Propagan malware en Twitter con antivirus falso
La popularidad que ha alcanzado Twitter en los últimos años es aprovechada por los ciberdelincuentes, quienes buscan propagar códigos maliciosos en la red a través de links u ofertas de antivirus falsos.
La empresa de seguridad Kaspersky informó que ha detectado en el microbloging perfiles que pretenden engañar a los usuarios con direcciones de URL (localizador de recursos uniforme) apócrifas, a fin de conducirlos a sitios que alojan el paquete de “exploits BlackHole”.
En los mensajes publicados en la red social se ofrece realizar una prueba para investigar si los equipos cuentan con algún tipo de malware; sin embargo, al término informa sobre la detección de troyanos en el equipo y recomienda la instalación de un antimalware falso.
El objetivo es engañar a los usuarios para que instalen un antivirus apócrifo que colocará un troyano en su equipo y con el cual los ciberdelincuentes podrán monitorizar todas las actividades de las personas en la red.
La firma de seguridad y protección en Internet expuso que hasta el momento ha identificado 543 cuentas en Twitter, las cuales han enviado cerca de 4 mil 200 links que redirigen a las personas a sitios con códigos maliciosos.
Además, los investigadores de Kaspersky observaron que el software dañino se actualiza de forma constate, para evitar ser detectado por antivirus fidedignos.
En este sentido, refirió que el código “Trojan.Win32.Fakeav.tri”, se actualiza cada tres o seis horas, mientras que el falso programa de seguridad llamado “Windows Antivirus Patch”, opera en un programa de actualización de 24 horas.
Ante este panorama, la empresa recomendó hacer caso omiso a los mensajes en Twitter, Facebook o correos electrónicos que adviertan que los equipos están infectados y nunca hacer clic en los enlaces que prometen limpiar el sistema.
Nueva vulnerabilidad en Skype filtra la dirección IP del usuario
Se ha descubierto una nueva vulnerabilidad en el popular cliente VoIP Skype que permite a cualquier persona conocer la dirección IP de otros usuarios.
Al parecer, el fallo fue publicado por un anónimo en el sitio web Pastebin, pero fue retomada por el blog Skype-Open-Source, en donde también detallaron los pasos para explotarla. Básicamente, todo lo que se necesita es que el atacante descargue una versión modificada de Skype y cambie ciertos valores del registro de Windows. Hecho esto, basta con intentar enviar una solicitud de contacto a otro usuario de Skype y en su tarjeta de información se desplegará su dirección IP.
El proceso es muy sencillo y no requiere de conocimientos avanzados, por lo que cualquiera podría aprovecharlo para conocer la dirección IP de otro usuario de Skype y con ello revelar su ubicación geográfica (ciudad y país desde donde está conectado), así como el nombre de su ISP. Además, dado que no hace falta enviar la confirmación de contacto, la víctima no podrá saber quién conoce sus datos.
Botnet Flashback genero unos 10 mil dolares al día
Dentro de los negocios más redituables de las botnets, se encuentra el fraude realizado por medio de clicks.
Los ciberdelicuentes pueden generar clicks automáticamente desde los equipos infectados o sustituir los anuncios que los usuarios ven por aquellos que les generan ganancias.
Uno de los métodos para generar dinero utilizado por Flashback, era el de sustituir publicidad de Google ,según las búsquedas realizadas por las víctimas. Fue el equipo de Symantec el que descubrió esta forma de trabajo en los últimos días y se estima que la botnet podría haber llegado a generar alrededor de 10 mil dólares al día.
Como recordaremos Flashback llegó a infectar mas de medio millón de Macs, aprovechando la vulnerabilidad del complemento de Java. Dicha vulnerabilidad fue arreglada por Oracle en el mes de febrero y por Apple recién seis semanas después.
Estas cifras tan altas tanto de infecciones como de generación de dinero, son bastante usuales en el mundo de la ciberdelincuencia profesional.
Vulnerabilidad en office esta siendo explotada con el fin de propargar malware
El pasado 10 de abril Microsoft lanzó una serie de actualizaciones para sus productos, entre las cuales es un parche en el que se cerraba un fallo de seguridad crítico en Microsoft Office. Aunque en ese entonces no se tenían ningún informe de ataques a través de esta vulnerabilidad, gracias a los investigadores de McAfee han reportado que la misma ya está siendo explotada para infectar usuarios.
De acuerdo con la firma de seguridad, se han descubierto una serie de archivos malignos en formato RTF, Word y Excel que son distribuidos a través de correo electrónico y que se caracterizan por tener un objeto OLE incrustado. Basta con que la víctima abra el documento para que la vulnerabilidad sea explotada y con ello se instale un troyano en el sistema.
Según explica McAfee, al momento de que se abre el documento malicioso se explota la vulnerabilidad y se ejecuta una shellcode del archivo OLE, la cual tiene como finalidad la instalación del malware. Sin embargo, para despistar a la víctima, la misma shellcode también inicia un nuevo documento de Word, y debido a esto los usuarios pueden percatarse como Word o Excel primero se cierra e inmediatamente vuelve a ejecutarse para mostrar un documento en blanco.
Así que,se recomienda a los usuarios instalar cuanto antes los últimos parches de seguridad de Microsoft, los cuales están disponible en la conocida pagina de Windows Update o mediante la herramienta de actualizaciones automáticas.
Se incrementa el monto de recompensas ofrecido por Google
Hace un par de años que Google lanzo su programa de recompensas para reportes de fallos de seguridad en sus servicios, recordemos que empezo con Google Chrome ,luego se extendio para la mayoría de servicios Web.En vez de sacar esta iniciativa , ellos optaron por incentivar mas este programa ,llegando a subir los montos con un fin de motivar a que los investigadores puedan reportar mas fallos de seguridad.
Según han detallado en una publicación en su blog oficial, a partir de ahora se pagarán hasta $20,000 dólares por problemas de seguridad que puedan permitir la ejecución de código en sus sistemas en producción. Las vulnerabilidades de inyección SQL y equivalentes podrán ser acreedoras a $10,000 dólares, mientras que para los fallos XSS, XSRF u otro tipo de vulnerabilidades que se consideren criticas se ofrecerá una recompensa de $3,1333.7 dólares.
Entre los reportes que no se tomarán en cuenta para el programa de recompensas se incluyen ataques contra la infraestructura de Google, ataques de ingeniería social, técnicas de SEO maliciosas, vulnerabilidades en aplicaciones que no esté basadas en web (eso incluye Android) y vulnerabilidades en servicios de Google que estén siendo operados por terceros. Así mismo, las recompensas podrían ser más bajas para servicios no tan populares o que no representen un riesgo tan alto, como por ejemplo una vulnerabilidad de cross-site scripting que podría tener mayor repercusión en Google Wallet que en Google Art Project.
De acuerdo con Google, en tan sólo un año han pagado alrededor de $460,000 dólares en recompensas a 200 investigadores, y están convencidos de que este programa ha ayudado para que sus productos sean más seguros para los usuarios.
Accidentalmente Oracle publica una prueba de concepto para MySQL
Recientemente Oracle liberó accidentalmente una prueba de concepto para MySQL que consistía en una Negacion de Servicios , esto se dio porque en marzo, en dicho mes se publico una serie de actualizaciones para la base de Datos Mysql.
En marzo, la compañía lanzó actualizaciones de MySQL, las versiones 5.5.22 y 1.5.62 , que se hace referencia en sus cambios de “PARCHE DE SEGURIDAD: Bug # 13510739 y N º de error 63775″,dichos parches carecían (y carecen de manera oficial) de detalle alguno sobre su impacto, vector, etc. Sin embargo, a pesar del escrúpulo por mantener esta información secreta, se les escapó un detalle a la hora de generar el paquete de actualización. Dentro del código fuente de la versión 5.5.22 de MySQL, el investigador Eric Romangse encontró lo que a primera vista parecía ser un archivo destinado a la realización automática de pruebas sobre la base de datos. Una vez dentro del fichero, pudo comprobar que se trataba de una prueba de concepto que conseguía provocar una denegación de servicio en el sistema de base de datos.
Los seis pasos que utiliza un spammer para que caigas en su trampa
La compañía de seguridad Websense publicó un informe en el que da a conocer las características principales de los ataques y amenazas informáticas modernas. La compañía desglosó en seis pasos el comportamiento habitual de este tipo de amenazas, que suelen seguir el mismo patrón para infectar los equipos.
Las amenazas informáticas actuales han evolucionado de forma considerable. Además de perfeccionar su código, los ciberdelincuentes han desarrollados nuevas fórmulas y patrones para conseguir infectar los equipos y poder robar datos de ellos. Websense publicó un informe, del que se hace eco Infosecurity, en el que desglosa los seis puntos clave en el desarrollo de ataques avanzados modernos.
El primer paso de este tipo de ataques es el desarrollo de una atracción inicial. Se trata de un señuelo diseñado para conseguir captar la atención de los consumidores o usuarios para iniciar el proceso. Con la llegada de las redes sociales, la ingeniería social se ha convertido en el mejor aliado para este tipo de prácticas. Los ciberdelincuentes han demostrado que son capaces de utilizar redes sociales y servicios similares para camuflar sus amenazas. Para ello, se basan en la confianza de los usuarios por los contenidos de sus contactos y la falta de percepción de peligro con que se utilizan estos servicios.
Una vez que la víctima picó el anzuelo, el siguiente punto es la redirección a un servidor oculto y malicioso. Llegados a ese punto, una vez captada la atención de las víctimas, se suele redirigir su navegación a una web o servidor que dispone de contenidos maliciosos listos para su instalación. Precisamente el tercer paso es el intento de instalar exploits que buscan vulnerabilidades en los sistemas. Una vez en la página, los hackers analizan los equipos para encontrar una fisura en su defensa a través de la cual penetrar.
En tercer lugar, después de buscar vulnerabilidades, se aprovecha una de esas carencias para infectar los equipos. En los últimos meses se han visto multitud de casos. Java suele ser una de las puertas de acceso más utilizadas, aunque no es la única. En Mac se han visto vulnerabilidades en la versión de Office y los navegadores pueden ser otra forma de acceso muy extendida entre los cibercriminales.
Sea como sea, en este paso se aprovecha la vulnerabilidad para instalar un sistema que permita establecer conexión entre el equipo infectado y los cibercriminales, todo sin el consentimiento ni el conocimiento de los usuarios. Los cibercriminales consiguen un primer punto a través del cual continuar con sus actividades maliciosas. En quinto lugar, aprovechando que ya se dispone de acceso parcial al equipo, los cibercriminales establecen una comunicación firme que permite la instalación de sistemas maliciosos más complejos, que terminan de dar acceso a los equipos y avanzar en el ataque.
En sexto y último lugar, una vez realizados los pasos anteriores, los ciberdelincuentes pueden hacerse con el control de los equipos y proceder al robo de datos y a la manipulación de sus actividades.
Esta liturgia se está dando en equipos particulares y sistemas empresariales. Para evitar estas infecciones, las empresas deberían mejorar sus protecciones, ampliando la gama de soluciones con sistemas de rastreo y detección multipunto. Con la llegada de las redes sociales y la tecnología en la nube, las posibilidades de acceso e infección se amplían, lo que hace que sea más difícil su identificación y su prevención. Es importante que los sistemas de seguridad estén alerta para identificar las amenazas en cada uno de estos seis pasos, ya que en caso contrario la identificación del ataque podría llegar demasiado tarde.
Nuevo Keylogger para Android basado en el movimiento de teléfono
Un grupo de investigadores de la Universidad del Estado de Pennsylvania e IBM han desarrollado una prueba de concepto que consiste en un keylogger que obtiene sus datos a partir de los sensores de movimiento presentes en cualquier dispositivo Android.
VULNERABILIDADES EN OWN CLOUD
Recientemente el investigador Lukas Kupczyk ha descubierto dos vulnerabilidades en OwnCloud que permitirían la ejecución de código arbitrario y averiguar el token de restablecimiento de la contraseña.
OwnCloud es un software open source destinado al almacenamiento de ficheros, contactos, calendarios, etc. en la nube creado por los desarrolladores de KDE (KDE es un proyecto de software libre para la creación de un entorno de escritorio e infraestructura de desarrollo para diversos sistemas operativos comoGNU/Linux, Mac OS X, Windows, etc.). Su objetivo es que pueda ser instalado por cualquiera en su propia máquina sin depender de un tercero. Se ofrece una amplia variedad de funcionalidades, como el streaming, sincronización automática, copias de seguridad.
El primer problema es la vulnerabilidad de ejecución de código se debe a una falta de comprobación de los nombres de los archivos subidos al servidor. Un atacante podría enviar un archivo ‘.htaccess‘ a su carpeta de usuario, que tendría preferencia ante los permisos definidos en el archivo ‘.htaccess‘ que se encuentra en una carpeta superior. Se ha añadido en la nueva versión parcheada una lista negra de nombres de ficheros que se comprueba antes de subir cualquier archivo al servidor.
Descubrimiento de desbordamiento de memoria en OpenSSL
