El Hacker del código de Norton es engañado por un agente de la ley
YamaTough, el hacker responsable del robo de parte del código de productos de Norton, ha sido atrapado por las autoridades después de ser engañado por un agente de la ley que simuló ser un empleado de Symantec.
Lo cierto es que tras las últimas revelaciones, el robo del código fuente de Norton se ha convertido en una historia rocambolesca digna de una buena película de intriga.
El citado ciberdelincuente tenía previsto sacar a la luz el código fuente el pasado 17 de enero pero finalmente desistió de sus intenciones.
Según se ha desvelado, la razón detrás de ese cambio de planes se debió a que YamaTough intentaba sobornar a Symantec para que le pagaran 50.000 dólares a cambio de devolver el código.
Por desgracia para el hacker le salió mal la jugada, ya que cuando creía estar negociando el tema con un empleado de Symantec, en realidad estaba hablando con un agente de la ley que estaba encargado de investigar el robo del código.
Ahora el hacker se defiende asegurando que no les importaba el dinero, ya que su objetivo era engañar a Symantec para que les ofrecieran un soborno y así poder humillarles.
Symantec ofreció USD$50.000 para que hackers no revelaran el código de su software
Un grupo de hackers intentó conseguir USD$50.000 de Symantec para no revelar el código fuente de Norton Antivirus y PCAnywhere. Aunque Symantec lo ha tratado como un caso de extorsión, los hackers aseguraron a la agencia Reuters que nunca intentaron conseguir dinero de parte de la empresa, y que todo el asunto fue un intento de avergonzar a la empresa por su mala seguridad.
En Pastebin se postearon una serie de correos electrónicos entre un empleado de Symantec llamado Sam Thomas, y un representante del grupo de hackers denominado “YamaThough”. En los e-mails, Symantec acepta pagar US$50.000 para que el grupo destruyera el código y – quizás lo que parece más grave – afirmara públicamente que nunca había conseguido acceso a esa información, negando así que sus sistemas hubiesen sido inseguros.
Sin embargo, YamaThough afirmó en Twitter que “no lo creerían, pero Symantec acaba de ofrecernos dinero para que nos quedemos en silencio” – algo que da a entender que la iniciativa monetaria partió de la compañía.
Symantec asegura que “Sam Thomas” en realidad era un agente policial - ”cuando llegaron a nosotros con el propósito de extorsionarnos, fuimos a la policía”, señaló un vocero a Forbes. Así, la oferta de los USD$50.000 habría sido un señuelo para intentar rastrear al hacker.
Un grupo que se autonombra como los “Lords of Dharamaja” aseguró que tenía el código de PCAnywhere en enero, lo que causó que Symantec pidiera a los usuarios que bloquearan todos los puertos de su computadora que estén asociados a esta aplicación.
Como sea, el grupo de atacantes publicó ayer un archivo torrent de 1.27 GB con el código de PCAnywhere en The Pirate Bay (sin tomar el dinero). Symantec dice estar analizando el código para saber si es auténtico o no, pero si eres usuario de este programa, valdría la pena empezar a preocuparse. En tanto, el código de Norton Antivirus será publicado hoy, según anunció YamaThough.
Microsoft identifica al responsable de la botnet Kelihos
Los de Redmond acusan al ciudadano ruso Andrey N. Sabelnikov, procedente de San Petersburgo, de ser el responsable de escribir el código y parte de la creación de Kelihos.
La botnet infectó alrededor de 41.000 ordenadores por todo el mundo y era capaz de enviar 3.800 millones de mails (spam) al día. Microsoft fue capaz de desmantelar la botnet a finales de septiembre.
El acusado trabaja como desarrollador en una firma de software y consultoría. Antes de esto trabajó como ingeniero de software y director de un proyecto que proporcionaba firewall, antivirus y software de seguridad.
Microsoft ha identificado a Sabelnikov con la ayuda de otro acusado del caso. La compañía considera que la actuación judicial es importante “por el daño causado por Kelihos y porque todos los participantes en la botnet deben entender que hay riesgos y consecuencias por participar en actividades maliciosas”.
Aparece una nueva versión del troyano Carberp, con similitudes a Zeus pero más peligroso
Se trata de una nueva versión de Carberp, que puede ser utilizado para robar datos y para realizar estafas entre los usuarios. Expertos de seguridad aseguran que la nueva versión de Carberp tiene similitudes con el malware Zeus, pero cuenta con características que podrían evitar su identificación con antivirus. Las primeras estafas con Carberp ya se han localizado en Facebook.
Carberp es uno de los troyanos que más problemas ha dado en los últimos años. Ya en 2010 este malware, concentrado en el robo de datos bancarios, fue una seria amenaza para los usuarios. Dos años después, los hackers están utilizando una nueva versión de Carberp para volver a realizar sus actividades, que van desde el robo de datos a las estafas económicas.
En concreto, la nueva versión de Carberp tiene cierta similitud con el virus Zeus, uno de las amenazas que más problemas ha generado recientemente. La similitud ha sido identificada por un investigador de seguridad, Nicholls Marcos, citado por Infosecurity.
“Carberp presenta una funcionalidad similar a la de Zeus. Carberp incluye una funcionalidad para el robo de datos y la recolección de credenciales de los sistemas infectados. Además de ser un troyano para robar datos, también puede crear una botnet que ofrece control total sobre los servidores infectados. Aunque originalmente fue diseñado para ataques financieros, sus mecanismos de infección lo convierten en un candidato ideal para los ataques dirigidos”, ha explicado Nicholls Marcos.
De esta forma, los hackers han ampliado las posibilidades de Carberp, que además de tener cierta similitud con Zeus se ha perfeccionado para pasar desapercibido. Según Infosecurity, Carberp puede superar los antivirus sin ser identificado gracias a las novedades que le han incorporado. Además, este malware consigue ocultarse de los análisis de seguridad de los sistemas, lo que hace que sea aún más peligroso.
La compañía Trusteer ha confirmado la aparición de esta nueva versión de Carberp y ha asegurado que los ciberdelincuentes ya están utilizándolo en una estafa en Facebook. El troyano suplanta a las páginas de Facebook, de forma que redirige constantemente a los usuarios a una página de Facebook en la que aseguran que las cuentas han sido cerradas. Para volver a activar las cuentas, el sistema solicita el pago de 20 dólares y los datos de los usuarios. Todo el proceso se regula por medio de Carberp, que además recopila los datos de los usuarios.
Los hackers intentan distribuir malware a través de las webs para niños
La compañía Avast ha confirmado que los hackers están aumentando la distribución de malware a través de páginas con juegos y contenidos para niños. Los expertos aseguran que los niños no son tan cuidadosos como los adultos y por ello los cibercriminales intentan aprovechar para infectar sus equipos.
Los menores cada vez empiezan antes a utilizar los ordenadores e Internet. A las últimas generaciones se les conoce como los nativos digitales porque han ven Internet y las nuevas tecnologías como parte natural de su entorno. Aunque esta normalización de la tecnología tiene sus partes positivas, también está el riesgo de que los menores no sepan responder ante las amenazas de la Red.
La compañía de seguridad Avast ha confirmado que los hackers se han dado cuenta del éxito de Internet entre los menores y que están dedicando parte de sus esfuerzos a distribuir su malware en webs diseñadas para los más pequeños. En un estudio publicado por la BBC, Avast ha asegurado que han detectado más de 60 sitios web para menores que contenían malware.
Los cibercriminales suelen buscar páginas con juegos y contenidos atractivos para los menores para camuflar sus amenazas. En concreto, el malware se aloja en contenidos de Javascript y fundamentalmente busca redirigir a los usuarios o fomentar la descarga de archivos infectados.
Aunque hay web diseñadas específicamente para distribuir malware entre los niños, Avast ha explicado que en la mayoría de los casos los hackers se aprovechan de webs legales que no conocen que parte de sus sistemas se han visto afectados. Como ejemplo Avast ha mencionado a la web cutearcade.com, que ha generado más de 12.600 informes de infección solo en una semana.
Los menores, además de ser vulnerables por no ser conscientes de los riesgos de la Red, también se exponen porque sus equipos no cuentan con las medidas de protección adecuadas. Según Avast, gran parte de los ordenadores que se destinan al uso de los menores no están actualizados o no tienen una solución antivirus que pueda proteger ante las amenazas.
La compañía de seguridad ha explicado que es fundamental mantener los sistemas actualizados, especialmente en el caso de los menores, y que la participación y supervisión de los padres es fundamental para limitar el alcance de los ataques contra los menores. En este sentido, es necesario que los padres, además de controlar la navegación por la Red, informen a sus hijos sobre los riesgos y sobre cómo deben responder ante determinados elementos que puedan encontrar.
Detectan nueva estafa a través de Facebook
Se está expandiendo a través de Facebook, un scam que ofrece dos tentadoras entradas para una fiesta en un barco que tiene como destino, la isla de Ibiza, lugar conocido por sus clubes, discotecas y vida nocturna.
Para hacer más tentadora la oferta, se afirma que este supuesto festejo tiene barra libre y también garantizan que asisten la misma cantidad de chicos y chicas. Además, una vez que se llega al lugar, se prometen dos entradas para el famoso lugar de bailes Space Ibiza.
El fraude llega de parte de algún contacto que haya caído en el engaño y le pide al usuario que busque una frase concreta en Facebook o Google y que seleccione el primer resultado que aparezca. En ambos lugares se logra el objetivo del ciberdelincuente, pues si se escribe lo que explicita el mensaje, se obtiene como primera opción, el sitio de la estafa. Esta técnica de posicionar sitios maliciosos dentro de las primeras opciones es conocida como Black Hat SEO.
Una vez que se accede al resultado, se le pide a la persona que seleccione su país para luego completar un formulario que pide información personal como nombre y apellido, correo electrónico, número de teléfono celular y compañía, entre otros.
Los ciberdelincuentes solicitan esta última información con el objetivo de suscribir a la mayor cantidad de personas posibles, a costosos servicios de información mediante mensajes de texto o SMS. Para que la potencial víctima no sospeche, se le dice que el número de teléfono y compañía son necesarios para comunicarle el resultado en caso de ser ganador.
También se le ofrece al visitante la posibilidad de omitir este paso argumentado que si se conecta por Facebook, no tendrá que escribir todos esos datos. Si el usuario ingresa mediante este método y permite que la aplicación acceda a los datos de su cuenta, el scam le enviará a todos los contactos de la víctima las instrucciones de búsqueda para hacerlos caer nuevamente en esta estafa.
Para lograr aún una mayor cantidad de víctimas, en el sitio se le pide al usuario que si le gusta la fiesta, haga clic en el botón de Facebook “Me gusta”. De este modo, se estará expandiendo este fraude nuevamente, a través de esta red social.
Se le recuerda al usuario que nunca debe entregar información privada ni tampoco permitir que cualquier aplicación acceda a su cuenta de Facebook para poder evitar este tipo de ataques. Además, se recomienda la utilización de un antivirus con capacidad proactiva para sumar un nivel más de seguridad a sus computadoras.
El Inteco alerta de un virus que se propaga con los dispostivos extraíbles
El Instituto Nacional de Tecnologías de la Comunicación (Inteco) alerta de un nuevo virus para la plataforma Windows, de Microsoft, que se propaga a través de los dispositivos extraíbles que se conectan a un ordenador creando una copia de sí mismo en cada uno que detecta.
El virus, denominado IRCbot.k, una vez instalado en un ordenador comprueba cada treinta segundos si hay un nuevo dispositivo extraíble conectado, se instala en él y se vincula a un canal de chat para recibir comandos como actualizarse o visitar páginas web.
Una vez dentro, el virus crea copias de sí mismo imitando los nombres de las carpetas que ya están guardadas en el dispositivo en cuestión, además de un acceso directo que apunta al archivo malicioso. El Inteco recomienda, ante este y otros virus que puedan estar infectando equipos informáticos, que el usuario tenga instalado un antivirus, sea cauto al navegar por la Red y actualice con frecuencia el ordenador y los programas.
Del mismo modo, el centro tecnológico recomienda la instalación de cortafuegos, que no son lo mismo que los antivirus, según recuerda, ya que los primeros evitan que un posible virus que ya se haya instalado envíe datos sin autorización del usuario e impiden que un usuario malintencionado pueda entrar en un equipo ajeno y acceder a la información.
Symantec descubre nuevo malware para Android
La empresa de seguridad Symantec ha descubierto dos nuevos malware para Android, uno que afecta a una serie de juegos y otro que explota el asunto Carrier IQ y manda SMS a números premium.
Peter Coogan, analista de la empresa de seguridad Symantec, ha escrito un post en el que habla de una nueva aplicación fraudulenta, Android Steek, localizada en Android Market y que suplanta a unos cuantos juegos publicados bajo el nombre de “Stevens Creek Software”.
Durante la instalación de esta aplicación fraudulenta sólo se pide permite para acceder a Internet. Una vez que está instalada, la aplicación abre una ventana a la que lleva al usuario y en la que se le pide que termine el proceso de instalación pulsando un botón, que abre el navegador y redirecciona al usuario varias veces hasta que llega a una solución de ingresos online, escribe Coogan.
El mes pasado se desató la polémica cuando un desarrollador de Android, Trever Eckhart colgó un vídeo en YouTube que mostraba cómo el software Carrier IQ registraba los mensajes de texto, búsquedas web y otras actividades sin conocimiento o permiso del usuario.
Aprovechando este tema, los desarrolladores de malware están haciendo circular una herramienta falsa para la eliminación de Carrier IQ, Android.Qic somos, que está circulando entre los usuarios franceses y que le lleva a marcar números premium.
Peter Coogan explica en su post que una vez que está instalada, la aplicación aparece en el menú del dispositivo con un icono similar a uno de los mayores operadores europeos. El código malicioso empieza a funcionar cuando el usuario pulsa sobre la opción de desinstalar desde dentro de la aplicación; una vez pulsada se envían cuatro mensajes SMS a un número premium, para después realizar una desinstalación de la aplicación.
Más de un millón de sitios afectados por un ataque
Lilupophilupop es el nombre de la nueva amenaza que ya afectaría a más de un millón de páginas web. Este ataque se produce al introducir una línea de código dentro del sitio con la instrucción de redireccionar a la víctima a un sitio donde se le insta a descargar una versión falsa de Adobe Flash Player o incluso antivirus aparentemente legítimos. En realidad estos programas contienen malware que de instalarse afectaría al sistema del usuario.
En el último mes este ataque de inyección de código SQL ha experimentado un crecimiento más que notable. De 80 sitios infectados se ha pasado a más de un millón en solo un mes, aunque el método de contabilizarlo no es del todo fiable, ya que no se separa los sitios infectados de las webs en las que solo se hable del ataque. A través del código SQL se introduce el script Lilupophilupop dentro del código de JavaScript de las páginas web. Este script es el que envía al usuario a las páginas vulneradas y le insta a realizar la descarga de los falsos programas.
Los investigadores temen que este ataque esté automatizado o al menos parcialmente automatizado, lo que podría provocar que el número de sitios afectados aumentara considerablemente en los próximos meses. Los sitios más afectados son aquellos propios de Holanda (con el dominio .nl), aunque también se han detectado dominios de otros países y algunos sitios .org y .com.
Para saber que sitios pueden estar sufriendo este ataque, y para saber si tu propio sitio es uno de los atacados, basta con buscar en Google un parametro como vemos en la imagen de abajo. En caso de aparecer en los resultados de búsqueda el sitio tendrá todos los papeles para ser uno de los afectados. Aunque el ataque ya ha adquirido proporciones alarmantes, algunos analistas han instado a mantener la calma hasta que se realice una investigación más en profundo sobre su alcance real.
Dorkbot recluta equipos para una botnet latinoamericana
El código malicioso, que se distribuye mediante Facebook y Windows Live Messenger, también roba credenciales de acceso a redes sociales de los usuarios y realiza ataques de phishing contra entidades bancarias de la región.
ESET anunció el descubrimiento de una masiva campaña de propagación de malware mediante mensajes de Facebook y Windows Live Messenger que convierte a los equipos infectados en parte de una red botnet y roba a los usuarios los datos de acceso de las redes sociales. Se trata de Win32/Dorkbot, el código malicioso de mayor propagación durante los últimos 6 meses en Latinoamérica, el cual también realiza ataques de phishing contra bancos de la región.
De acuerdo a los reportes del Laboratorio de ESET Latinoamérica, la distribución del malware se inicia con un simple mensaje de Ingeniería Social que despierta la curiosidad de los usuarios y los estimula a hacer click en un enlace, dando paso así la descarga de un archivo ejecutable malicioso. En este caso, los cibercriminales utilizan como cepo supuestas fotos de Hugo Chávez, el presidente de Venezuela, en estado agónico. En campañas anteriores de este ataque se utilizaron mensajes asociados a imágenes de la cantante Jennifer López para propagar el mismo código malicioso.
A partir del momento en que el sistema es infectado, el equipo pasa a formar parte de una red botnet y queda a la espera de recibir órdenes. Entre las capacidades de este código malicioso se encuentra también el robo de credenciales de Facebook, Gmail, Hotmail, Twitter y PayPal, entre otros servicios en línea.
Los comandos enviados de manera remota a cada equipo zombie integrante de la red le permiten al atacante definir mensajes para propagar la amenaza a través de estos servicios. De este modo, cuando el sistema infectado se conecte a sitios como Facebook o Windows Live Messenger, se enviarán mensajes a todos los contactos del usuario con un enlace al código malicioso, continuando de este modo el ciclo de propagación.
Por otro lado, al producirse la infección, el código malicioso descarga también un listado de direcciones URL con cinco bancos de Chile y seis bancos de Perú, de modo que cada vez que el usuario se conecte a estos dominios estará remitiendo las claves de acceso de su home banking al cibercriminal.
“Este tipo de ataques remarcan aquello que anticipamos en nuestro informe Tendencias 2012: la utilización de estrategias de Ingeniería Social continuará en ascenso y el eje de gran parte de los ataques será el robo de información, un activo cada vez más valioso”, aseguró Sebastián Bortnik, Coordinador de Awareness & Research de ESET Latinoamérica.
