Una vez más tenemos el agrado de compartir con ustedes el reporte mensual de amenazas y tendencias correspondientes a febrero,  mes que año tras año les recuerda y hace presente a las personas, un tema cuyo significado o vivencia varía considerablemente en base al individuo, pero que sin embargo, no ha cambiado para los ciberdelincuentes: el rédito económico explotando el día de San Valentín como técnica de Ingeniería Social para propagar códigos maliciosos.

• No había pasado ni una semana desde el inicio del mes y los cibercriminales ya estaban utilizando el día de los enamorados como temática para infectar a  usuarios más incautos. Simulando ser un boletín informativo de una conocida aerolínea chilena, en donde se le afirmaba al lector que había resultado ganador de dos pasajes a Punta Cana, el gusano Dorkbot fue de acuerdo a nuestro laboratorio, el primer código malicioso en ser propagado durante ese mes utilizando el día de San Valentín 2012 como táctica para reclutar una vez más, computadoras zombis. Luego, y conforme se iba acercando el 14 de febrero, apareció otra campaña de difusión de malware en la que se hacía alusión a un supuesto video erótico que recibía la víctima de parte de una mujer. Este correo cuyo formato utilizado era similar al de Facebook cuando se recibe un mensaje, intentaba seducir al usuario mencionando que el material multimedia estaba originado exclusivamente para el destinatario y que contenía algo “muy íntimo”. Por otro lado, los ciberdelincuentes emplearon la técnica de Black Hat SEO y algunas palabras claves relacionadas con esa fecha para posicionar dentro de los primeros resultados de búsqueda, un sitio malicioso que ofrecía falsos cupones de descuentos para una conocida marca de ropa interior femenina a cambio de datos personales de la víctima.

• Este mes también se caracterizó por la utilización de la imagen de la popular cantante colombiana Shakira para expandir amenazas informáticas. El primer caso reportado ocurrió el segundo día de febrero, en donde se envió masivamente por Facebook, un supuesto video indigno en el que aparecería la cantante realizando actos reprochables en público. Sumado a la propagación por la red social, los cibercriminales emplearon la técnica Black Hat SEO para posicionar resultados relacionados a la artista colombiana. Siguiendo la misma línea, a finales de mes apareció otro correo electrónico que en esta oportunidad, intentaba hacerse pasar por un portal noticioso en el que se le ofrecía al usuario un video que afirmaba contener escenas íntimas de Shakira.

• En otros aspectos, y como forma de entregar soluciones de seguridad informáticas integrales que minimicen algunos riesgos como los ataques que combinan vulnerabilidades, nuestra compañía lanzó durante febrero, una nueva unidad de negocios denominada ESET Security Services, cuyo objetivo es la correcta gestión de seguridad en ambientes corporativos. En su primera etapa, el servicio constará de tres opciones: Vulnerability Assesment que consistente en encontrar vulnerabilidades conocidas. Después está Penetration Testing, análisis que permite determinar fehacientemente el peligro asociado a una determinada vulnerabilidad si es explotada. Finalmente contamos con GAP Analysis, evaluación que determina si una empresa cumple con ciertos estándares de seguridad. En complementación con ESET Security Services, es importante que el usuario corporativo esté consciente del ciclo de vida de una vulnerabilidad con el fin de otorgar una solución eficiente ante eventuales problemas.

• Finalmente podemos afirmar que este fue un mes indicativo en cuanto a los resultados que arrojaron algunas investigaciones como el Estado actual de la seguridad en América Latina, o nuestra encuesta mensual que trató sobre las redes sociales y qué comparten los usuarios. En ambas se puede apreciar que aún falta concientización, interés y conocimiento por parte de los usuarios sobre los riesgos inherentes al uso inadecuado de las tecnologías brindadas por la informática.

Para obtener mayor información sobre las amenazas destacadas de febrero, pueden visitar nuestro ranking de propagación de amenazas destacadas del mes.

André Goujon
Especialista de Awareness & Research

Categories: Reportes mensuales
2 Comments »

Debido a que estamos sobre la fecha de San Valentín, estas celebraciones  especiales son unas de las preferidas de los atacantes. Básicamente, muchos de estos individuos crean sitios web con temáticas afines al día de los enamorados (o Día de San Valentín) para llevar adelante algún tipo de engaño y obtener algún beneficio, ya sea un rédito económico o el robo de datos, entre otros.

Este año nuestro colega de ESET Stephen Cobb escribió un artículo sobre una nueva modalidad de engaño que involucra un supuesto regalo de U$D 1.000 en cupones de regalo (gift cards) de la afamada marca de Victoria’s Secret. Como es de esperarse, este regalo no es verídico, sino que no es más que un engaño para obtener información del usuario, como por ejemplo el número del teléfono del celular, email, entre otros datos de origen crítico.

En el siguiente video se puede observar como los atacantes lograron posicionar un sitio malicioso con las características antes expuestas a través de técnicas de Black Hat SEO, y mediante una simple búsqueda por el día de San Valentín, se llega fácilmente a dicho sitio.

Un tema que vale la pena aclarar es que este tipo de ataques cambia año a año, renovándose cada vez el repertorio de temáticas y usando técnicas de Ingeniería Social diferentes (postales digitales, compra de productos, etc). Esto puede comprobarse revisando las variantes de San Valentín expuestas en años anteriores.

Les recordamos también que consulten las cinco formas de infectarse en San Valentín que fue publicada  previamente en nuestro blog:

• Malware en redes sociales
• BlackHat SEO
• Falsas postales
• Privacidad y robo de información
• Scammer rusas

En último lugar, sugerimos a todos los lectores ser precavidos a la hora de abrir correos y seguir hipervínculos, incluso si de quien proviene es alguien conocido o incluso es un servicio al cual se está suscripto. Además se brindan algunos consejos en nuestra guía sobre como identificar correos falsos para identificar mensajes no legítimos.

Fernando Catoira
Analista de Seguridad

Categories: Alertas, Black Hat SEO
1 Comment »

Estando a menos de 24 horas del festejo del día de San Valentín, acabamos de recibir en nuestro laboratorio un correo electrónico que utiliza al 14 de febrero como táctica de Ingeniería Social al hacerse pasar por una alerta de Facebook en la que se le dice al destinatario que se ha publicado un video erótico.

Pero dicho video es falso y lo que busca es tentar al usuario para que haga clic sobre el mismo y de ese modo, descargue un código malicioso. Además, con el fin de seducir aún más al usuario, el correo indica que luego de reproducir el video podrá comentarlo con su remitente; mujer inventada o escogida por los cibercriminales y que teóricamente se llama Melissa. También se explicita que el video que el cibernauta podrá ver si hace clic sobre algunos de los hipervínculos es sólo para mayores de 18 años. Esto también se realiza con el fin de incitar a que la persona haga clic en los enlaces y caiga en la trampa de los  ciberdelincuentes.

En la  imagen anterior se marcaron en cuadrados o líneas rojas todos los enlaces del correo que llevan a la descarga del código malicioso detectado proactivamente por ESET NOD32 Antivirus como una variante de Win32/Kryptik.AAPO. Esto representa  una innovación más para la temática del día de los enamorados, fecha que año a año utilizan los cibercriminales para propagar sus amenazas.

André Goujon
Especialista de Awareness & Research

Categories: Alertas
9 Comments »

Considerando que estamos a tan sólo ocho días de San Valentín, es común observar que los cibercriminales empiezan a utilizar con mayor frecuencia falsas postales, poemas o cartas de amor para propagar amenazas. En concordancia, en el día de hoy hemos recibido en nuestro laboratorio un correo electrónico que, aunque utiliza una vez más el día de los enamorados como táctica de Ingeniería Social para expandir algún tipo de código malicioso, intenta innovar dentro del mismo tema. En esta ocasión los ciberdelincuentes eligieron tentar a las potenciales víctimas haciéndolas creer que son ganadoras de un supuesto concurso de San Valentín organizado por una conocida aerolínea de origen chileno en la que se señala que el usuario resultó seleccionado en el sorteo de un paquete turístico a Punta Cana.

Supuestamente, este incluye dos pasajes ida y vuelta con todo pago por tres días y dos noches. El formato utilizado en el correo es muy similar al que emplea esta empresa de vuelos comerciales en sus boletines informativos, sin embargo, se puede apreciar que después de “Estimado” se incluye de forma genérica “Cliente” en vez del nombre del mismo como lo hace la compañía:

En la imagen anterior se enmarcaron dentro de un rectángulo rojo los once hipervínculos que tienen como objetivo que el usuario descargue una copia  del malware detectado proactivamente por ESET NOD32 Antivirus como una variante de Win32/Injector.NTU troyano.

Si Injector.NTU es ejecutado intentará conectarse a otro sitio de donde bajará una variante del prolífico gusano botnet Win32/Dorkbot.B, cuyo fin es convertir la computadora de la víctima en zombi para que quede a la espera de instrucciones remotas de un servidor centralizado que pueden ser desde la obtención de una captura de pantalla de lo que el usuario esté haciendo hasta la ejecución de más códigos maliciosos o la obtención de información sensible.

Le recomendamos a todos los lectores ser muy precavidos al momento de abrir correos y seguir hipervínculos incluso si quien los envía es un conocido o es parte de un servicio al cual se esté suscrito. En nuestra Guía para identificar correos falsos se explican algunos consejos para identificar mensajes ilegítimos. También es imprescindible que el usuario sepa cómo descubrir si se trata de un enlace engañoso.

André Goujon
Especialista de Awareness & Research

Categories: Alertas, Botnet
6 Comments »

Desde hace un tiempo Latinoamérica está siendo afectada cada vez en mayor medida por la botnet Volk. En esta oportunidad realizaremos un análisis más profundo de la amenaza a fin de mostrar todas las capacidades y peligrosidad que posee. Como se mencionó anteriormente en este  blog en post relacionados Facebook, troyanos y botnets y San Valentín se acerca con troyano como postal de amor, esta botnet utiliza Ingeniería Social para propagarse y su objetivo principal es el robo de credenciales bancarias. Con este post mostraremos como es que se realiza el robo de credenciales y también hablaremos de otras capacidades adicionales que esta botnet puede realizar. En esta oportunidad analizaremos un archivo malicioso perteneciente a la botnet Volk el cual es detectado por ESET NOD32 Antivirus como Win32/KlovBot.D troyano.

Esta botnet tiene diferentes funcionalidades las cuales son explotadas dependiendo de la variante de la amenaza. Algunas de las actividades maliciosas que puede realizar son:

• Robo de usuarios y contraseñas de servidores FTP y de MSN almacenados en el equipo infectado.
• Ataques de denegación de servicio distribuido (DDOS).
• Modificación y actualización del archivo hosts.txt (Pharming local) para realizar diferentes ataques de phishing.

A continuación se observa el panel de configuración de la botnet donde se detallan todas estas funcionalidades:

Ver más… »

Categories: Análisis de malware, Botnet
No Comments »