No es la primera vez que los ciberdelincuentes emplean como tema de Ingeniería Social alguna noticia falsa que involucre a ciertas autoridades de un determinado país para propagar códigos maliciosos. Si en enero fue el turno del mandatario chileno Sebastián Piñera, esta vez es el de Ricardo Martinelli, actual presidente de Panamá. Dicho ataque fue reportado por nuestro distribuidor exclusivo en ese país, Micro Technology.

Según el correo malicioso propagado por los cibercriminales, Martinelli habría sido encontrado abusando de una menor de 12 años de forma ensordecedora y sin piedad, hecho que supuestamente fue registrado por una cámara oculta que instalaron los padres para probar el inventado acto de pedofilia. Dentro del texto también se afirma que el video fue subido a Internet como forma de evitar que se evada la justicia.

Aunque en esta oportunidad los ciberdelincuentes mejoraron su ortografía al hacer un uso más adecuado de tildes, la gramática sigue siendo un punto débil que podría despertar la sospecha de los usuarios más precavidos. Más allá de los errores de redacción que suelen cometer los autores de estas amenazas informáticas, el correo electrónico simula provenir de un conocido medio informativo panameño en el que se afirma que tendría la primicia y el material audiovisual exclusivo a disposición de los lectores.

Ver más… »

Categories: Alertas, Malware
No Comments »

Hace aproximadamente un mes, publicamos en nuestro blog una amenaza que utilizaba a la cantante colombiana Shakira para propagar malware en Internet. En aquella ocasión, se trataba de un supuesto video que pedía descargar una firma digital falsa para instalar un troyano cuyo objetivo era robar información.

En esta oportunidad, podemos observar un troyano que utiliza un portal de noticias conocido para engañar al usuario. Esta amenaza le llega a los usuarios por correo electrónico indicando que contiene escenas íntimas de la cantante. En el artículo explican además, que este video fue obtenido tras un supuesto robo y que para conocer la identidad de la persona que aparece, oculta por un círculo negro, deberán descargarlo. De esta forma, los atacantes explotan la Ingeniería Social que incitará a los usuarios más curiosos en descargar el video:

Al hacer clic en el enlace, se pide para descargar un archivo con el nombre de la artista del tipo EXE. Al ejecutarse el supuesto video, realiza diversas modificaciones en el sistema y en los atributos de algunos archivos, con el objetivo de robar información. Al finalizar todas las operaciones en el sistema se autoelimina sin dejar rastros aparentes para el usuario. No obstante, como pueden ver en la figura a continuación, realiza severas modificaciones en el registro:

Ver más… »

Categories: Alertas
1 Comment »

Estando a menos de 24 horas del festejo del día de San Valentín, acabamos de recibir en nuestro laboratorio un correo electrónico que utiliza al 14 de febrero como táctica de Ingeniería Social al hacerse pasar por una alerta de Facebook en la que se le dice al destinatario que se ha publicado un video erótico.

Pero dicho video es falso y lo que busca es tentar al usuario para que haga clic sobre el mismo y de ese modo, descargue un código malicioso. Además, con el fin de seducir aún más al usuario, el correo indica que luego de reproducir el video podrá comentarlo con su remitente; mujer inventada o escogida por los cibercriminales y que teóricamente se llama Melissa. También se explicita que el video que el cibernauta podrá ver si hace clic sobre algunos de los hipervínculos es sólo para mayores de 18 años. Esto también se realiza con el fin de incitar a que la persona haga clic en los enlaces y caiga en la trampa de los  ciberdelincuentes.

En la  imagen anterior se marcaron en cuadrados o líneas rojas todos los enlaces del correo que llevan a la descarga del código malicioso detectado proactivamente por ESET NOD32 Antivirus como una variante de Win32/Kryptik.AAPO. Esto representa  una innovación más para la temática del día de los enamorados, fecha que año a año utilizan los cibercriminales para propagar sus amenazas.

André Goujon
Especialista de Awareness & Research

Categories: Alertas
9 Comments »

Desde el Laboratorio de ESET Latinoamérica hemos detectado dos campañas de envío de malware a través de Facebook  que utilizan la figura de la popular cantante colombiana como táctica de Ingeniería Social. En el mensaje se hace alusión a que Shakira supuestamente habría cometido en público un acto poco digno. Para lograr aún mayor curiosidad y posibles víctimas, no se explicita qué más aparece en el video pero sí se menciona que con lo que hace, es suficiente para perderle el respeto. La siguiente imagen corresponde al primer caso encontrado:

Si el usuario es incauto y sigue el hipervínculo, se desplegará una falsa página de Facebook en donde se le pide que ejecute un programa Java cuyo objetivo es descargar y ejecutar automáticamente un código malicioso detectado proactivamente por ESET NOD32 Antivirus como una variante de Win32/Injector.NQM troyano.

Cabe destacar que los ciberdelincuentes al no contar con una firma válida que certifique que dicha aplicación Java es genuina, decidieron utilizar en su lugar el nombre de una conocida empresa informática como puede apreciarse en la siguiente imagen:

Ver más… »

Categories: Alertas, Malware
17 Comments »

Continuamente los usuarios de redes sociales nos encontramos con contenidos no generados por nosotros en nuestros perfiles de Facebook, cuentas de Twitter , etc. Como sabemos, estos contenidos pueden llegar a representar un peligro para los usuarios desprevenidos que por curiosidad o desconocimiento acceden a ellos. En esta oportunidad hablaremos mas en profundidad de uno de estos casos.

Como detallamos anteriormente, el engaño en Facebook de “¿Sales en un video?” es una amenaza que publica en los muros de Facebook un video en el que el usuario supuestamente aparece. Al hacer clic en el video publicado, automáticamente se abre una nueva página de apariencia idéntica a Facebook pero que obviamente no lo es. Luego de acceder a dicho sitio, se pide al usuario descargar un plugin para poder visualizar correctamente el contenido.

El archivo descargado en cuestión es un plugin para el navegador, de extensión .xpi el cual detallaremos a continuación. Dentro del archivo .xpi encontramos un archivo llamado youtube.js (javascript) que contiene el siguiente código:

Este sencillo script nos vuelve a redireccionar a otro archivo de extensión .js el cual contiene el siguiente código ofuscado:

Para poder analizar correctamente el contenido del script llamado script.js debemos desofuscarlo para que el código sea más entendible. Como se puede apreciar a continuación, el código es ahora mucho mas legible:

Ver más… »

Categories: Análisis de malware
2 Comments »