Acusan a Symantec de hacer que sus productos actúen como scareware
Un usuario estadounidense ha presentado una demanda contra la empresa de seguridad informática Symantec, acusándola de utilizar tácticas de scareware para vender sus productos.
James Gross, del estado de Washington, dijo que en abril de 2011 había ingresado en PC Tools, un sitio perteneciente a Symantec, en busca de un programa que le ayudara a optimizar el funcionamiento de su equipo. Allí encontró un producto de Symantec que ofrecía una versión de prueba para realizar una evaluación de seguridad gratuita.
El análisis detectó varias amenazas críticas y mostraba avisos que decían que la seguridad del equipo era muy baja. Para solucionar los problemas y mejorar el funcionamiento de su ordenador, se aconsejaba al usuario que comprara la versión completa del producto por 29,99 $.
Pero el usuario no quedó satisfecho con el producto que había comprado, porque no notó ninguna diferencia en el funcionamiento de su ordenador y dijo que el programa no había neutralizado las amenazas que dijo que había encontrado.
Gross contrató a dos expertos en seguridad, a los que no nombró en la demanda, para que le ayudaran a evaluar la situación, y los expertos confirmaron que las versiones de prueba de tres de los programas de PC Tools y Symantec, PC Tools Registry Mechanic, PC Tools Performance Toolkit y Norton Utilities, siempre decían que el ordenador corría peligro, sin importar cuál fuese su estado.
“Symantec diseñó su scareware para que anuncie siempre que hay errores peligrosos, riesgos de privacidad y otros problemas en el ordenador del usuario, sin importar cuál sea el verdadero estado del sistema”, dijo Gross en la demanda.
Los programas scareware son programas maliciosos que asustan a los usuarios haciéndoles creer que su ordenador está infectado para convencerlos de que compren un producto inservible. Por eso es irónico que se acuse a una empresa de seguridad de utilizar spyware.
La compañía asegura que las acusaciones son falsas. “Symantec no cree que la demanda tenga ningún mérito y defenderá el caso con vigor”, dijo la compañía. “Estos productos han sido evaluados de forma independiente muchas veces y recibido muy buenas críticas, lo que verifica su eficacia”.
Desmantelan banda que propagaba malware en redes sociales
Tras la identificación por parte de Facebook de los creadores del gusano Koobface, Sophos, compañía de seguridad TI y protección de datos, ha hecho público un informe en el que se reconocen y descubren los mismos autores que lideraron las amenazas contra usuarios de redes sociales, como Facebook.
Los creadores de Koobface – un grupo auto-proclamado grupo “Ali Baba y los 4″ o la “Banda de Koobface” – han estado aterrorizando a millones de usuarios de Internet desde mediados de 2008 y continúan haciéndolo hasta el día de hoy, a pesar de los múltiples esfuerzos para encontrarlos.
El experto en malware de SophosLabs, Dirk Kollberg, y el investigador independiente, Jan Dröemer, han trabajado junto a un amplio equipo con el objetivo de desenmascarar dicha trama. Su excelente trabajo ha descubierto a los ciberterroristas, que han sido identificados como: Anton Korotchenko, Alexander Koltyshev, Roman Koturbach, Syvatoslav Polinchuk, y Stanislav Avdeiko.
En esta exclusiva, Dröemer y Kollberg comparten una gran cantidad de resultados, incluyendo los apodos de los perpetradores, las actividades online, su ubicación física y sus negocios: nakedsecurity.sophos.com
Koobface: un anagrama muy rentable
Koobface (un anagrama de “Facebook”) es un gusano que se propaga a través de las redes sociales, infectando PCs y construyendo una botnet de equipos contaminados. Su sofisticación es tal, que puede incluso llegar a crear sus propias cuentas de redes sociales, para así, poder publicar enlaces que ayuden a su propagación.
Los creadores de Koobface, cuyos nombres no habían sido conocidos hasta hoy, han ganado millones de dólares cada año, gracias a los ordenadores comprometidos.
Al respecto de la investigación liderada por Droemer y Kollberg, ésta se llevó a cabo entre octubre de 2009 y febrero de 2010. No obstante, las autoridades pidieron a los investigadores que fuese confidencial, para así disponer del tiempo necesario para construir un caso.
“Es una increíble historia de detectives, de investigación incansable, que ha supuesto barrer Internet, buscando registros de empresas y aprovechando los errores de colegial cometido por los presuntos delincuentes al no ser lo suficientemente cautos con sus perfiles en las redes sociales. Sabemos los nombres de la banda, sus números de teléfono, dónde están sus oficinas, qué aspecto tienen, qué coches conducen, incluso sus números de teléfono móvil”, afirma Pablo Teijeira, Gateway Business Development Manager Western Europe y experto en Seguridad de Sophos. “Ahora sólo nos queda esperar y ver lo que las autoridades harán contra la banda Koobface”.
Los hackers intentan distribuir malware a través de las webs para niños
La compañía Avast ha confirmado que los hackers están aumentando la distribución de malware a través de páginas con juegos y contenidos para niños. Los expertos aseguran que los niños no son tan cuidadosos como los adultos y por ello los cibercriminales intentan aprovechar para infectar sus equipos.
Los menores cada vez empiezan antes a utilizar los ordenadores e Internet. A las últimas generaciones se les conoce como los nativos digitales porque han ven Internet y las nuevas tecnologías como parte natural de su entorno. Aunque esta normalización de la tecnología tiene sus partes positivas, también está el riesgo de que los menores no sepan responder ante las amenazas de la Red.
La compañía de seguridad Avast ha confirmado que los hackers se han dado cuenta del éxito de Internet entre los menores y que están dedicando parte de sus esfuerzos a distribuir su malware en webs diseñadas para los más pequeños. En un estudio publicado por la BBC, Avast ha asegurado que han detectado más de 60 sitios web para menores que contenían malware.
Los cibercriminales suelen buscar páginas con juegos y contenidos atractivos para los menores para camuflar sus amenazas. En concreto, el malware se aloja en contenidos de Javascript y fundamentalmente busca redirigir a los usuarios o fomentar la descarga de archivos infectados.
Aunque hay web diseñadas específicamente para distribuir malware entre los niños, Avast ha explicado que en la mayoría de los casos los hackers se aprovechan de webs legales que no conocen que parte de sus sistemas se han visto afectados. Como ejemplo Avast ha mencionado a la web cutearcade.com, que ha generado más de 12.600 informes de infección solo en una semana.
Los menores, además de ser vulnerables por no ser conscientes de los riesgos de la Red, también se exponen porque sus equipos no cuentan con las medidas de protección adecuadas. Según Avast, gran parte de los ordenadores que se destinan al uso de los menores no están actualizados o no tienen una solución antivirus que pueda proteger ante las amenazas.
La compañía de seguridad ha explicado que es fundamental mantener los sistemas actualizados, especialmente en el caso de los menores, y que la participación y supervisión de los padres es fundamental para limitar el alcance de los ataques contra los menores. En este sentido, es necesario que los padres, además de controlar la navegación por la Red, informen a sus hijos sobre los riesgos y sobre cómo deben responder ante determinados elementos que puedan encontrar.
Detectan nueva estafa a través de Facebook
Se está expandiendo a través de Facebook, un scam que ofrece dos tentadoras entradas para una fiesta en un barco que tiene como destino, la isla de Ibiza, lugar conocido por sus clubes, discotecas y vida nocturna.
Para hacer más tentadora la oferta, se afirma que este supuesto festejo tiene barra libre y también garantizan que asisten la misma cantidad de chicos y chicas. Además, una vez que se llega al lugar, se prometen dos entradas para el famoso lugar de bailes Space Ibiza.
El fraude llega de parte de algún contacto que haya caído en el engaño y le pide al usuario que busque una frase concreta en Facebook o Google y que seleccione el primer resultado que aparezca. En ambos lugares se logra el objetivo del ciberdelincuente, pues si se escribe lo que explicita el mensaje, se obtiene como primera opción, el sitio de la estafa. Esta técnica de posicionar sitios maliciosos dentro de las primeras opciones es conocida como Black Hat SEO.
Una vez que se accede al resultado, se le pide a la persona que seleccione su país para luego completar un formulario que pide información personal como nombre y apellido, correo electrónico, número de teléfono celular y compañía, entre otros.
Los ciberdelincuentes solicitan esta última información con el objetivo de suscribir a la mayor cantidad de personas posibles, a costosos servicios de información mediante mensajes de texto o SMS. Para que la potencial víctima no sospeche, se le dice que el número de teléfono y compañía son necesarios para comunicarle el resultado en caso de ser ganador.
También se le ofrece al visitante la posibilidad de omitir este paso argumentado que si se conecta por Facebook, no tendrá que escribir todos esos datos. Si el usuario ingresa mediante este método y permite que la aplicación acceda a los datos de su cuenta, el scam le enviará a todos los contactos de la víctima las instrucciones de búsqueda para hacerlos caer nuevamente en esta estafa.
Para lograr aún una mayor cantidad de víctimas, en el sitio se le pide al usuario que si le gusta la fiesta, haga clic en el botón de Facebook “Me gusta”. De este modo, se estará expandiendo este fraude nuevamente, a través de esta red social.
Se le recuerda al usuario que nunca debe entregar información privada ni tampoco permitir que cualquier aplicación acceda a su cuenta de Facebook para poder evitar este tipo de ataques. Además, se recomienda la utilización de un antivirus con capacidad proactiva para sumar un nivel más de seguridad a sus computadoras.
El Inteco alerta de un virus que se propaga con los dispostivos extraíbles
El Instituto Nacional de Tecnologías de la Comunicación (Inteco) alerta de un nuevo virus para la plataforma Windows, de Microsoft, que se propaga a través de los dispositivos extraíbles que se conectan a un ordenador creando una copia de sí mismo en cada uno que detecta.
El virus, denominado IRCbot.k, una vez instalado en un ordenador comprueba cada treinta segundos si hay un nuevo dispositivo extraíble conectado, se instala en él y se vincula a un canal de chat para recibir comandos como actualizarse o visitar páginas web.
Una vez dentro, el virus crea copias de sí mismo imitando los nombres de las carpetas que ya están guardadas en el dispositivo en cuestión, además de un acceso directo que apunta al archivo malicioso. El Inteco recomienda, ante este y otros virus que puedan estar infectando equipos informáticos, que el usuario tenga instalado un antivirus, sea cauto al navegar por la Red y actualice con frecuencia el ordenador y los programas.
Del mismo modo, el centro tecnológico recomienda la instalación de cortafuegos, que no son lo mismo que los antivirus, según recuerda, ya que los primeros evitan que un posible virus que ya se haya instalado envíe datos sin autorización del usuario e impiden que un usuario malintencionado pueda entrar en un equipo ajeno y acceder a la información.
Nueva estafa en Facebook promete a los usuarios el cambio del color del logo de sus cuenta
Se registra en Facebook una serie de mensajes que prometen a los usuarios el cambio del color del logo de su cuenta de Facebook, pero en realidad es una estafa que busca ganar dinero a costa de los usuarios. La estafa está distribuyéndose a gran velocidad porque en un primer paso solicita a los usuarios permiso para enviar su mensaje a sus contactos.
El éxito de Facebook es un reclamo que cada vez atrae a más cibercriminales que buscan sacar provecho de la red social. Los más de 800 millones de usuarios son un público muy amplio para distribuir estafas, de forma que cada vez es más frecuente encontrar spam y estafas en la red social.
La muerte de distintas personalidades o vídeos de famosos son ya estafas habituales en la red social, pero los cibercriminales no paran de innovar.La última estafa registrada intenta engañar a los usuarios aprovechando el interés por personalizar su perfil en la red social. En concreto, los cibercriminales ofrecen la promesa falsa de cambiar el tradicional color azul del logo de Facebook por otros colores.
El portal de seguridad de Sophos, «Naked Security», ha confirmado que se ha registrado una amplia difusión de esta estafa. Los usuarios reciben una invitación de un contacto para aceptar la aplicación que en teoría cambia el color del logo de Facebook. Una vez aceptada la aplicación, los usuarios deben aceptar que el sistema envíe a sus contactos una nueva invitación, de forma que la estafa se propaga entre todos los contactos.
Después de invitar a sus amigos, el sistema solicita al usuario que registre un comentario sobre la aplicación para continuar con el cambio de color del logo de Facebook. El sistema utiliza estos comentarios para engañar a otras personas y así propagar la estafa. Por último, el sistema no cambia el color del logo de Facebook sino que redirige la navegación a una página en la que los estafadores cobran ingresos por publicidad por cada visita.
De esta forma, los cibercriminales consiguen dinero gracias al engaño y no cumplen su promesa de cambiar de color el logo de Facebook. Desde «Naked Security» han explicado que sí existen plug-ins en navegadores como Firefox para personalizar el color de Facebook, pero estas posibilidades no están dentro de la propia red social. Los usuarios tienen que tener cuidado ante este tipo de amenazas y limitar el uso de aplicaciones que solicita acciones como las descritas.
Adobe parchea fallos Día Cero para Acrobat y Reader
A primeros de diciembre Adobe lanzó un boletín de seguridad relativo a ataques Día Cero contra archivos PDF que aprovechaban fallos en sus programas Reader y Acrobat, y que permitían a un hacker forzar el programa y tomar el control del sistema.
Inicialmente el fallo se encontró en las versiones 9.4.6 y X (10.1.1) de Reader y Acrobat para todas las plataformas, aunque más tarde pareció afectar también a Adobe Flash Player.
A pesar de afectar a múltiples plataformas y versiones de software, Adobe aseguró que el fallo sólo se podía explotar activamente en las versiones para Windows de Acrobat y Reader, y ya que las versiones 10.1.1 del software incorporaban opciones de seguridad mejoradas que hacían fracasar el exploit, Adobe sólo se centró en actualizar las versiones 9.4.2 de Reader y Acrobat para Windows.
Ya entonces Adobe anunció que solucionaría el fallo para las otras versiones de su software a partir del 10 de enero de 2012, y eso es precisamente lo que está ocurriendo ahora.
Hasta que puedas acceder a las actualizaciones, los usuarios que estén utilizando Acrobat X o Reader X (versiones X o superiores) pueden estar más seguros mejorando las opciones de seguridad en las preferencias del programa.
Troyano informático podría causar graves daños a partir de marzo
Expertos en seguridad informática aconsejan a usuarios someter a sus computadoras a una prueba en internet para saber si están infectadas con el troyano “DNS-Changer”, que podría causar serios daños a partir de marzo.
Luego de que se desbaratara el ataque perpetrado por hackers con el troyano “DNS-Changer”, expertos en informática aconsejan a usuarios de todo el mundo verificar si sus computadoras están infectadas. Si bien los delincuentes del ciberespacio fueron detenidos en noviembre de 2011 por agentes del FBI en Nueva York, los troyanos podrían haber infectado millones de computadoras en todo el mundo. Algo que comenzaría a provocar graves problemas a partir de marzo.
Servidores inutilizados
El programa viral “DNS-Changer” manipuló la configuración de red de los sistemas Windows y Mac de tal forma que era imposible acceder correctamente a internet. Los usuarios eran desviados a falsas páginas web originadas por unos cien servidores manejados por los hackers.
El objetivo de los piratas informáticos era trocar la publicidad de esas páginas por otra por la cual ellos cobraban comisión. Del mismo modo, ofrecían y vendían a través de esas páginas medicamentos y programas antivirus ilegales, con cuyas ganancias el grupo habría obtenido unos 10 millones de euros.
Luego de que el FBI detuvo a los piratas, los servidores fueron sustituidos primeramente por servidores provisorios que serán desconectados el 8 de marzo próximo, con la consecuencia de que quien tenga al troyano dentro de su computadora no podrá acceder a internet, ya que serán derivados a servidores que ya no existen. Por eso, los expertos recomiendan someter a prueba a las computadoras.
Página de prueba en Alemania
Según un comunicado de la Oficina Federal de Investigación (BKA), sólo en Alemania hay, de acuerdo con el FBI, cerca de 33.000 computadoras afectadas por día. La Oficina Federal de Seguridad Informática (BSI), junto con la Oficina Federal de Investigación y la Telekom han creado la página www.dns-ok.de, que prueba las computadoras en forma automática.
Si se visita esa página, la misma comunica inmediatamente que no hay peligro con el siguiente mensaje: “Ihre DNS Konfiguration ist korrekt” (Su configuración de DNS es correcta). De estar presente el troyano en la computadora, aparece un mensaje de alarma en rojo: “Achtung: Ihre DNS Konfiguration ist manipuliert” (Su configuración de DNS ha sido manipulada). En ese caso, también se dan recomendaciones sobre cómo extirpar el virus y cómo volver a configurar el sistema correctamente.
Symantec descubre nuevo malware para Android
La empresa de seguridad Symantec ha descubierto dos nuevos malware para Android, uno que afecta a una serie de juegos y otro que explota el asunto Carrier IQ y manda SMS a números premium.
Peter Coogan, analista de la empresa de seguridad Symantec, ha escrito un post en el que habla de una nueva aplicación fraudulenta, Android Steek, localizada en Android Market y que suplanta a unos cuantos juegos publicados bajo el nombre de “Stevens Creek Software”.
Durante la instalación de esta aplicación fraudulenta sólo se pide permite para acceder a Internet. Una vez que está instalada, la aplicación abre una ventana a la que lleva al usuario y en la que se le pide que termine el proceso de instalación pulsando un botón, que abre el navegador y redirecciona al usuario varias veces hasta que llega a una solución de ingresos online, escribe Coogan.
El mes pasado se desató la polémica cuando un desarrollador de Android, Trever Eckhart colgó un vídeo en YouTube que mostraba cómo el software Carrier IQ registraba los mensajes de texto, búsquedas web y otras actividades sin conocimiento o permiso del usuario.
Aprovechando este tema, los desarrolladores de malware están haciendo circular una herramienta falsa para la eliminación de Carrier IQ, Android.Qic somos, que está circulando entre los usuarios franceses y que le lleva a marcar números premium.
Peter Coogan explica en su post que una vez que está instalada, la aplicación aparece en el menú del dispositivo con un icono similar a uno de los mayores operadores europeos. El código malicioso empieza a funcionar cuando el usuario pulsa sobre la opción de desinstalar desde dentro de la aplicación; una vez pulsada se envían cuatro mensajes SMS a un número premium, para después realizar una desinstalación de la aplicación.
Una nueva vulnerabilidad en Windows 7 64 bits podría permitir la ejecución remota de código
Microsoft está investigando reportes de una vulnerabilidad en la versión de 64 bits de Windows 7 que llevaría a cierres forzados y permitiría a los atacantes ejecutar código arbitrario en los sistemas afectados.
La falla de seguridad puede activarse al abrir una página web que contegna un iframe específicamente diseñado, utilizando el navegador Safari de Apple.
El usuario de Twitter WebDEViL reportó que la falla puede colapsar un sistema, activando la temida “pantalla azul de la muerte”. Los investigadores de seguridad de Secunia creen que el colapso también se desencadenaría para ejecutar código malicioso.
“Basados en nuestras pruebas, el impacto podría ser más severo debido al tipo de colapso y la naturaleza de la vulnerabilidad, es decir, un cuelgue intentar escribir a una memoria inválida en un llamado a memmove()“, dijo el especialista en jefe de seguridad de Secunia, Carsten Eiram. “Basados en esto, consideramos que la ejecución de código remoto es una posibilidad, aunque no ha sido probado hasta el momento”.
La falla en seguridad viene de un error en el driver en modo de kernel win32, una fuente común para vulnerabilidades críticas en Windows.
Hasta el momento sólo se ha confirmado la debilidad en Windows 7 de 64 bits, al procesar un iframe con un atributo de altura excesivo en Safari.
Sin embargo, los investigadores no excluyen la posibilidad de que otras versiones de Windows puedan verse afectadas mediante distintos vectores de ataque. “Otras versiones de 64 bit podrían ser afectadas”, mencionó Eiram. ”Durante las pruebas no observamos ningún fallo en Windows XP SP3 de 32 bits ni en Windows 7 de 32 bits, pero tampoco podemos negar por completo que estos puedan ser afectados por diferentes ángulos”, añadió.
Microsoft está al tanto de los reportes, pero no ha hecho ningún anuncio público. “Estamos examinando actualmente el asunto y tomaremos medidas apropiadas para asegurar que los usuarios estén protegidos”, dijo Jerry Bryant, gerente de comunicaciones de respuesta del Grupo de Cómputo Confiable de Microsoft.
