En los últimos días hemos recibido en nuestro laboratorio un falso correo que informa sobre una supuesta propuesta que ha sido aprobada. El mismo correo provee un enlace a modo de anexo en el que supuestamente se tiene acceso a dicha propuesta. Si se accede a este enlace, se descarga un archivo malicioso que es detectado por ESET NOD32 Antivirus como una Variante de Win32/TrojanDownloader.Banload.QKU Troyano.

No es la primera vez que se analiza un troyano de este tipo en el laboratorio de ESET Latinoamérica pero sin embargo esta variante posee algunas características distintivas.

Si se hace clic en el anexo del correo recibido, se redirige a otro sitio diferente y se descarga un archivo de extensión “zip” que contiene en su interior un archivo de extensión “cpl”. Es importante aclarar que un archivo cpl permite agregar un applet al panel de control de Microsoft Windows, tal como lo es, por ejemplo, “Agregar o Quitar Programas”.

Ver m�s… »

Categories: Análisis de malware, Malware
2 Comments »

En el día de ayer recibimos en nuestro laboratorio un correo electrónico que utiliza como tema de Ingeniería Social un supuesto accidente que habría sufrido una niña en Río de Janeiro al intentar saltar desde una altura de 30 metros para hacer funcionar un parapente. Para hacerlo más creíble se adjunta una imagen que aparenta ser un video compartido por redes sociales y se afirma que el falso archivo adjunto (el malware es descargado a través de un enlace insertado en la imagen) fue analizado por la solución antimalware de Hotmail encontrándose limpio.  En la siguiente captura se puede apreciar el correo recibido y la considerable cantidad de direcciones a las cuales se envío este ataque utilizando el campo “Para”:

Como se mencionaba anteriormente, si el usuario sigue el hipervínculo presionando sobre el supuesto video, estará descargando un archivo malicioso con extensión COM  que hace alusión al portal YouTube al incluirlo como parte de su nombre y así utilizar una artimaña más, la confusión que puede generar la similitud entre un archivo ejecutable COM y el dominio genérico de un sitio web .com. En el primer caso, se tratan de archivos ejecutables que solían ser utilizados en sistemas operativos antiguos como MS-DOS y que en la actualidad, se están usando ampliamente para facilitar la propagación de malware al lograr engañar a más usuarios que de otro modo, podrían percatarse de una extensión sospechosa como .EXE. En el segundo caso, .com se utiliza como dominio de Internet genérico a diferencia de otros territoriales como .cl (Chile) o .ar (Argentina) que pertenecen a un determinado país. Este “trágico accidente” es detectado por ESET NOD32 Antivirus como Win32/TrojanDownloader.Agent.RDR troyano. Si esta amenaza es ejecutada, intenta descargar dos archivos que actualmente están corruptos, es decir, que no funcionan correctamente. Sin embargo, cabe destacar que en cualquier momento los ciberdelincuentes responsables de estos códigos maliciosos pueden actualizar el servidor desde donde son descargados esos archivos con la finalidad de subir más malware.

Ver m�s… »

Categories: Alertas
No Comments »

Siempre se ha dicho que meterse en líos de parejas es algo muy delicado que debe evitarse en lo posible, de lo contrario, puede tener resultados desastrosos. Sin embargo, los cibercriminales han optado por hacer caso omiso a esa recomendación, al utilizar Ingeniería Social e inventar una elaborada historia que involucra un supuesto romance o affaire entre el jugador chileno de fútbol Alexis Sánchez y la cantante colombiana Shakira.

El código malicioso que utiliza este relato de amorío e infidelidad llegó a nuestro laboratorio en un correo electrónico que simula provenir de un portal informativo chileno, y en el que se ofrece un video que habría sido entregado por la ama de llaves del “Niño Maravilla” a la prensa. Para seducir al usuario y tentarlo a que siga ese enlace malicioso, en el texto se afirma que en dicho registro audiovisual se puede observar a Shakira bailándole al jugador de fútbol. Como forma de manipular aún más a los usuarios curiosos, se asegura que el material multimedia también incluye los comentarios de algunos de los compañeros de equipo de Alexis que aparecerían opinando al respecto. Sumado a todo lo anterior, los ciberdelincuentes decidieron apelar a la picardía del internauta al sugerir que la causa principal de toda esta historia ficticia, es la falta de dotes de la verdadera pareja de la cantante colombiana, el futbolista español Gerard Piqué.

Si el usuario no es precavido y decide seguir interiorizándose de esta falsa noticia, estará descargando un troyano detectado por ESET NOD32 Antivirus como Win32/Qhost.OQJ. Si además la víctima no está protegida por una solución de seguridad con capacidad de detección proactiva y ejecuta dicho archivo .EXE, el código malicioso procede a modificar los archivos hosts de la computadora afectada  para redirigir ciertas direcciones pertenecientes a entidades financieras chilenas, hacia otros sitios ilegítimos (pharming local) cuyo objetivo es conseguir rédito económico mediante la obtención de información bancaria a través del phishing.

Ver m�s… »

Categories: Alertas, Malware
1 Comment »

Una vez más, como todos los meses, compartimos con ustedes el reporte mensual de amenazas, esta vez el correspondiente a  noviembre. Este mes se caracterizó por el descubrimiento de un bootkit para Windows 8:

• Stoned Lite es el nombre del exploit, creado por el ingeniero en software Peter Kleissner para saltar las políticas de seguridad de Windows 8. Este exploit debe ser ejecutado vía USB o CD al inicio del sistema y así permitir la ejecución de aplicaciones que no estén firmadas digitalmente, es decir, que no posean permiso de Windows para ser ejecutadas.
• AnserverBot es una amenaza creada para atacar los smartphones con sistemas Android que se propaga inyectado dentro de otras aplicaciones ubicadas en repositorios de aplicaciones en China alternativos al Android Market. La funcionalidad principal de este malware es convertir al dispositivo en parte de una botnet, mientras que también tiene la capacidad de carga dinámica y ofuscación de código, cifrado de datos, auto verificación de firmas y la posibilidad de detectar y eliminar ciertas herramientas de seguridad para dispositivos móviles.

• Se descubrió un troyano bancario el cual está focalizado en 5 bancos brasileros. Esta amenaza, al infectar el sistema, no modifica el archivo hosts como acostumbran hacerlo este tipo de malware, sino que modifica la configuración del sistema a través de un proxy.

• Un nuevo ataque de phishing a Facebook encubierto bajo la promesa de un nuevo video con contenido sexual de Silvina Luna. Al hacerse miembro del grupo se podrá acceder al link con el supuesto video, que llevará a la víctima a un sitio web de aspecto similar a la famosa red social para que ingrese nuevamente sus credenciales.

• El envío de spam y malware en las redes sociales es importante en estos días, por lo que es importante para los cibercriminales poseer distintos perfiles. Para esto han creado una herramienta que genera múltiples perfiles de Facebook con tan sólo unos pocos clics.

Para obtener mayor información sobre las amenazas destacadas de Noviembre, pueden visitar nuestro ranking de propagación de amenazas destacadas del mes.

Gonzalo Presa
Analista Jr. de Seguridad

Categories: Malware, Reportes mensuales
1 Comment »

Escuchá el resumen mensual de amenazas en formato podcast:

Como todos los meses, compartimos con ustedes el resumen mensual de amenazas correspondiente al mes de Agosto. Este mes, nuevamente Wikileaks acaparo la atención de los distintos medios del mundo publicando cables confidenciales.

• Una nueva publicación de más de 250,000 cables fueron liberados por la pagina Wikileasks. Este nuevo caso de fuga de información, proviene de un acceso no autorizado a las embajadas Norteaméricana. Sin lugar a duda, al transcurrir los días se tendrá más información sobre estos cables.
• Se ha anuncia en el blog de uno de los colaboradores del proyecto abierto VLC, sobre varias páginas que contienen versiones modificadas de este reproductor de video. Dichas paginas contienen versiones del software que contienen spyware y adware, todo esto con el objetivo de lucrar.
• Android 2.3, ya cuenta con su primer malware que explota una vulnerabilidad crítica de esta versión. GingerMaster denominado así este malware, tiene como objetivo obtener privilegios de root del sistema. Una vez que logra los privilegios, el malware realiza cambios en la configuración del dispositivo, para el robo de información.
• Nuevamente los usuarios que utilizan los servicios bancarios, se encuentran amenazados por una nueva campaña de código malicioso. Mediante correos masivos y un mensaje con un enlace a una aplicación que imita ser un programa de seguridad bancario, el criminal informático recopila datos sensibles de las víctimas.
• Los usuarios del sistema operativo Mac OS, fueron víctimas de una nueva campaña de propagación de malware, que simula ser el instalador Flash Player. Una vez que la víctima es infectada se modifica el archivo host, para robar información sensible con ataques de phishing.
• Las técnicas de la vieja escuela siempre volverán a aparecer. En este caso se reporto a nuestro laboratorio de análisis de malware, una muestra de un archivo de procesamiento por lote (archivo.bat). Este archivo con todos sus bytes en texto plano, logra transformarse en un ejecutable.
• Los ataques a usuarios bancarios son cada vez mas dirigidos. El siguiente caso fue enfocado a usuarios de Venezuela, para el robo de datos bancarios con técnica de phishing. Mediante un mensaje, en donde se informa a la victima que tiene que restablecer sus datos, logra el criminal informático hacerse de los datos bancarios.

Para obtener mayor información sobre las amenazas destacadas de agosto, pueden visitar nuestro ranking de propagación de amenazas destacadas del mes.

Claudio Cortés Cid
Especialista de Awareness & Research

Categories: Reportes mensuales
4 Comments »