Desde uno de nuestros partners en México, VITESSE Networks, nos ha llegado un código malicioso que fue identificado por el laboratorio como Win32/AutoRun.VB.ASA gusano. Como el nombre de la detección lo indica, esta amenaza se propaga principalmente a través de dispositivos de almacenamiento extraíbles.

Por lo mismo, una vez que es ejecutado en el sistema, AutoRun.VB.ASA procede a copiarse en el pendrive de la víctima utilizando algunos nombres sugerentes como Porn, Sexy o Passwords para luego ocultar todo el contenido que se encuentre alojado en el dispositivo de almacenamiento. También, y en caso que el usuario tenga guardados documentos de texto, imágenes o planillas, el código malicioso crea otras copias de sí mismo utilizando los nombres e iconos correspondientes, como puede apreciarse en la siguiente imagen:

En computadoras con Windows XP que no posean el parche correspondiente, es posible que este tipo de gusanos infecten el sistema automáticamente con tan sólo insertar el dispositivo en el puerto USB. Sin embargo, considerando que la actualización para esta problemática fue publicada por Microsoft hace tiempo y ediciones más recientes de ese sistema operativo carecen de AutoRun o autoejecución, los cibercriminales, como pudo apreciarse anteriormente, se han visto en la obligación de tener que innovar y perfeccionar constantemente sus técnicas de Ingeniería Social con tal de maximizar la posibilidad de convertir al usuario en víctima, utilizando este tipo de dispositivos como medio de propagación.

Ver m�s… »

Categories: Análisis de malware
2 Comments »

Cada mes los lectores comparten con nosotros tendencias y estadísticas sobre diversos temas que se plantean contestando las encuestas que preparamos mensualmente en ESET Latinoamérica. Con respecto a la de enero, la temática escogida abordó el tema de las redes sociales y cómo los usuarios comparten información sensible a través de las mismas.

El masivo auge que han experimentado servicios como Facebook y Twitter debido a sus características únicas como la posibilidad de compartir información y noticias logrando un alto alcance e impacto en pocos segundos, o la posibilidad de reencontrarse con personas a las cuales no se les ha visto en harto tiempo, han provocado que los usuarios cambien sus hábitos con respecto a qué datos publican a través de la red.

En el siguiente gráfico se puede apreciar el porcentaje de utilización de algunas redes sociales según las estadísticas recopiladas:

Ver m�s… »

Categories: Estadísticas, Redes Sociales
No Comments »

Desde el Laboratorio de ESET Latinoamérica hemos detectado dos campañas de envío de malware a través de Facebook  que utilizan la figura de la popular cantante colombiana como táctica de Ingeniería Social. En el mensaje se hace alusión a que Shakira supuestamente habría cometido en público un acto poco digno. Para lograr aún mayor curiosidad y posibles víctimas, no se explicita qué más aparece en el video pero sí se menciona que con lo que hace, es suficiente para perderle el respeto. La siguiente imagen corresponde al primer caso encontrado:

Si el usuario es incauto y sigue el hipervínculo, se desplegará una falsa página de Facebook en donde se le pide que ejecute un programa Java cuyo objetivo es descargar y ejecutar automáticamente un código malicioso detectado proactivamente por ESET NOD32 Antivirus como una variante de Win32/Injector.NQM troyano.

Cabe destacar que los ciberdelincuentes al no contar con una firma válida que certifique que dicha aplicación Java es genuina, decidieron utilizar en su lugar el nombre de una conocida empresa informática como puede apreciarse en la siguiente imagen:

Ver m�s… »

Categories: Alertas, Malware
12 Comments »

En el último tiempo se ha observado un incremento en el tipo de vulnerabilidad Cross Site Scripting. Esta clase de falla muchas veces pasa desapercibida por los diseñadores de los sitios web a la hora de codificar sus portales, y por lo tanto no estipulan este tipo de ataque y cuál es su alcance en caso de que se explote exitosamente.

En esta semana se han descubierto varios sitios web de entidades de gran jerarquía con esta clase de vulnerabilidad. En la mayoría de los casos el tipo de vulnerabilidad es de XSS no persistente. Puntualmente, un atacante puede adulterar un enlace web para incorporar código malicioso y mediante técnicas de Ingeniería Social obtener beneficios de la víctima. Un ejemplo claro es la adulteración del enlace para extraer la cookie de sesión del usuario.

Sin embargo existen casos de mayor gravedad, es decir, vulnerabilidades de tipo XSS persistente. Esta es la situación de una de las mayores empresas de Internet cuya plataforma de blogging no filtra correctamente los comentarios que se realizan, lo que permite, por ejemplo, insertar una etiqueta del tipo iframe dentro del código del sitio. De esta manera el código del portal es modificado de manera permanente y no es necesaria la adulteración del enlace ni el uso de Ingeniería Social para explotar la vulnerabilidad de manera exitosa.

Ver m�s… »

Categories: Vulnerabilidades
No Comments »

Desde hace un tiempo Latinoamérica está siendo afectada cada vez en mayor medida por la botnet Volk. En esta oportunidad realizaremos un análisis más profundo de la amenaza a fin de mostrar todas las capacidades y peligrosidad que posee. Como se mencionó anteriormente en este  blog en post relacionados Facebook, troyanos y botnets y San Valentín se acerca con troyano como postal de amor, esta botnet utiliza Ingeniería Social para propagarse y su objetivo principal es el robo de credenciales bancarias. Con este post mostraremos como es que se realiza el robo de credenciales y también hablaremos de otras capacidades adicionales que esta botnet puede realizar. En esta oportunidad analizaremos un archivo malicioso perteneciente a la botnet Volk el cual es detectado por ESET NOD32 Antivirus como Win32/KlovBot.D troyano.

Esta botnet tiene diferentes funcionalidades las cuales son explotadas dependiendo de la variante de la amenaza. Algunas de las actividades maliciosas que puede realizar son:

• Robo de usuarios y contraseñas de servidores FTP y de MSN almacenados en el equipo infectado.
• Ataques de denegación de servicio distribuido (DDOS).
• Modificación y actualización del archivo hosts.txt (Pharming local) para realizar diferentes ataques de phishing.

A continuación se observa el panel de configuración de la botnet donde se detallan todas estas funcionalidades:

Ver m�s… »

Categories: Análisis de malware, Botnet
No Comments »