Todos los meses, nuestros lectores comparten con nosotros información y estadísticas a través de las encuestas preparadas en ESET Latinoamérica. En abril, el tópico planteado fue cómo los usuarios utilizan el correo electrónico y a qué amenazas o problemas se han tenido que enfrentar por medio de esta vía. A través de los años, esta plataforma ha revolucionado el mundo de las comunicaciones al ser una herramienta altamente eficiente y masiva. Debido a lo anterior, los cibercriminales han abusado ampliamente de estas características para propagar diversas amenazas informáticas como códigos maliciosos, phishing, correo basura o spam, fraudes electrónicos o scam, entre otros.

Con respecto a qué tipos de correos reciben los encuestados, un 87,4% afirmó recibir publicidad no deseada o spam, convirtiéndose este en el problema más frecuente para los usuarios de correo electrónico. Luego, un 75,9% aseveró lo mismo pero con cadenas, es decir, mensajes que buscan convencer al destinatario que reenvíe el mismo empleando cualquier excusa o incluso supersticiones, lo que provoca una pérdida de tiempo y saturación innecesaria de los servicios. En tercer lugar queda el phishing con un 37,2% de las elecciones. Interpretando estas cifras, específicamente las que respectan al spam, resulta preocupante que un 42% de los usuarios asegura leer este tipo de correos si el mismo le resulta interesante. Algo similar aunque más grave ocurre con el 2,3% que lee todos los correos sin excepción y otro 2,5% que lee con frecuencia mensajes con promociones en su interior. Aunque los correos indeseados no necesariamente contienen algún código malicioso que dañe la computadora, es importante destacar que cualquier producto, servicio, o promoción que llegue a través de este tipo de mensajes, es probable que no sea tal o no cumpla con las expectativas del usuario. Por lo mismo, es importante borrar este tipo de correos automáticamente sin leerlos ni menos visitar el o los enlaces que allí se ofrezcan.

Frente a la pregunta sobre si el usuario ha sufrido ataques informáticos por esta vía, destacamos que del 30,6% que aseveró aquello, un 28,1% afirmó haberlo sido específicamente por no tener cuidado y abrir un enlace recibido dentro de un correo electrónico. Abrir hipervínculos de correos, redes sociales u otros, debe evitarse en lo posible, y de no ser así, comprobar que el enlace sea el correcto y no uno falso que esté camuflado. Sobre el otro 2,5% que fue estafado por alguna promoción falsa recibida por este medio, y al 21,1% que desconoce si ha sido víctima de ataques informáticos relacionados al correo electrónico, le recomendamos la lectura de nuestra publicación Guía para identificar correos falsos en donde se explican algunos puntos que el usuario debe considerar al momento de comprobar si un correo es genuino o no para prevenir aquellos que resulten maliciosos.

Ver m�s… »

Categories: Estadísticas
No Comments »

Tenemos el agrado de compartir con ustedes una vez más el reporte de amenazas y tendencias correspondiente a abril, mes en el que continuamos con nuestra exitosa Gira Antivirus a través de Latinoamérica. Primero fue el turno de Ecuador, país en donde estuvimos presentes en dos ciudades, Guayaquil y Quito. Luego, tuvimos una semana muy agitada en donde diversos integrantes del equipo de Educación e Investigación de la compañía, visitaron más países como México, Venezuela y Costa Rica, brindando en todos ellos, charlas de concientización en universidades y en el caso de los primeros dos, también nuestro evento corporativo ESET Security Day 2012. Aprovechamos la ocasión para recordarles a los estudiantes que aún están a tiempo de participar en el Premio Universitario ESET 2012. El ganador tendrá la posibilidad de viajar a Dallas, Estados Unidos, con todos los gastos pagos, para poder participar en el evento Virus Bulletin 2012:

• Uno de los principales temas del mes fue la continuidad en la propagación de OSX/Flashback, troyano que logró reclutar miles de computadoras Mac demostrando no sólo que una botnet es posible en otros sistemas más allá de Windows, sino también que el eslabón más débil son los propios usuarios y no necesariamente el nivel de seguridad implementado tecnológicamente en un sistema operativo. Las personas son quienes deben adoptar un comportamiento precavido y adecuado con el fin de evitar ser víctimas del cibercrimen sin importar cuál software o plataforma utilicen. Continuando en esta línea, destacamos el análisis de inteligencia realizado por nuestros investigadores de ESET sobre OSX/Lamadai, quienes descubrieron algunos aspectos del modo de operar de los controladores responsables de esta botnet.

• Durante abril también pudimos observar cómo una clásica pero aún efectiva táctica para obtener información financiera –el phishing–, evolucionó para maximizar el rédito económico por parte de los ciberdelincuentes. A través de la tecnología de geolocalización, los cibercriminales están comenzando a emplear este método con el fin de que sólo aquellos usuarios que forman parte de los objetivos o target de estos grupos delictuales, puedan acceder al phishing. De este modo, nuestro laboratorio encontró un caso que afectaba a un importante banco de Brasil y cuyo contenido era accesible solamente desde ese país. Mediante esta técnica, los responsables se aseguran de obtener información válida que sea de utilidad y que el phishing, tenga una duración mayor al pasar inadvertido por usuarios de otros países que podrían contribuir a darlo de baja.
• Prueba de la efectividad que caracteriza a la técnica del phishing son los 31.000 usuarios que se vieron afectados por el robo de sus nombres de usuarios y contraseñas de Twitter. El motivo, un phishing que seducía a las potenciales víctimas mencionando que se estaban haciendo comentarios malintencionados de estas a través de la red social. Una vez que el usuario visitaba el enlace malicioso, se le solicitaban sus credenciales con la excusa que la sesión había expirado debido a un período de inactividad prolongado. Algo a destacar de esta situación fue que dentro de la lista de víctimas, habían personas relacionadas a sectores gubernamentales, educativos y otros, demostrando que la educación no sólo es necesaria para los usuarios finales sino que para todos por igual.
• Con respecto a usuarios y contraseñas mencionar que cPanel, conocida herramienta de administración web, podría exponer datos sensibles si el administrador no emplea correctamente este programa. Mediante la creación de un archivo que expone dicha información, buscadores como Google pueden exponer esas credenciales si el usuario no borra dicho fichero. Por otro lado, la encuesta de abril, que mes a mes realizamos en ESET Latinoamérica arrojó algunos aspectos preocupantes con respecto a cómo los usuarios manejan el tema de las contraseñas. Un 36,7% de los encuestados afirma utilizar una o pocas contraseñas para todos los servicios, lo que equivaldría a tener una única llave para la casa, bodega, caja fuerte y oficina, exponiendo innecesariamente información valiosa.
• El prolífico gusano Dorkbot sigue haciendo de las suyas. A través de Ingeniería Social, los cibercriminales responsables de esta amenaza propagaron este código malicioso haciendo alusión a un supuesto mensaje multimedia (MMS) que le habría llegado al usuario. Por otro lado, se dio a conocer oficialmente que el FBI retirará los servidores DNS que implementó de forma temporal para no dejar sin conexión a Internet a los usuarios afectados por el malware Win32/DNSChanger. Aquellos que sigan infectados podrían quedarse sin acceso a la web si pasado el 9 de julio próximo, no remueven el código malicioso de sus sistemas.
• Finalmente, destacamos algunas tendencias relacionadas al mundo de la telefonía móvil y la seguridad. En primer lugar, algunos investigadores determinaron que las aplicaciones mobile de Facebook, LinkedIn y Dropbox son susceptibles al robo de contraseñas debido a que almacenan en texto plano, las credenciales de acceso a estos servicios. Sumado a lo anterior, un estudio de PwC demostró que a nivel corporativo, las empresas no están adoptando las medidas de seguridad necesarias con respecto a los smartphones de los empleados y cómo estos utilizan los recursos de la compañía. Por último, nuestro laboratorio realizó un informe que explica la evolución que han tenido los códigos maliciosos para Android y la detección de un troyano específico para usuarios de Latinoamérica y España que tiene como objetivo, obtener información bancaria de la víctima y otorgarle el control del dispositivo al atacante.

Para obtener mayor información sobre las amenazas destacadas de abril, pueden visitar nuestro ranking de propagación de amenazas destacadas del mes.

André Goujon
Especialista de Awareness & Research

Categories: Reportes mensuales
2 Comments »

En variadas oportunidades hemos discutido y analizado distintos casos de phishing que han afectado una amplia gamas de instituciones financieras, aerolíneas, tarjetas de crédito y redes sociales. Sin embargo, el phishing que hemos encontrado hoy, aunque no se diferencia de otros por su objetivo o entidad afectada que es un importante banco de Brasil, sí es distinto y marca una nueva tendencia en este tipo de ataques al ser geolocalizado, es decir, sólo puede ser accedido desde computadoras que estén ubicadas en Brasil (utilizando una dirección IP de ese país) o un servidor proxy de la misma nación. Cualquier acceso que se haga desde otra parte del mundo, es denegado y no se muestra el phishing sino que un error de prohibición.

Para lograr ese objetivo, los cibercriminales emplean una tecnología conocida como geolocalización, técnica mediante la cual detectan el país de origen de la visita para permitir o negar el acceso dependiendo del criterio establecido. En las siguientes capturas se puede apreciar qué sucede cuando se intenta visitar el phishing desde Brasil y después desde cualquier otro país:

A través de la geolocalización, los ciberdelincuentes son capaces de cumplir dos objetivos que de otro modo, sería imposible. En primer lugar, maximizan la posibilidad de obtener rédito económico al asegurarse que sólo las personas pertenecientes al grupo objetivo del ataque (en este caso usuarios brasileños, todas potenciales víctimas) puedan acceder al sitio fraudulento. El motivo tras esta implementación radica en que los usuarios de otros países no representan ningún tipo de ganancia porque aparte de hablar otro idioma, no contarán con una cuenta bancaria brasileña. Sumado a que la información de “extranjeros” no posee validez alguna para este caso, mientras más personas visualicen el fraude, mayor es la posibilidad que el sitio sea dado de baja por un exceso en el consumo de ancho de banda del servidor en el cual está alojado el phishing, o porque alguien lo reporta al área correspondiente para su cierre.

Ver m�s… »

Categories: Alertas, Phishing
2 Comments »

Esta semana recibimos en nuestro laboratorio un correo falso correspondiente a una importante compañía de telefonía celular, que informa sobre la recepción de un supuesto mensaje multimedia (MMS), el cual tiene como objetivo que el usuario descargue un malware. Como se puede apreciar en la imagen, esta campaña está destinada a usuarios chilenos, tal como lo índica el sufijo del enlace .cl.

El falso correo contiene un enlace que redirecciona al usuario al supuesto portal de la compañía para poder acceder al mensaje multimedia. Si se accede al mencionado enlace, se descarga un archivo ejecutable bajo el nombre de DescargaMMS.exe que es detectado por ESET NOD32 Antivirus bajo la firma Win32/Dorkbot.B gusano. La principal sospecha de esto, es que en ningún momento en el correo se menciona que se debe descargar un software para poder acceder al mensaje recibido. Incluso aclara que luego de los 10 días el supuesto mensaje será borrado.

Una vez que se ha descargado el archivo, se puede observar que la amenaza posee un ícono que corresponde a un archivo multimedia para engañar al usuario y persuadirlo a que lo ejecute, cuando en realidad, es un ejecutable (extensión .exe). En caso de ejecutarlo, el sistema del usuario quedará infectado por Dorkbot, y la máquina del usuario pasará a ser un equipo zombie de la conocida botnet.

Ver m�s… »

Categories: Botnet, Malware
6 Comments »

Esta semana recibimos en el Laboratorio de ESET Latinoamérica una muestra de un troyano que es detectado por ESET NOD32 Antivirus como BAT/Agent.NLF Troyano, el cual se propaga a través de un correo electrónico que mediante un supuesto video del novio de una de las integrantes de Big Brother Brasil 2012, intenta persuadir a los usuarios de que descarguen un archivo. Con esta amenaza, recaemos nuevamente en los troyanos brasileños, como ya habíamos publicado en este medio. Luego de realizar un análisis más profundo, se pudo observar que el comportamiento ha cambiado con respecto a las operaciones que lleva a cabo:

Ver m�s… »

Categories: Análisis de malware, Phishing
No Comments »