Con mucho placer les presentamos la inauguración de nuestra Gira Antivirus en la hermosa ciudad de São Paulo, Brasil. Luego de 7 años exitosos por toda América Latina sumaremos, a partir de la edición 2012, al país norteño.

La Gira Antivirus 2012 viene de haber visitado Ecuador y luego México, Costa Rica y Venezuela durante el mes de abril y continúa, esta semana, abriendo un nuevo ciclo de capacitaciones en universidades brasileñas. El año pasado, visitamos más de 90 universidades totalizando 140 charlas por toda América Latina.

A continuación compartimos con ustedes la agenda de las universidades que visitaremos:

-          Martes, 15 de mayo, a las 20 h estaremos visitando la la facultad Impacta en la Rua Arabé, nº 71  – Vila Clementino,  en donde impartiremos nuestro seminario: “Investigación en seguridad: el malware en Internet”

-          Miércoles, 16 de mayo, a las 18 h, nos encontraremos en la universidad BandTec, localizada en la Rua Estela 268, Vila Mariana. Allí, estaremos presentando nuestra charla de “Investigación en seguridad: el malware en Internet”.

-          Miércoles, 16 de mayo, 21 h también estaremos presentado nuestra charla de “Investigación en seguridad: el malware en Internet” pero  esta vez en la Universidad São Judas Tadeu, que queda en el barrio de la Mooca en la Rua Taquari 546.

-          Finalmente, el jueves 17 de mayo a las 19.30 h estaremos en la FATEC, localizada en Avenida Tiradentes 719, en el barrio de Bom Retiro, también en la ciudad de São Paulo.

Después esta agitada semana, la Gira Antivirus se estará preparando para visitar a Uruguay y Chile durante este mismo mes. Recuerden que nuestros seminarios están orientados a la concientización de los usuarios en la Seguridad de la Información y en las eventuales amenazas a las que se exponen día a día por el uso de Internet. Adicionalmente, nuestros seminarios son gratuitos y abiertos a todo público, por lo que no hay excusas para no asistir.

¡Los esperamos!

Raphael Labaca Castro
Coordinador de Awareness & Research

Categories: Corporativo, Educación
No Comments »

En variadas oportunidades hemos discutido y analizado distintos casos de phishing que han afectado una amplia gamas de instituciones financieras, aerolíneas, tarjetas de crédito y redes sociales. Sin embargo, el phishing que hemos encontrado hoy, aunque no se diferencia de otros por su objetivo o entidad afectada que es un importante banco de Brasil, sí es distinto y marca una nueva tendencia en este tipo de ataques al ser geolocalizado, es decir, sólo puede ser accedido desde computadoras que estén ubicadas en Brasil (utilizando una dirección IP de ese país) o un servidor proxy de la misma nación. Cualquier acceso que se haga desde otra parte del mundo, es denegado y no se muestra el phishing sino que un error de prohibición.

Para lograr ese objetivo, los cibercriminales emplean una tecnología conocida como geolocalización, técnica mediante la cual detectan el país de origen de la visita para permitir o negar el acceso dependiendo del criterio establecido. En las siguientes capturas se puede apreciar qué sucede cuando se intenta visitar el phishing desde Brasil y después desde cualquier otro país:

A través de la geolocalización, los ciberdelincuentes son capaces de cumplir dos objetivos que de otro modo, sería imposible. En primer lugar, maximizan la posibilidad de obtener rédito económico al asegurarse que sólo las personas pertenecientes al grupo objetivo del ataque (en este caso usuarios brasileños, todas potenciales víctimas) puedan acceder al sitio fraudulento. El motivo tras esta implementación radica en que los usuarios de otros países no representan ningún tipo de ganancia porque aparte de hablar otro idioma, no contarán con una cuenta bancaria brasileña. Sumado a que la información de “extranjeros” no posee validez alguna para este caso, mientras más personas visualicen el fraude, mayor es la posibilidad que el sitio sea dado de baja por un exceso en el consumo de ancho de banda del servidor en el cual está alojado el phishing, o porque alguien lo reporta al área correspondiente para su cierre.

Ver m�s… »

Categories: Alertas, Phishing
2 Comments »

En el día de ayer recibimos en nuestro laboratorio un correo electrónico que utiliza como tema de Ingeniería Social un supuesto accidente que habría sufrido una niña en Río de Janeiro al intentar saltar desde una altura de 30 metros para hacer funcionar un parapente. Para hacerlo más creíble se adjunta una imagen que aparenta ser un video compartido por redes sociales y se afirma que el falso archivo adjunto (el malware es descargado a través de un enlace insertado en la imagen) fue analizado por la solución antimalware de Hotmail encontrándose limpio.  En la siguiente captura se puede apreciar el correo recibido y la considerable cantidad de direcciones a las cuales se envío este ataque utilizando el campo “Para”:

Como se mencionaba anteriormente, si el usuario sigue el hipervínculo presionando sobre el supuesto video, estará descargando un archivo malicioso con extensión COM  que hace alusión al portal YouTube al incluirlo como parte de su nombre y así utilizar una artimaña más, la confusión que puede generar la similitud entre un archivo ejecutable COM y el dominio genérico de un sitio web .com. En el primer caso, se tratan de archivos ejecutables que solían ser utilizados en sistemas operativos antiguos como MS-DOS y que en la actualidad, se están usando ampliamente para facilitar la propagación de malware al lograr engañar a más usuarios que de otro modo, podrían percatarse de una extensión sospechosa como .EXE. En el segundo caso, .com se utiliza como dominio de Internet genérico a diferencia de otros territoriales como .cl (Chile) o .ar (Argentina) que pertenecen a un determinado país. Este “trágico accidente” es detectado por ESET NOD32 Antivirus como Win32/TrojanDownloader.Agent.RDR troyano. Si esta amenaza es ejecutada, intenta descargar dos archivos que actualmente están corruptos, es decir, que no funcionan correctamente. Sin embargo, cabe destacar que en cualquier momento los ciberdelincuentes responsables de estos códigos maliciosos pueden actualizar el servidor desde donde son descargados esos archivos con la finalidad de subir más malware.

Ver m�s… »

Categories: Alertas
No Comments »

La Ingeniería Social es sin duda uno de los métodos más eficaces a los que recurren los ciberdelincuentes con el objetivo de obtener rédito económico mediante la manipulación de los usuarios desprevenidos para que ejecuten algún código malicioso, o en este caso, que entreguen toda la información de su tarjeta de crédito como el número completo de la misma, fecha de expiración, código de seguridad, nombre y apellido del titular y número CPF (número de registro para identificar a los ciudadanos y residentes brasileños).

Mediante la falsa promesa sobre un concurso asociado a la marca de la tarjeta del usuario, los cibercriminales seducen a la potencial víctima para que entregue la información anteriormente mencionada, pero a través de tres pasos para no levantar la sospecha de la persona.  En una primera instancia se solicitan los primeros seis dígitos de la tarjeta de crédito. Luego, los otros dígitos faltantes y más datos como fecha de caducidad y código de seguridad. Finalmente, la víctima debe ingresar su CPF. Una vez que se han completado las etapas contempladas en este fraude, se le informa al usuario que el registro para el supuesto concurso se realizó de forma exitosa y se incluye un número falso de transacción como forma de legitimar el proceso.

Ver m�s… »

Categories: Phishing
No Comments »

Tal cual comentamos en el post titulado Inscripción a Gran Hermano 2012 un tanto peligrosa, utilizando ingeniería social los creadores de malware aprovecharon el interés de las personas que quieren participar en el reality show Gran Hermano para propagar malware. En esta oportunidad analizaremos mas en profundidad el archivo ejecutable que es utilizado para realizar el robo de credenciales bancarias.

Esta archivo malicioso en particular, detectada por ESET NOD32 Antivirus como Win32/Spy.Banker.WQR Troyano, esta orientada al robo de datos de home banking de dos bancos de Argentina. Como podemos apreciar la URL de login de estos bancos aparecen en la captura.

En esta muestra, no solamente encontramos URLs de bancos sino que también contiene otras URLs con contenido interesante. Haciendo un análisis estático del binario, vemos que crea una sección en memoria la cual contiene varios dominios los cuales se utilizan para diferentes funciones.

Ver m�s… »

Categories: Análisis de malware
No Comments »