Más de 31.000 usuarios de Twitter afectados por phishing
ESET Latinoamérica ha detectado un nuevo caso de phishing. Esta vez el blanco elegido fue la red social Twitter.
Para ello los ciberdelincuentes están empleando como temática de Ingeniería Social, afirmaciones que apelan directamente a la curiosidad de la potencial víctima. Tweets o mensajes en inglés sobre supuestos rumores malintencionados o cosas “muy malas” son los ganchos que buscan cautivar al usuario para que haga click sobre el enlace fraudulento.
Si la persona no es precavida y sigue dicho hipervínculo, estará ingresando a un sitio malicioso que solicita las credenciales de acceso a Twitter. Para hacer más real el phishing, se utiliza la excusa que esa información es necesaria debido a que ha transcurrido un período largo de inactividad por parte del usuario y que la sesión ha sido cerrada como medida de seguridad.
Aunque por el momento sólo se han detectado mensajes en inglés, es posible que este ataque de phishing sea traducido a otros idiomas como el español con tal de aumentar aún más la cantidad de afectados.
Realizando un análisis detallado ESET ha encontrado que al menos 31.000 usuarios han sido víctima de este phishing, quedando a merced de los ciberdelincuentes información como nombres de usuarios, correos electrónicos y contraseñas.
Se recomienda al igual que lo que sucede con otros ataques similares, no seguir ningún hipervínculo ni menos ingresar información sensible al abrir un enlace. También es importante comprobar cuidadosamente la dirección a la cual se está accediendo inspeccionándola visualmente en la barra de direcciones del navegador web.
El malware Flashback infecta a más de 600.000 Macs en el mundo
Probablemente estemos ante el troyano más grande en torno a Mac que hayamos visto a tenor de las cifras que están comenzando a circular. Aunque Apple emitió un parche de seguridad para Java en el día de ayer, según la compañía de antivirus Dr. Web, más de 600.000 Macs están infectados con el troyano Flashback. Se trataría de un paquete demalware diseñado para robar información personal de los usuarios una vez ha entrado en los equipos.
De los equipos infectados y según la firma de seguridad, más de la mitad (57%) se encontrarían en Estados Unidos (274 con base en Cupertino), un 20% en Canadá y el resto repartido en el mundo como vemos en la imagen con la que abrimos.
Flashback se abría encontrado en septiembre del 2011 y se trata de un troyano que se hace pasar por una actualización del plugin de Adobe Flash Player, una detección que no ha evitado su desarrollo en los últimos meses evolucionando para explotar las vulneraciones de Java y atacando los sistemas.
¿Y cómo se propagó? Desde Apple ya se ha emitido una serie de parches para paliar su infección pero como apuntan en Cnet, su método de propagación resultaba de la visita a webs con el applet Java malintencionado, lo que acabaría en la ejecución arbitraria de código con los privilegios del usuario actual. Una vez instalado, Flashback inyecta código en los navegadores web u otras aplicaciones como Skype para recolectar contraseñas e información personal de los usuarios.
La firma F-Secure informaba de una serie de pasos para saber si tu equipo está o no infectado, además recomendaba que:
Se actualice el cliente Java a la ultima versión, deshabilitarlo cuando no sea necesario, o mejor aún, eliminarlo por completo si realmente no lo necesitas.
El parche que Apple ha ofrecido hace unas horas está disponible en OS X 10.6 y 10.7 desde el administrador de actualizaciones.
Adobe lanza una herramienta de código abierto para clasificar malware
Adobe Systems ha lanzado una herramienta de clasificación de malware que pretende servir de ayuda a la hora de responder a los incidentes de seguridad haciendo que a los investigadores y analistas les sea más fácil identificar archivos binarios maliciosos.
Bautizada como Adobe Malware Classifier, la herramienta utiliza algoritmos de aprendizaje para clasificar ejecutables de Windows y archivos DLL (dynamic link library), así como archivos maliciosos o desconocidos, explica Adobe en un post publicado en su blog.
Inicialmente, Malware Classifier se desarrolló en Adobe para que fuera utilizado por el equipo de respuesta a incidentes de seguridad de la compañía, que a veces tenía que analizar malware.
Cuando se ejecuta, la herramienta extrae siete atributos clave de cada archivo binario analizado y los compara con los datos obtenidos de otros miles de archivos maliciosos y de archivos limpios.
Ahora Adobe ha decidido lanzar la herramienta bajolicencia de código abierto y ya está disponible para su descarga desde SourceForge.
Los ciberdelincuentes lanzan una campaña de publicidad en Facebook para atacar a los usuarios de Pinterest
Bitdefender, galardonado proveedor de innovadoras soluciones de seguridad para Internet, ha detectado una campaña maliciosa de publicidad de pago en Facebook dirigida contra los usuarios de Pinterest, lo que deja ver un aumento tanto de la inversión como de la sofisticación de este tipo de campañas fraudulentas.
El anuncio, promete enseñar la manera de “ganar dinero con Pinterest”. El link incluido en el mismo lleva a los usuarios a una página web que cuenta con una encuesta que ofrece al usuario, a cambio de contestarla, una tarjeta Visa de regalo. Además, incluye la posibilidad de suscribirse vía email a futuras campañas.
Mientras que la “tarjeta de regalo” recuerda a la primera oleada de spam que afectó a la plataforma Pinterest (con falsos vales de descuento en H&M), la idea de suscribirse recuerda a las campañas de Twitter para ganar seguidores para cuentas falsas o maliciosas.
El elemento novedoso es que los ciberdelincuentes parecen estar haciendo una fuerte inversión para asegurarse que sus campañas tienen éxito.
La campaña de publicidad puede aumentar la eficiencia de las estafas ya que Facebook permite definir el público al que se quiere llegar, seleccionando perfiles, temas de conversación, etc. En este caso, el perfil seleccionado ha sido el de fans de Pinterest, es decir, usuarios que publican desde Pinterest o están hablando de esta red social.
“Pinterest es una de las plataformas sociales del momento, lo que explicaría el interés de los estafadores en acceder a sus usuarios. Lo interesante de esta estafa es que rinde un homenaje a Facebook al usar su plataforma de anuncios,” señala Jocelyn Otero Ovalle, Responsable de Comunicación de Bitdefender para España, que añade: “hay que estar atentos porque surgirán nuevos ataques contra los usuarios de Pinterest.”
El equipo de Pinterest indicó que este ataque viola la política de privacidad de la empresa en dos áreas: el envío de material publicidad no solicitada y el uso del servicio para el beneficio de terceros sin el consentimiento de Pinterest. Pinterest ha actualizado recientemente sus políticas para eliminar algunas cuestiones poco claras respecto a la propiedad de los contenidos fijados y los derechos de autor.
“Al ser un servicio cada vez más atractivo, Pinterest no es inmune a los ataques que enfrentan los sitios web, incluyendo spam y el phishing. Sin embargo, es una prioridad tremenda para nosotros dar con una forma rápida de hacerles frente. Nuestros ingenieros están trabajando activamente para gestionar los problemas que puedan surgir y para hacer más difícil que el contenido falso o perjudicial afecte a nuestros usuarios. “, Dijo Erica Billups de la Agencia de Outcast, en nombre de la Pinterest.
Cuidado con la “moda” del secuestro de cuentas en Facebook
La compañía Kaspersky Lab alerta de la proliferación de estafas desde cuentas de Facebook apropiadas indebidamente.
Si usted recibe un mensaje de un contacto de Facebook que le pide dinero porque se ha quedado tirado en un aeropuerto, asegúrese bien de que es real antes de hacer una transferencia, porque podría estar siendo vícitima de uno de los timos de moda en la red social.
La compañía Kaspersky Labs alerta de la proliferación de estafas en Facebook en que los ciberdelincuentes, usando cuentas robadas o secuestradas, envían mensajes personales a los amigos o contactos simulando tener un problema.
Todo parte de compañías que crean cuentas falsas para luego venderlas a otros ciberdelincuentes. Cuantos más amigos tengan estas cuentas, más caras serán, porque pueden usarse para atacar a más usuarios.
Después, usando esas cuentas robadas o secuestradas, los delincuentes envían mensajes personales a los amigos o contactos simulando tener un problema: por ejemplo, con excusas como estar atrapados en un aeropuerto, reclaman unos euros para comprarse un pasaje de vuelta a casa. O cuentan que la clave de su cuenta bancaria online no les permite el acceso, y piden a la víctima usar las suyas.
En Suecia esta estafa ha provocada recientemente el robo de más de 135.500 dolares mediante la infección de ordenadores de muchas víctimas. Los atacantes utilizaron un troyano que enviaron a las víctimas y, una vez instalado, les permitía acceder a sus ordenadores.
Los delincuentes se aprovechan del hecho de que hay una gran cantidad de información personal publicada en Facebook, por lo que es fácil enterarse de si alguien en particular se ha ido de viaje. Y si están usando una cuenta robada, también tienen fácil acceso a la información de sus contactos.
Por eso, para prevenir este tipo de amenazas, Kaspersky Labs nos deja una serie de sencillos consejos para prevenir este tipo de ataques:
- Asegúrate de que la persona con quien te comunicas es realmente quién crees que es. Quizás deberías llamarla por teléfono, o ponerte en contacto con sus familiares para verificar que realmente se encuentra en el extranjero.
- Nunca facilites ninguna información sobre tus cuentas bancarias por Internet.
- No añadas o aceptes solicitudes de amistad de desconocidos.
- Asegúrate de contar con una solución antivirus instalada en tu ordenador.
- Recuerda cambiar frecuentemente tus contraseñas. Han de ser complejas y difíciles de adivinar, para lo cual conviene usar una combinación de letras, números y símbolos.
- No uses tu contraseña de Facebook para otros sitios, porque si la contraseña queda comprometida en un sitio, puede usarse para acceder a otros sitios.
Desmantelan la segunda botnet Hlux/Kelihos Botnet
La nueva botnet triplica el tamaño de la primera versión. Se han neutralizado ya más de 109.000 servidores infectados cuando la primera sólo afectó a 40.000.
En su continua persecución contra los operadores de botnets y delitos cibernéticos, los expertos de Kaspersky Lab, junto con CrowdStrike Intelligence Team, Dell SecureWorks y los miembros del Honeynet Project, han trabajado de forma conjunta para poner fin a la segunda botnet Hlux (también conocida como Kelihos). Esta botnet ha triplicado el tamaño de la primera Hlux/Kelihos que se desactivó en el mes de septiembre de 2011. Kaspersky Lab ha neutralizado ya más de 109.000 sistemas infectados cuando en la versión inicial sólo se infectaron 40.000 hosts.
La primera botnet Hlux/Kelihos
Esta no es la primera vez que Kaspersky Lab detecta versiones de la botnet Hlux/Kelihos. En septiembre de 2011, Kaspersky Lab junto a la Unidad de Crimen Digital de Microsoft, SURFnet y Kyrus Tech, Inc., desactivaron con éxito la primera versión de la botnet.
Durante este periodo, Kaspersky Lab llevó a cabo una operación de sinkholing (sistema que hace que todas las comunicaciones que hace de “cabeza” al resto de los bots, no lleguen a su destino, destruyendo la comunicación interna y tomando el control) que desactivó la botnet y su infraestructura de backup desde el servidor Command & Control (C&C).
A pesar de que la botnet original estaba neutralizada y bajo control, los expertos de Kaspersky Lab emprendieron una nueva investigación en enero descubriendo que un segundo Hlux / Kelihos estaba operando. A pesar de que la botnet es nueva, el malware ha sido construido utilizando los mismos códigos que la botnet original. Al igual que la primera versión, la botnet también utilizó la red de ordenadores infectados para enviar spam, robar datos personales, y llevar a cabo el ataque DDoS hacia objetivos específicos.
Cómo se ha desactivado la segunda Hlux/Kelihos
Durante la semana del 19 de marzo, Kaspersky Lab, CrowdStrike Intelligence Team, Dell SecureWorks y Honeynet Project pusieron en marcha una operación de sinkholing que logró deshabilitar la botnet.
Ambas redes eran botnets peer-to-peer (P2P), lo que significa que cada miembro de la red podía actuar como un servidor y/o cliente, a diferencia de las botnets tradicionales que se basan en un único mando y control del servidor C&C. Para neutralizar esta botnet P2P flexible, el grupo de expertos en seguridad ha creado una red global de equipos distribuidos que se han instalado en la infraestructura de la botnet. A medida que más máquinas infectadas se neutralizaban, la arquitectura P2P debilitaba su fuerza de forma exponencial perdiendo el control de los equipos.
Con la mayoría de las redes de bots conectados al sinkholing, los expertos de Kaspersky Lab pueden utilizar la minería de datos para realizar un seguimiento de las infecciones por el número y su ubicación geográfica. Hasta la fecha, Kaspersky Lab ha contado con 109.000 direcciones IP infectadas. La mayoría de las direcciones IP infectadas se encuentra en Polonia.
Falsa extensión de Chrome ataca a los usuarios de Facebook
El nacimiento de las extensiones se remonta a la necesidad que vieron los navegadores de ofrecer algo nuevo para mejorar la experiencia de los usuarios en la Red. Debido a la popularidad que han adquirido estas herramientas, parece que ahora son el nuevo blanco de los delincuentes informáticos.
Recientemente en la tienda oficial de Google Chrome apareció una extensión maliciosa con la que los delincuentes pueden controlar el perfil de Facebook de los usuarios que la instalan en su equipo. A través de un reporte de Kaspersky Lab se pudo determinar que se trata de una falsa de Adobe Flash Player, que está alojada en los servidores de Google.
De acuerdo con los ejecutivos de Kaspersky, las extensión descarga un script que distribuye spam entre sus amigos de Facebook, hace clic en ‘Me gusta’ en diferentes páginas de la red social e invita a sus contactos a instalar extensiones maliciosas de Chrome en sus navegadores.
Según comentó el ejecutivo de Kaspersky Fabio Assolini, en el blog oficial de la compañía, países como Brasil han registrado en los últimos meses un incremento en las estafas de Facebook que utilizan extensiones maliciosas de Google Chrome. La compañía de antivirus ha venido siguiéndole la pista a la falsa extensión de Adobe, identificada como Trojan.JS.Agent.bxo, desde el 6 de marzo, fecha en la que ya había infectado a 923 usuarios.
“Nosotros informamos a Google de la existencia de esta extensión maliciosa y ellos la eliminaron rápidamente. Sin embargo, hemos notado que los delincuentes detrás de este plan malicioso están cargando nuevas extensiones con frecuencia, como en un juego del gato y el ratón“, dijo Assolini.
El ejecutivo también habló de cómo los delincuentes encontraron la manera de monetizar el negocio del secuestro virtual de las cuentas de Facebook. Al tener el control total del perfil de los usuarios, estas personas crearon una forma de vender los ‘Me gusta’ en la red social.
Como saben, al igual que con los seguidores de Twitter, las compañías que tienen cuentas en las redes sociales se preocupan por darse a conocer y propagar su marca consiguiendo un número grande de seguidores. Es así como los delincuentes venden, por ejemplo, un paquete de 1000 clics o “Me gusta” en unos 27 dólares.
Symantec alerta sobre el falso antivirus Windows Risk Minimizer
Symantec informó sobre una campaña de malware que pretende estafar a los usuarios a través de un supuesto antivirus denominado Windows Risk Minimizer. Según las investigaciones, el antivirus es falso y el objetivo es engañar a las víctimas para que paguen 99,99 dólares por una versión completa de la solución, que en realidad no tiene ninguna utilidad.
El malware y las estafas toman muchas formas y los cibercriminales no paran de innovar para encontrar los puntos débiles en los sistemas y los usuarios. Ahora que hay un gran número de virus, que los ataques aumentan y que la seguridad se ha convertido en una prioridad para empresas y particulares, los cibercriminales están apostando, como ya lo hicieron en el pasado, por intentar asustar a los usuarios con supuestos virus e infecciones.
El objetivo de esta estrategia es promover la adquisición de sistemas antivirus falsos, que solucionan problemas inexistentes. Symantec identificó una de estas amenazas en un sistema identificado como Windows Risk Minimizer. Al parecer, esta supuesta solución antivirus se está distribuyendo en la Red y su finalidad es engañar a los usuarios.
Para realizar la estafa, el supuesto antivirus ejecuta un análisis de los sistemas. Utilizando Flash, aparece un cuatro de diálogo que parece confirmar el análisis. En realidad no se está realizando ninguna comprobación. Al acabar, el sistema alerta sobre importantes virus en distintos servicios, como Chorme o BitTorrent, y se avisa a los usuarios sobre la necesidad de reparar el sistema por la gravedad de la incidencia.
Para completar la estafa, los cibercriminales hicieron que Windows Risk Minimizer ofrezca un sistema para comprar la versión completa del antivirus, que sería la solución para los falsos problemas registrados. De esta forma, se facilita a los usuarios la compra de Windows Risk Minimizer por 99,99 dólares.
Se trata de una estafa ya que los problemas identificados no existen y el antivirus no cuenta con ninguna protección para los usuarios. Ante esta amenaza, en Symantec recomiendan estar alerta ante Windows Risk Minimizer. Para evitar que los equipos puedan verse afectados por este malware y que los usuarios tengan que afrontar la estafa, la recomendación es mantener todos los sistemas tradicionales, navegadores y sistema operativo, totalmente actualizados.
Bitdefender detecta un nuevo troyano bancario muy difícil de rastrear
El virus, que ha sido detectado por Bitdefender, pone en marcha una complicada serie de descargas e instalaciones y, tras robar datos de las cuentas bancarias de la víctima, borra su rastro.
El proceso se inicia con la infección de webs muy visitadas con “applets” de Java maliciosos difundidos por ciberdelincuentes. Estos componentes de malware han sido detectados por Bitdefender como Trojan.Downloader.Java.OpenConnection.BA, y se disfrazan de Adobe Flash Player, anteponiéndose a los archivos html limpios para asegurarse su ejecución al abrir la página html infectada. Una vez que se ha ejecutado, este código malicioso descarga e instala otros archivos infectados en el ordenador del usuario.
El archivo descargado (Trojan.Generic.KD.218227) se guarda en el pc del usuario con el nombre temp_flash_file.phx. Descarga e instala malware desde una lista (codificada en el programa de descarga) de una docena de enlaces que remiten a diferentes troyanos bancarios.
Para asegurarse la ejecución automática, el virus crea un acceso directo a sí mismo en “%Start Menu%\Programs\Startup” con un nombre vacío con extensión “.lnk”. Cada vez que el sistema se abre, todos los programas con accesos directos presentes en la carpeta se inician automáticamente, incluido el malware.
Una vez que está en el sistema, el virus se actualiza por sí solo descargando nuevas versiones de otra lista de enlaces. Esas actualizaciones se esconden en diferentes ubicaciones para asegurar su continuidad incluso si se detecta algún archivo.
Este troyano es muy difícil de rastrear ya que solo se puede acceder a los enlaces de la segunda lista a través del virus, lo que dificulta a las empresas de seguridad rastrear el origen del malware.
Es decir, cuando un proveedor de antivirus se hace con una lista actualizada, normalmente puede seguir los enlaces, bloquearlos y añadir sus rutinas antimalware. Pero en esta ocasión solo tiene una lista con enlaces que no puede rastrear ya que una vez que el troyano descarga el malware se elimina automáticamente borrando cualquier resto tras él.
El troyano Duqu al descubierto
El troyano Duqu ha traído de cabeza a varias compañías de seguridad dado que podría ser muy peligroso, algunos lo denominan Stuxnet 2.0. Un grupo de programadores y analistas de seguridad han conseguido descifrar el lenguaje de programación del mismo, lo que permitirá crear técnicas que permitan el control del mismo y evitar su expansión.
Este malware es una variante del arma cibernética destinada a retrasar la capacidad de Irán para fabricar bombas nucleares, Stuxnet.
El anuncio de que el troyano Duqu estaba desarrollado en un lenguaje de programación ‘desconocido’ desató una tormenta de especulaciones entre expertos en malware y programadores de todo el mundo.
Después de aislar y analizar el troyano y tras la colaboración y sugerencias de centenares de programadores, los analistas de Kaspersky Lab dicen haber resuelto que el lenguaje no es nuevo aunque contaba con un alto grado de optimización y personalización, sin rastro de cualquier firma indicadora que pudiera dar pistas en el código de ensamblador que pudieran ser leídos como una huella digital.
Así, Duqu estaría escrito en lenguaje ‘C’ y compilado con el Visual Studio 2008 de Microsoft, aunque incluiría una extensión personalizada conocida como “OO C” para combinar programación orientada a objetos con C.
Por el lenguaje empleado, los investigadores aseguran que Duqu fue escrito por un programador o equipo profesional de la ‘vieja escuela’ que no confían en compiladores como C++. Además, C, es altamente portable a otras plataformas, un plus para un troyano malicioso.
Es seguro que fue realizado ‘por encargo’ con equipos distintos para su creación e infección aunque se desconoce su país de origen y su objetivo concreto. Se sigue pensando que en origen estaba destinado a robar información de infraestructura crítica, tales como centrales eléctricas, refinerías y oleoductos, utilizando una red de miles de ordenadores infectados, aprovechando una vulnerabilidad en sistemas Windows.
El análisis del código de Duqu parece descartar como creían los investigadores relación con Stuxnet a pesar de sus coincidencias. Y es un alivio porque se considera a éste como “el arma cibernética más sofisticada jamás creada”, seguramente en Israel, para piratear, sabotear y retrasar la capacidad de Irán para fabricar bombas atómicas. Un virus que llegó a infectar miles de equipos en 155 países.
