Tenemos el agrado de compartir con ustedes el reporte mensual de amenazas y tendencias correspondientes a abril, mes en el que se destacó la propagación de códigos maliciosos utilizando un servidor web vulnerado como el método preferido de los cibercriminales para propagar malware. Esta técnica, descrita en el informe Tendencias 2013: vertiginoso crecimiento de malware para móviles, continúa arraigándose en la región y no solo incluye la vulnerabilidad de servidores, sino también el uso de troyanos diseñados específicamente para redirigir a las víctimas hacia la descarga de diversas amenazas. Por otro lado, el phishing continúa siendo, nuevamente, una amenaza informática significativa debido a la sencillez y efectividad en el funcionamiento interno de este tipo de ataque.

• Durante abril, se pudieron observar algunos casos de propagación de códigos maliciosos utilizando un intermediario, es decir, un servidor web legítimo que ha sido comprometido por cibercriminales. En esta línea, los blogs son uno de los servicios más vulnerados en Latinoamérica con el propósito de propagar amenazas como Win32/TrojanDownloader.Banload sin que la víctima se percate de lo ocurrido. Asimismo, un estudio revela que el 42% de los servidores vulnerados con iframes son de Brasil. Le siguen Argentina, México y Chile como los países más afectados por esta tendencia. En esta línea, y de acuerdo a ESET Live Grid, miles de víctimas están siendo redirigidas hacia sitios maliciosos debido a servidores web Apache infectados con el troyano Linux/Cdorked. Este caso puntual demuestra que los cibercriminales están optimizando el modo en cómo vulneran los servidores web para propagar malware.
• Nuevamente el phishing ocupó un lugar importante dentro de las amenazas destacadas. En abril se pudo observar cómo los cibercriminales mejoraron este tipo de fraude informático al intentar vulnerar el factor de doble autenticación implementado por algunos bancos. Posteriormente, apareció un caso que afectaba a una entidad panameña, y que además, intentaba robar contraseñas de correos electrónicos. Asimismo, el ataque sufrido por AP (Associated Press) en donde atacantes comprometieron, a través de phishing, la cuenta de Twitter y publicaron una falsa noticia, demuestra que este tipo de amenaza informática también está siendo utilizada para perpetrar ataques en contra de entidades específicas y no solamente usuarios finales.

Ver m�s… »

Categories: Malware, Reportes mensuales
4 Comments »

Desde ESET Latinoamérica creemos que la educación de los usuarios con respecto a las amenazas informáticas es un factor clave para lograr una protección integral. Por lo mismo, hemos relanzado los Videos Educativos de ESET con el objetivo de seguir concientizando a las personas sobre diversos temas de Seguridad de la Información.

En esta oportunidad, compartimos con ustedes una interesante explicación de nuestro Analista de Seguridad Fernando Catoira, que explica en qué consiste el funcionamiento de un troyano Qhost:

Tal como se puede apreciar en el video, los troyanos Qhost proceden a modificar el archivo hosts del sistema operativo – lo que se denomina pharming local – para redirigir a la víctima hacia sitios fraudulentos o maliciosos. En esta línea, la mayoría de las páginas que suelen emplear este tipo de amenazas corresponden a portales bancarios clonados con el objetivo de perpetrar ataques de phishing. Es importante destacar que en este tipo de casos, y a diferencia de un phishing “tradicional”, el usuario no notará ninguna dirección extraña, o diferente a la legítima, en la barra de direcciones del navegador. Por lo tanto, es de suma importancia que preste atención al video y la forma en que se puede visualizar y limpiar el archivo hosts de la computadora para evitar la redirección y un eventual robo de contraseñas.

Por otro lado, pese a que es una técnica que los cibercriminales utilizan hace bastante tiempo, el pharming local continúa implementándose masivamente tal como puede observarse en casos como PiceBOT, troyano propagado a través de un falso concurso que prometía un iPhone 5 y que afectó a Chile, Costa Rica y Panamá, y Neurevt, amenaza que roba información en Argentina, México y Venezuela. Nuevamente invitamos a todos los usuarios a reproducir este video sobre el funcionamiento de los troyanos Qhost. Asimismo, aprovechamos de comentar que dentro de poco tiempo estaremos publicando más videos. Cualquier novedad estará siendo comunicada oportunamente a través de diversos canales como este Blog del Laboratorio, Facebook, y demás.

¡Esperamos que lo disfruten!

André Goujon
Especialista de Awareness & Research

Categories: Educación, Malware
1 Comment »

De parte de Mitek, distribuidor exclusivo de ESET en Panamá, hemos recibido un caso de phishing que afecta a un conocido banco de ese país. Además de intentar robar información financiera del usuario, este fraude también busca obtener las credenciales de acceso del correo electrónico de la víctima.

El phishing es una amenaza informática que aunque clásica, continúa siendo ampliamente utilizada por los cibercriminales para obtener rédito económico. Pese a que su modo básico de funcionamiento se ha mantenido inalterado durante los años, los atacantes han ido mejorando algunos aspectos del phishing para hacerlo más eficiente. A continuación se muestra una tabla que explica seis “mejoras” implementadas por los ciberdelincuentes:

Como se ha podido observar, los cibercriminales emplean técnicas como geolocalización, interacción telefónica, solicitud de tarjeta de coordenadas, intento de vulneración de factor de doble autenticación, publicación de consejos de seguridad, y robo de información de más de un tipo de servicio con el objetivo de optimizar el funcionamiento del phishing clásico. El caso de phishing en el cual hemos podido observar el punto seis llega a través del siguiente correo electrónico:

Ver m�s… »

Categories: Educación, Phishing
No Comments »

En el Laboratorio de Investigación de ESET Latinoamérica hemos recibido una campaña de phishing destinada a usuarios de un conocido banco chileno. A diferencia de otros casos, en esta oportunidad los atacantes implementaron algunas técnicas que aunque no son del todo nuevas, tampoco suelen observarse de forma frecuente.

Este ataque llega a través de un correo electrónico cuyo asunto es “Importante”. En el cuerpo del mensaje se le informa al usuario que de acuerdo a unas supuestas normas implementadas en 2013, es necesario que ingrese su “segunda clave” y otros datos. A continuación, se muestra una captura del correo. En rectángulos rojos aparecen marcados dos elementos que llaman la atención:

En primer lugar, destaca la dirección que utilizaron los ciberdelincuentes para camuflar el enlace malicioso. Tal como se puede observar, esta comienza por https como forma de legitimar el ataque y disminuir la posibilidad de que el usuario sospeche que se trata de un fraude. Luego, y como se mencionó anteriormente, los cibercriminales indican en el mensaje que la persona deberá ingresar una segunda clave. Por lo general, y en base a una encuesta realizada por ESET Latinoamérica, los datos más solicitados por los atacantes a través de un phishing son las credenciales de acceso con 81% y las tarjetas de crédito con 46%, sin embargo, en este caso no solo se solicita el RUT (número de identificación personal usado en Chile) y contraseña, sino también el factor de doble autenticación o token de seguridad. Si la persona no es precavida y visita el enlace, será dirigida a un sitio que luce casi idéntico al de la institución suplantada:

Ver m�s… »

Categories: Phishing
2 Comments »

Últimamente, se han estado analizando diferentes casos de fraude a entidades bancarias desde los Laboratorios de Investigación de ESET Latinoamérica, solo por citar algunos ejemplos, nos podríamos encontrar con artículos cuyos escritos pretenden dar un enfoque acerca de qué información tienden a tratar de substraer los atacantes, como podemos observar en los phishing a webmails, redes sociales y demás; o incluso en casos en los que se trata de instruir al usuario para que no caiga víctima como el phishing que afectaba a un banco argentino.

Este post pretende dar una perspectiva un poco más técnica, y demostrar varias herramientas que nos pueden ayudar a reconocer o analizar estas amenazas.En la semana pasada ha estado muy activo un sitio de phishing que fue rápidamente bloqueado tanto por las soluciones de ESET como por los diferentes navegadores.

Esta estafa llagaba a su potencial victima por medio de un correo electrónico que contenía enlaces malintencionados que pretendían redirigir a una copia de uno de los bancos más grandes de Costa Rica:

Esta página no tiene todas las funcionalidades activas, y solo funciona la sección de ingreso a la cuenta, cualquier clic en una zona fuera de las opciones de “banca por internet” no tendrán efecto alguno. A continuación, se puede observar la única sección funcional del sitio:

Ver m�s… »

Categories: Malware, Phishing
1 Comment »