Un grupo de investigadores publicó en su blog, una nueva alerta de un ataque masivo a páginas con inyección de iframe activo, que estuvo particularmente focalizado en sitios de e-commerce. El ataque fue reportado con más de 90 mil páginas afectadas. El iframe permite la ejecución de contenido externo en la página que se está visitando. De esta forma, los visitantes de todos los sitios afectados podían infectarse con malware por el solo hecho de visitar un sitio web de confianza.

A través de diversas vulnerabilidades, todas las páginas afectadas se encuentran con la siguiente inyección de iframe:

Una vez que el usuario visita alguna de las web infectadas, se ejecuta en la maquina del usuario, a través de un ataque multi-stage, código javascript que explota las siguientes vulnerabilidades que afectan al explorador web:

• CVE-2010-0840 – Java Trust
• CVE-2010-0188 – PDF LibTiff
• CVE-2010-0886 – Java SMB
• CVE-2006-0003 – IE MDAC
• CVE-2010-1885 – HCP

Ver más… »

Categories: Alertas
1 Comment »

En varias ocasiones desde el Blog de ESET Latinoamérica reportamos casos de robo de información, en especial, robos enfocados a datos de tarjetas bancarias mediante phishing o malware. Si bien el caso más relevante durante este año fue la intrusión a los servicios de PlayStation Network, donde luego las víctimas de este hecho reportaron usos indebidos en sus cuentas bancarias; en esta ocasión vamos a compartir el descubrimiento de un portal de e-commerce que se dedica a la venta de datos robados de tarjetas de crédito:

Podemos ver que el portal tiene a disposición un total de 4443 datos de tarjetas para la venta. Esto es un claro ejemplo de cómo lo criminales informáticos han ido mejorando sus técnicas para la venta de este tipo de información, donde además se ofrece un soporte en caso de que las tarjetas fallen… En cierta forma, aseguran el producto que venden. Los datos de las tarjetas se encuentran divididos en las siguientes columnas:

• BIN = Pertenece al número que identifica al emisor bancario
• COUNTRY = Es el país al que pertenece la tarjeta de crédito
• STATE = Estado
• CITY = Ciudad
• ZIP = Código postal

  Ver más… »

Categories: Fuga de información
1 Comment »

Sin lugar a dudas, los desarrolladores de malware con base en Brasil son los que mayor tasa de actividades maliciosas presentan actualmente en la región de América Latina, y de hecho hemos adelantado algo a respecto al abordar las implicancias del crimeware tanto a nivel global como puntualmente en la región, entre otros.

Nuestro Laboratorio de Análisis e Investigación cotidianamente recibe un importante caudal de malware diseñado principalmente para ejecutar ataques de phishing contra entidades bancarias de Brasil o robar información relacionada a las credenciales de acceso al Home-Banking, donde los vectores de propagación más empleados son sitios web vulnerados, correo electrónico y clientes de mensajería instantánea.

Recientemente nos han alertado sobre el aprovechamiento de un nuevo canal de propagación/infección a través de la web: sitios de eCommerce.

Lo cierto es que a través de un conocido sitio de comercio electrónico se está propagando un código malicioso de amplia difusión, de origen brasileño y con un objetivo muy concreto: obtener información sensible de los equipos infectados para luego cometer actos delictivos, básicamente, robar dinero.

La estrategia consiste en descargar códigos maliciosos cada vez que el usuario hace clic en determinado banner publicitario. En esa instancia, el tráfico web es redireccionado hacia la página de la publicidad del banner, desde la cual se descarga el malware. A continuación vemos un ejemplo:

Cabe destacar que el sitio web desde el donde se descarga el malware, ha sido vulnerado por los atacantes alojando la amenaza. Por otro lado, en este caso, el banner publicitario se carga en la página web del sitio de eCommerce de forma aleatoria desde un repositorio, por lo que no siempre se llama a la misma publicidad. Sin embargo, la metodología podría ser empleada incrustando el banner en cualquier página web sin importar su contenido.

Desde la página comprometida se intentan descargar dos archivos, llamados oas.jpg y head3.swf, ambos propagados empleando ingeniería social aplicada a los archivos y archivos detectados por ESET NOD32 bajo el nombre de Win32/Spy.Bancos.NXL.

Bajo esta situación, no hay que alarmarse ni tener miedo de comprar a través de Internet, sino que debemos ser prevenidos conociendo este tipo de estrategias empleadas por los usuarios malintencionados. Para obtener más información sobre cómo realizar transacciones seguras a través de la web, los invito a leer el curso gratuito que en relación a esto se encuentra en nuestra Plataforma Educativa, y claro está, mantener actualizado nuestro ESET NOD32.

Jorge Mieres
Analista de Seguridad

Categories: Alertas, Malware
2 Comments »