Nueva estafa en Facebook ofrece a usuarios videos sexuales de sus contactos
Una nueva estafa identificada en Facebook usa como reclamo supuestos vídeos con contenido sexual de contactos de los usuarios. Los ciberdelincuentes utilizan la información de los perfiles para personalizar la estafa e intentar engañar a los usuarios. El objetivo es infectar los equipos de los usuarios.
El malware de ingeniería social ha encontrado en Facebook una plataforma donde desarrollar todo tipo de amenazas. Los ciberdelincuentes apuestas por la red social por determinadas características concretas, entre ellas la viralidad y la confianza que los usuarios suelen demostrar respecto a los contenidos de sus contactos.
Aunque ya se han identificado un gran número de estafas de este tipo en Facebook, los cibercriminales siempre parecen encontrar un nuevo sistema. En este sentido, el último caso usa como reclamo supuestos vídeos sexuales de contactos de los usuarios. El portal Naked Security de Sophos ha dado la voz de alarma sobre esta nueva estafa, de la que ya se han identificado varios casos en la red social.
Según Naked Security, los cibercriminales distribuyen entre los usuarios de Facebook mensajes en los que se ofrece acceso a falsos vídeos sexuales. Como reclamo, los mensajes están acompañados de imágenes con contenido sexual y mensajes personalizados para cada usuario. En los mensajes, los ciberdelincuentes aseguran que los vídeos corresponden a contactos de los usuarios.
De esta forma, los usuarios encuentran en los mensajes frases como: “WOW .. mira lo que pasó con su ex novia”. Con este reclamo, los ciberdelincuentes intentan atraer la atención de los usuarios, de forma que el contenido del vídeo y el conocer a las personas implicadas provoquen la curiosidad de los afectados.
Aquellos que caigan en la estafa y accedan al enlace publicado en la misma, son dirigidos a una página en la que no se encuentra el vídeo en cuestión. En su lugar, los usuarios son advertidos de que deben instalar una extensión de DivX para poder ver el vídeo. Si los usuarios aceptan la instalación del ‘scrip’ propuesto sus equipos de infectan con el malware de los ciberdelincuentes, su verdadero objetivo.
Este tipo de estafas, así como otras relacionadas con vídeos y noticias falsas sobre famosos, son cada vez más habituales. Los usuarios deben desconfiar de mensajes de este tipo y extremar las precauciones para no comprometer la seguridad de sus equipos.
Ainslot.L, el bot que desaloja a otros bots
El bot Ainslot.L analiza el sistema operativo y, en caso de que encontrara otros bots, los elimina con la intención de ser el único que ocupe el sistema.
En los últimos días se está propagando el bot Ainslot.L, según informó PandaLabs, el laboratorio antimalware de Panda Security –The Cloud Security Company–. Este malware está diseñado para registrar todas las acciones del usuario, descargar otros ejemplares de malware y controlar el sistema. Además, hace funciones de troyano bancario, robando las credenciales de determinadas entidades financieras. Por otra parte, una de sus particularidades es que analiza el equipo en busca de otros bots pertenecientes a otras redes y los elimina, de tal forma que sea el único bot que ocupe el sistema.
“Nos ha llamado mucho la atención el hecho de que Ainslot.L desinfecte la PC de otros bots que puedan haberlo infectado con anterioridad”, comentó Luis Corrons, director técnico de PandaLabs. “Este bot elimina a sus competidores de tal forma que el equipo del usuario esté completamente a su merced. Recuerda un poco a la famosa saga de Los Inmortales, –sólo puede quedar uno–”.
Ainslot.L llega a través de un correo fraudulento que simula proceder de la tienda de ropa inglesa CULT. En este correo, redactado de forma impecable, se le hace creer al usuario que ha realizado una compra en CULT de cerca de 200 libras esterlinas y que se le cargará dicha cantidad a su tarjeta de crédito. Incluye un link para revisar el pedido que conduce a la descarga del bot en la computadora.
Según indicó Luis Corrons, “no estamos acostumbrados a recibir correos electrónicos fraudulentos tan bien redactados y tan creíbles. En este ataque, los ciberdelincuentes han cuidado al máximo la apariencia del correo electrónico, de tal forma que el número de víctimas que puedan caer en el engaño sea alto”.
A las cibermulas ahora las contratan vía anuncio en Twitpic
Los ciberdelincuentes piden personal que hable inglés y español en Twitpic.
Twitpic es una aplicación que hace mucho más fácil compartir imágenes en Twitter. Y también está siendo en los últimos días un altavoz para que los cibercriminales contraten a sus mulas, según ha alertado Kaspersky. Las cibermulas son una figura complicada, que son al tiempo víctimas y criminales, al ocuparse de transferir las cantidades ganadas por los ciberdelincuentes aunque muchas veces desconozcan el origen de ese dinero.
La captación de esos ‘trabajadores’ eran hasta ahora vía correo electrónico. “El método más habitual de captación de este tipo de muleros es mediante un email que ofrece un trabajo sencillo con grandes comisiones”, explicaba Luis Corrons, Director Técnico de PandaLabs en Panda Security. El proceso se ha adaptado, por tanto, al mundo social media usando el reclamo anuncio en Twitpic para posicionar la oferta.
Los ciberdelincuentes piden únicamente hablar inglés y español, tal y como alerta Dmitry Bestúzhev, analista de Kaspersky Lab, y utilizan la opción de trabajar desde casa como gancho para seducir al potencial mulero.
El anuncio redirecciona a una falsa noticia en la que se explican casos de éxito,aderezados con unos cuantos comentarios – también falsos – sobre la experiencia de trabajar desde casa haciendo transferencias. La experiencia se personaliza y, según el origen que la IP del internauta indique, se adapta la noticia y el site al país de origen.
“Si nadie prestara estos servicios de blanqueo de dinero, sería más fácil cercar a estos cibercriminales y poner fin a este negocio”, asegura Bestúzhev.
El Inteco publica 12 virus y 80 vulnerabilidades en la última semana
El Instituto alerta además de nuevas modalidades de estafa a través del Market de Android.
El Centro de Respuesta a Incidentes de Seguridad del Instituto Nacional de Tecnologías de la Comunicación (Inteco-CERT) ha catalogado esta semana el virus DNS Changer, un troyano que afecta a Windows modificando, en el equipo atacado, su configuración de DNS (siglas en inglés de Domain Name System), servicio de internet que convierte los nombres de dominio amigables en direcciones IP numéricas que los ordenadores usan para comunicarse entre ellos.
De este modo, cuando se introduce un nombre de dominio en el navegador, por ejemplo www.inteco.es, el equipo contacta con un servidor DNS para determinar la dirección IP del sitio web. El troyano catalogado cambia esta configuración para, en vez de dirigirle al sitio debido, le lleve a un sitio web fraudulento. Para evitar esto, el usuario deberá reconfigurar correctamente el DNS de su equipo. Éste es uno de los 12 virus publicados en los últimos siete días por Inteco-CERT, unido a 80 vulnerabilidades.
Por otro lado, el incremento de aplicaciones subidas al Market de Android, unido a la popularidad del sistema operativo de Google en los terminales móviles, ha hecho también que crezcan las aplicaciones maliciosas así como las técnicas de ingeniería social para infectar a los usuarios. Una de estas modalidades consiste en registrase en el Market utilizando nombres parecidos a los autores/desarrolladores de cierto prestigio para, de esta forma, ganarse la confianza de los usuarios a la hora de descargar aplicaciones.
Por todo ello, el Inteco-CERT en su boletín semanal recomienda a los usuarios observar la procedencia de la aplicación así como la puntuación y los comentarios de los usuarios e investigar otras fuentes independientes del Market.
El malware intentará ‘flechar’ nuevas víctimas para San Valentín
La distribución de malware con trampas relacionadas con fechas como Halloween, Navidad y San Valentin, entre otras, es ya una practica clásica para infectar los computadores de los usuarios, correos con links para descargar tarjetas, ofertas de regalos, vídeos, mensajes en Facebook y links en twitter relacionados con el dia de San Valentin son algo muy habitual.
Una de las técnicas más utilizadas para infectar la mayor cantidad de computadoras posible es la llamada ingeniería social. Se trata de conseguir información confidencial de los usuarios mediante su manipulación, o convencerlos de que realicen acciones que van en contra de su política de seguridad. Los creadores de malware y de la ingeniería social se están uniendo para infectar la mayor cantidad posible.
Con el aumento de usuarios de redes sociales como Facebook, Twitter o Google+ es más fácil el contacto con desconocidos y el acceso a información inapropiada. Hoy en día es más sencillo llegar a un usuario que hace unos años, en los que el correo electrónico o el intercambio de diskettes era casi el único peligro.
Recientemente hemos visto un ataque en Facebook que se propaga a través de los muros de usuarios. Un mensaje, aparentemente inofensivo invita a instalar un diseño relacionado con San Valentín en Facebook y una vez que se hace clic en el post, los usuarios son redireccionados a otra página en el que se les pide instalar el diseño. De este modo, se descarga un archivo de malware que al ejecutarse muestra anuncios de determinados sitios web. También descarga una extensión que monitoriza las búsquedas de los usuarios infectados y redirecciona sus páginas a encuestas en las que se solicita incluir el número de móvil.
El laboratorio antimalware de Panda Security ha recuperado algunos virus con la temática de San Valentín que han aparecido en los últimos años:
Waledac.C: Se distribuye a través de correo electrónico haciéndose pasar por una tarjeta. Los correos llevan un link desde el cual puedes descargarte la tarjeta en cuestión. Al dar clic en el link y aceptar, se descarga un archivo del gusano Waledac.C. Una vez infectado el equipo utiliza el correo del usuario para enviar spam, robando las direcciones de correo almacenadas.
I Love You.exe: Un troyano de acceso remoto (RAT), que permite al creador acceder al ordenador infectado y a toda la información personal. Algunas de las funcionalidades son el acceso al escritorio remoto, robo de contraseñas y administración de ficheros.
Nuwar.OL: Es un gusano que se propaga a través de mensajes con asuntos como “I love You Soo Much”, “Inside My Heart” o “You in My Dreams”. Incluye un link a un sitio web desde el que se descarga el código malicioso. La página presenta la forma de una postal y contiene un gran corazón rosa. Una vez infectado el equipo, el gusano comienza a enviar gran cantidad de correos electrónicos provocando un gran tráfico de red y la ralentización del equipo.
Valentin.E: Este gusano se propaga a través de mensajes y llega con asuntos como “Searching for True Love” o “True Love”. Los correos llevan un archivo con el nombre “friends4U”. Al abrir el archivo se descargará una copia del gusano, que muestra un fondo de pantalla y a la vez, realiza copias de sí mismo en el equipo. Desde el equipo infectado, el gusano comenzará a enviar correos con copias de sí mismo para propagarse e intentar infectar a más usuarios.
PandaLabs ofrece una serie de consejos para evitar ser víctima de amenazas informáticas:
• Nunca abra correos electrónicos o mensajes en redes sociales si proceden de fuentes desconocidas.
• No haga clic en links que lleguen por correo electrónico, incluso cuando procedan de fuentes fiables. Es siempre recomendable teclear la URL en la barra del navegador. También debe aplicarse a mensajes recibidos a través de cualquier cliente de correo y a los que llegan a través de Facebook, Twitter o cualquier otra red social o programas de mensajería instantánea. Si ya entró en uno de estos links, es importante fijarse en la página de destino. Cierre el navegador si no es reconocida.
• Nunca ejecute archivos adjuntos que procedan de fuentes desconocidas. Es muy importante prestar atención a los archivos que digan ser tarjetas de San Valentín, videos, fotos románticas, etc.
• Si en la página de destino, no aprecia nada extraño, pero solicita realizar una descarga o una actualización de cualquier tipo de programa, hay que desconfiar y no aceptar. Si, ya realizó la descarga y se instala cualquier tipo de archivo ejecutable, y la computadora comienza a mostrar mensajes, muy probablemente esté ante un ejemplar de malware.
• Al hacer las compras online, siempre es recomendable hacerlo desde la tienda original, no desde links que le hayan llegado. No compre en sitios online sin una sólida reputación, y en ningún caso en páginas donde las transacciones no se hagan de forma segura.
• A la hora de realizar transacciones que requieran introducir contraseñas o datos personales, no utilice equipos compartidos o con conexiones WiFi no seguras.
Siempre es esencial, tener instalada y actualizada una solución de seguridad eficiente, capaz de detectar tanto ejemplares conocidos como aquellos de nueva aparición.
Malware en Android podría evadir la protección de Google Bouncer
El pasado viernes Google anunció la llegada de Bouncer, el sistema anti malware para el Android Market con el cual se escaneará a las aplicaciones en busca de código malicioso, situación que fue bastante bien recibida por usuarios y medios especializados, quienes veían como la empresa del buscador por fin hacía algo por controlar el malware, spyware y troyanos existentes en su tienda de aplicaciones.
Sin embargo, Xuxian Jiang de la Universidad del Estado de Carolina del Norte ha encontrado una nueva clase de malware que puede evadir el escaneo y solicitud de permisosrealizado por Bouncer para realizar su instalación. Una vez instalado comienza la descarga de código desde un servidor remoto ocultando la transferencia en los procesos normales de comunicación de nuestro móvil, evitando que nos demos cuenta de lo que esta sucediendo.
Este malware bautizado por el momento como Rootsmart, haría uso del exploit GingerBreak, con el cual se puede tener acceso a nuestro terminal para realizar cualquier función que el atacante necesite. Es importante recalcar que por el momento no existe ninguna aplicación en el Android Market que haga uso de este código malicioso, pero si se ha encontrado este malware en sitios de descarga de aplicaciones en China y aunque desde Google asegurán que todos los dispositivos lanzandos después de mayo de 2011 han sido parchados para no ser susceptibles a Gingerbreak, deja claro que el procedimiento de Rootsmart podría ser repetido por alguien más, dejando a Bouncer sin posibilidad de cumplir con su trabajo.
¿Pronto llegará el momento en que Google tendrá que implementar medidas de control similares a las que aplica Apple en su App Store?. Esto podría hacerse realidad en un futuro no tan distante, aunque por supuesto con muchas menos restricciones que las impuestas por la compañía de la manzana.
El Hacker del código de Norton es engañado por un agente de la ley
YamaTough, el hacker responsable del robo de parte del código de productos de Norton, ha sido atrapado por las autoridades después de ser engañado por un agente de la ley que simuló ser un empleado de Symantec.
Lo cierto es que tras las últimas revelaciones, el robo del código fuente de Norton se ha convertido en una historia rocambolesca digna de una buena película de intriga.
El citado ciberdelincuente tenía previsto sacar a la luz el código fuente el pasado 17 de enero pero finalmente desistió de sus intenciones.
Según se ha desvelado, la razón detrás de ese cambio de planes se debió a que YamaTough intentaba sobornar a Symantec para que le pagaran 50.000 dólares a cambio de devolver el código.
Por desgracia para el hacker le salió mal la jugada, ya que cuando creía estar negociando el tema con un empleado de Symantec, en realidad estaba hablando con un agente de la ley que estaba encargado de investigar el robo del código.
Ahora el hacker se defiende asegurando que no les importaba el dinero, ya que su objetivo era engañar a Symantec para que les ofrecieran un soborno y así poder humillarles.
Symantec ofreció USD$50.000 para que hackers no revelaran el código de su software
Un grupo de hackers intentó conseguir USD$50.000 de Symantec para no revelar el código fuente de Norton Antivirus y PCAnywhere. Aunque Symantec lo ha tratado como un caso de extorsión, los hackers aseguraron a la agencia Reuters que nunca intentaron conseguir dinero de parte de la empresa, y que todo el asunto fue un intento de avergonzar a la empresa por su mala seguridad.
En Pastebin se postearon una serie de correos electrónicos entre un empleado de Symantec llamado Sam Thomas, y un representante del grupo de hackers denominado “YamaThough”. En los e-mails, Symantec acepta pagar US$50.000 para que el grupo destruyera el código y – quizás lo que parece más grave – afirmara públicamente que nunca había conseguido acceso a esa información, negando así que sus sistemas hubiesen sido inseguros.
Sin embargo, YamaThough afirmó en Twitter que “no lo creerían, pero Symantec acaba de ofrecernos dinero para que nos quedemos en silencio” – algo que da a entender que la iniciativa monetaria partió de la compañía.
Symantec asegura que “Sam Thomas” en realidad era un agente policial - ”cuando llegaron a nosotros con el propósito de extorsionarnos, fuimos a la policía”, señaló un vocero a Forbes. Así, la oferta de los USD$50.000 habría sido un señuelo para intentar rastrear al hacker.
Un grupo que se autonombra como los “Lords of Dharamaja” aseguró que tenía el código de PCAnywhere en enero, lo que causó que Symantec pidiera a los usuarios que bloquearan todos los puertos de su computadora que estén asociados a esta aplicación.
Como sea, el grupo de atacantes publicó ayer un archivo torrent de 1.27 GB con el código de PCAnywhere en The Pirate Bay (sin tomar el dinero). Symantec dice estar analizando el código para saber si es auténtico o no, pero si eres usuario de este programa, valdría la pena empezar a preocuparse. En tanto, el código de Norton Antivirus será publicado hoy, según anunció YamaThough.
Nuevo malware se propaga a través de Facebook e infecta a miles de usuarios
Facebook se ha convertido en una fuente inagotable para la propagación de malware. En esta ocasión conocemos un caso que ha afectado a más de 60.000 usuarios. Bajo el reclamo de una noticia sobre el inicio de la Tercera Guerra Mundial, los usuarios son redirigidos a una web donde quedan infectados.
El último caso que hemos conocido utiliza otro gancho morboso para ganarse la confianza de los más incautos. Un falso enlace a la supuesta web del canal estadounidense CNN avisa de un inminente ataque militar de Estados Unidos contra Irán y Arabia Saudí, en lo que supondría el teórico inicio de la Tercera Guerra Mundial. El blog Sophos, de Naked Security, avisa de esta amenaza, puesto que al pulsar en dicho enlace el usuario es redirigido a una web falsa con la apariencia del citado medio de reconocido prestigio mundial.
En dicha web se intenta atraer la atención de las víctimas con supuestos vídeos sobre el citado conflicto. Sin embargo, para poder visualizarlos al pulsarlos se pide a los usuarios que instalen una supuesta actualización de Adobe Flash Player, momento en el que se descarga e instala el archivo malicioso, detectado como “Troj / Rootkit-JV”. Al tratarse de un rootkit, entraña los riesgos de este tipo de malware, convirtiendo el ordenador infectado en una fuente para que los intrusos puedan extraer de él todo tipo de información sin el permiso del usuario o ejecutar acciones de forma remota.
El ritmo de propagación del malware ha sido muy alto, ya que según alerta la empresa de seguridad, más de 60.000 usuarios han sido engañados en apenas tres horas. Sophos ha señalado que el código malicioso instalado en los ordenadores de los usuarios está enviando el mensaje a Facebook sin que los usuarios lo sepan, de modo que sus contactos son víctimas potenciales de este archivo.
Descubren un troyano para Android que muta con cada descarga
Las técnicas polimórficas, presentes desde hace años en el mundo del PC, acaban de aparecen en el de los dispositivos móviles, demostrando el creciente interés que para los hackers tienen los smartphones.
Investigadores de la empresa de seguridad Symantec han descubierto un nuevo troyano para Android capaz de modificar su código cada vez que es descargado con el fin de superar las detecciones antivirus.
Esta técnica, que lo que hace es generar virus polimórficos, no es nuevo en el mundo de los ordenadores, donde existe desde hace años, pero acaba de ser adoptada en el mercado móvil. La técnica se basa en un mecanismo que modifica ciertas partes del troyano con el fin de asegurar que cada aplicación maliciosa que descarga es única. Los expertos aseguran que es algo diferente de los polimorfismos locales, donde el malware modifica su propio código cada vez que se ejecuta.
Symantec ha identificado múltiples variantes de Android.Opfake, todas ellas distribuidas desde páginas webs rusas. El malware tiene instrucciones de enviar mensajes SMS a números premium desde varios países europeos y otros que antes pertenecían a Rusia.
Detectar amenazas de malware que utilizan polimorfismo puede ser difícil para algunos productos de seguridad, sobre todo si basan su capacidad de detección en firmas estáticas. En el caso de Android.Opfake el nivel de polimorfismo no es muy alto y sólo algunos de los archivos de datos del troyano son modificados por el servidor de distribución.
Los smartphones, que ofrecen capacidades similares a las de un ordenador, han llamado la atención de los ciberdelincuentes, que están aplicando todos sus conocimientos del mercado de ordenadores para hacer que sus creaciones tengan incluso más éxito.
