creadores de MPack
• Falso correo con la captura de Bin Laden

Categorias: Alertas, Malware, Spam
1 Comentario »

En las últimas horas nuestro Laboratorio ha recibido vía spam una gran cantidad de correos semejantes, simulando provenir de la empresa United Parcel Service (UPS), con el seguimiento de un supuesto envío postal de un paquete. Cada correo además contiene un archivo adjunto comprimido, el cual se nos solicita que imprimamos:

Por supuesto el correo no proviene de UPS y como puede verse, al descargar el archivo y descomprimirlo, en realidad se trata de un archivo ejecutable al que se le ha cambiado el ícono para simular ser una aplicación de Microsoft Word. Si el usuario ejecuta este archivo, se infectará con el troyano que ESET NOD32 detecta como Win32/PSW.Agent.NIF.

Vale estar prevenido ante esta amenaza por la gran cantidad de correos que se están recibiendo.

Cristian

Vota primero

• Falsos tickets utilizados para propagar malware
• Troyano bancario por correo electrónico (video caseiro)
• Falso correo con la captura de Bin Laden

Categorias: Malware, Spam
1 Comentario »

Luego de la repercusión de I y II y, ante la duda expresada por correo de algunos usuarios, paso a aclarar algunos puntos fundamentales de esta amenaza:

1. Que el correo sea enviado por usuarios legítimos significa que los correos proceden de cuentas de Hotmail, Yahoo! o GMail de cualquier usuario (como las suyas o las mías) y que los correos no son simulados sino que realmente provienen de esas cuentas debido a que el delincuente tiene el usuario y la clave de las mismas. Por eso, cambiar la clave del correo es la solución en este caso.
2. Si Ud. ingresó sus datos en sitios dudosos o sospecha que su usuario y contraseña pueden haber sido robados, cambie la contraseña de su correo inmediatamente.
3. La cantidad de infecciones sigue creciendo llegando en este momento a 30.000 descargas del malware en menos de 48 hs. Esto puede deberse a que actualmente muy pocos antivirus detectan la amenaza y que además existen más cuentas robadas continuamente, lo que ayuda a alimentar este círculo vicioso.
4. Luego de instalarse, el gusano detectado por ESET NOD32 como Banwor roba sistemáticamente usuarios y contraseñas de correos y cuentas bancarias y actualmente existen tres variantes del mismo, que están siendo utilizados en este ataque. Los archivos .dll y .exe residen en la siguiente carpeta:

   

   Estos archivos corresponden a:

   • gbppdist.dll -> Win32/Banwor.NBG
   • gbiehdst.dll y gbppsv.exe -> Win32/Banwor.NBI
   • gbplib.dll -> Win32/Banwor.NBF
5. La modificación llevada a cabo en el sistema puede verse claramente mediante ESET SysInspector en donde diversos archivos del sistema son inyectados por el gusano para mantener el control del mismo:

   

Nuevamente, cuide sus datos personales, cambie su contraseña, verifique su sistema con un antivirus con capacidades proactivas y revise las carpetas de su sistema en busca de archivos sospechosos.

Actualización 18:00 Hs: Los archivos mencionados anteriormente corresponden a “Plugins” del malware, los cuales roban datos de cuentas diferentes bancos de Brasil, país de cual proviene Banwor.

Actualización 19/07/2008 21:00 Hs: A continuación dejo una imagen del archivo grabado por el gusano Banwor y su contenido con información robada, al ingresar a un banco de Brasil:

Los bancos afectados pueden cambiar dependiendo de la versión de Banwor que se trate.

Cristian

Vota primero

• Propagación de malware vía correos legítimos
• Propagación de malware vía correos legítimos (II)
• Reporte de amenazas de Julio

Categorias: Alertas, Curiosidades, Educación, Eventos, Malware, Spam
Dejar un comentario »