En una muestra más de que las redes sociales se siguen utilizando para propagar spam, les mostramos en esta oportunidad, un correo electrónico que simula la llegada de una notificación de mensaje directo al perfil de Twitter. Al ingresar al enlace, nos encontramos que éste es redireccionado a una página conteniendo spam. Este tipo de métodos, como hemos visto, explotan los usos de la Ingeniería Social como fundamento básico de difusión.

En estos casos, aprovechan el éxito de la red social, ya que se está transformando en la plataforma de información por excelencia. En los últimos tiempos, las noticias son reveladas algunas veces en estas redes antes que en los demás medios de información, como es el caso de @ReallyVirtual (usuario en Twitter de Sohaib Athar) y su transmisión en vivo de la muerte de Osama Bin Laden.

Los distribuidores de spam envían una falsa notificación de mensaje directo. Por lo tanto, se pueden detectar inconsistencias. Frente a este tipo de solicitudes, es importante comprobar que:

• el enlace dirija a la página correcta.
• la dirección del remitente no contenga información del usuario.
• el mensaje se encuentre en el mismo idioma que el perfil.
• realmente hayamos activado la recepción de notificaciones por e-mail para los mensajes directos.
• el mensaje tenga información precisa (por ejemplo, que el saludo contenga el verdadero nombre de usuario).

Todo esto puede ser observado en un ejemplo de estos correos, que hemos detectado masivamente durante la última semana:

Si el usuario sigue el vínculo para leerlo, se encuentra con una página que ofrece “medicamentos de alta calidad“. La venta ilegal de fármacos es una de las industrias que más utiliza el spam en la actualidad. Esta temática, fue tratada anteriormente por el equipo de investigación de ESET Latinoamérica, donde se realizó un análisis sobre Waledac, una botnet utilizada para propagar spam de este tipo.

Para este tipo de situaciones sugerimos a los usuarios hacer uso de mecanismos para descubrir enlaces engañosos y siempre contar con un antivirus con protección proactiva. Además, en el caso particular de Twitter, existe la posibilidad de desactivar la notificación por e-mail de los mensajes directos:

En las opciones del perfil, basta con seleccionar el casillero correspondiente dentro de la pestaña de notificaciones. Este tipo de medidas es interesante tenerlas en cuenta para todo tipo de redes sociales, ya que, con un poco de precaución y organización, podemos disfrutar de ellas en forma segura.

Raphael Labaca Castro
Awareness & Research Specialist

Categories: Malware, Spam
No Comments »

Qué pasaría si de un momento a otro la cantidad de correos enviada a nivel mundial cayera de manera masiva? La respuesta que uno imagina es caos y falta de comunicación pero sin embargo esto no fue así: esto estuvo relacionado al envío de spam. Esto se debe, a que durante la semana pasada se llevó a cabo el desmantelamiento de la botnet Rustok, conocida por ser la red de computadoras con mayor envió de spam a nivel mundial.

Una botnet es una red de equipos infectados por códigos maliciosos, que son controlados por un atacante, disponiendo de sus recursos para que trabajen de forma conjunta y distribuida. Cuando un equipo ha sido afectado por un malware de este tipo, se dice que es un equipo es un robot o zombi.

Cómo mencionamos anteriormente, Rustok es la botnet que más spam enviaba a nivel mundial. Es por ello que desde el desmantelamiento de la botnet hasta el 16 de marzo la cantidad de spam enviado decreció de manera considerable. En el siguiente gráfico se puede observar cómo la baja de la red fue impactando en el envío de correos:

El takedown de esta botnet fue dirigido por Microsoft, quien efectúo las acciones necesarias para el desmantelamiento de la red más grande de envío de spam activa hasta el momento. Una vez más, distintas fuerzas de seguridad han participado para desactivar estas redes delictivas que suelen llenar las casillas de los usuarios de correo basura.

Durante el año pasado se efectuaron varias acciones similares, coordinadas por distintos organismos de seguridad en todo el mundo, con el único objetivo de realizar el desmantelamiento de las botnet. Como casos puntuales podemos tomar Waledac y Mariposa, donde se desactivaron millones de equipos que se encontraban infectados. Investigaciones de ESET Latinoamérica pudieron determinar, por ejemplo, que equipos infectados por Waledac podían enviar aproximadamente 150.000 correos diarios.

La problemática que presentan las botnets y el crimeware deben ser abordadas en un esfuerzo conjunto entre las entidades privadas y los gobiernos (a través de la legislación y las fuerzas de seguridad), para poder combatir este tipo de delitos informáticos y finalizar sus acciones en la red. Para poder estar protegido ante este tipo de amenazas recomendamos que los usuarios cuenten con una solución antivirus con capacidad de detección proactiva cómo así también una educación en lo que respecta a materia de seguridad.

De esta forma, el caso Rustok se convierte en el primer desmantelamiento de una red botnet importante para este 2011, como ya habíamos pronosticado a finales del último año en nuestro informe “Tendencias 2011: las botnet y el malware dinámico“. Durante el transcurso del año esperamos ver más acciones conjuntas de los organismos de seguridad en contra del ciber crimen, principalmente contra las redes botnet.

Pablo Ramos
Especialista de Awareness & Research

Categories: Botnet, Spam
5 Comments »

Sabemos muy bien que las técnicas tendientes a engañar a los usuarios para cometer fraudes se encuentran a la orden del día. Y bajo este aspecto, el correo electrónico constituye uno de los vectores más utilizados para difundir diferentes tipos de publicidades no solicitadas (spam).

En este caso, la maniobra no se escapa de esta opción. A través de un mensaje cuya apariencia se asemeja a los “dibujos en ASCII” se distribuye un spam cuya imagen podemos observar a continuación.

La misma posee dos enlaces junto a frases en inglés que se podrían traducir como: “hermosas niñas rusas” y “el precio del amor“. Ambos enlaces redireccionan a dos conocidos scam, que hemos tratado en varias oportunidades.

El primero de ellos se trata de Russian dating (citas de Rusia), un supuesto sitio de encuentro para quienes buscan parejas femeninas en Rusia y Ucrania (dos de los países con mayor actividad delictiva en Europa).

Existen muchas “agencias” relacionadas a esto (en este caso se llama AnastasiaDate); sin embargo, los objetivos son siempre los mismos: obtener información de quienes se registran para formar extensas bases de datos que luego pueden ser utilizadas para cualquier tipo de maniobra delictiva, y conseguir un rédito económico a través de la compra del servicio para intercambiar correos con las potenciales parejas víctimas.

El segundo scam, es de la farmacia en línea Canadian Pharmacy, cuya publicidad se realiza a través de diferentes canales y actividad data desde hace varios años, donde en todos los casos las estrategias son dañinas y fraudulentas. El último que hemos mencionado fue durante la campaña de infección y spam a través de Twitter.

A pesar de, en primera instancia, no parecer aspectos relevantes para la seguridad de nuestros equipos, estas actividades se encuentran íntimamente relacionadas con los circuitos delictivos del crimeware y poseen una tasa de implicancia muy alta para la confiabilidad de la información. Tanto a nivel hogareño como a nivel corporativo, ya que el mayor volumen se canaliza a través de infecciones, lo cual genera graves problemas para los usuarios y al mismo tiempo son aspectos críticos en cualquier tipo de organización, no solo por el problema que en la actualidad plantea cualquier incidente relacionado con malware, sino que también por el importante caudal de spam, con todo lo que ello representa, al cual debe hacer frente la organización.

Por eso es sumamente importante que los mecanismos de seguridad implementados se encuentren a la altura de las circunstancias. Que detecte de forma proactiva los códigos maliciosos y frene el correo electrónico a través de un filtrado inteligente. Propiedades nativas de ESET Smart Security.

Jorge Mieres
Analista de Seguridad

Categories: Alertas, Spam
No Comments »

Hace unos días Sebastián nos contaba cómo se estaba llevando a cabo una estrategia de engaño dirigida a los usuarios que utilizan la red de microblogging más popular, mediante la cual se propaga un malware que ESET NOD32 detecta como variante de Win32/Kryptic.ESX.

Estos envíos forman parte de una campaña masiva y a gran escala que se encuentra activa desde hace varios días y que no solo propaga códigos maliciosos sino que también busca promocionar a través de spam diferentes páginas web, entre las cuales se encuentran Canadian Pharmacy y Greenbang.

El ciclo se completa cuando el usuario, luego de hacer clic sobre el enlace incrustado en el cuerpo del mensaje supuestamente emitido por el “Team de Twitter”, es redireccionado hacia algunas de las páginas anteriormente mencionadas.

Sin embargo, la campaña no se limita a emplear como canal de propagación solamente Twitter, donde el asunto se refiere a una numeración siendo del estilo Twitter 778-67, sino que la estrategia también es utilizada a través otros medios, puntualmente Google Groups (sumándose a la campaña que alertamos a principios de Mayo), 110mb.com y t35.com (dos sitios de web hosting, ambos gratuitos) y YouTube.

Desde el Laboratorio de Análisis e Investigación de ESET Latinoamérica estamos siguiendo cada caso. Hasta el momento hemos detectado más de 400 dominios empleados en la campaña y no se descarta la posibilidad de que la misma sea ampliada empleando como vector de propagación otras tecnologías informáticas.

Respecto a los niveles de prevención, los usuarios pueden, como siempre, confiar la seguridad de sus sistemas a los productos de ESET ya que el malware es detectado proactivamente. Además de tener cerca las recomendaciones de seguridad tendientes a prevenir ser víctimas de este tipo de amenazas al navegar y utilizar las tecnologías mencionadas.

Jorge Mieres
Analista de Seguridad

Categories: Alertas, Malware, Spam
4 Comments »

En los últimos días se están haciendo masivos distintos tipos de correo spam que dicen provenir de Twitter pero que en realidad poseen enlaces a sitios de venta de productos farmacéuticos.

Por ejemplo en el siguiente correo se puede ver claramente el engaño:

Como puede verse dice haber sido enviado por “Twitter Support  de support@twitter.com” y tener un enlace a dicho sitio pero, si se presta atención, el enlace lleva a un sitio que nada tiene que ver con Twitter. Un usuario distraído o con cierto apuro para leer el supuesto mensaje pendiente, no dudaría en hacer clic, y este es el punto fuerte que posee esta técnica de Ingeniería Social.

Si se sigue el enlace se puede ver hasta donde nos lleva:

El enlace original redirige al usuario a otro sitio en donde se ofrece productos farmacéuticos, a través del clásico sitio con la imagen de los doctores:

Las técnicas de spam empleadas por los delincuentes se actualizan continuamente y por eso es importante contar con educación y protección para evitar este tipo de correos. En el caso de  ser usuario puede utilizar ESET Smart Security que integra un antivirus, un firewall y un antispam y, en el caso de su empresa puede contar con las soluciones de ESET para protección de correo corporativo.

Cristian Borghello
Director de Educación

Categories: Alertas, Ingeniería Social, Spam
No Comments »