Symantec ofreció USD$50.000 para que hackers no revelaran el código de su software
Un grupo de hackers intentó conseguir USD$50.000 de Symantec para no revelar el código fuente de Norton Antivirus y PCAnywhere. Aunque Symantec lo ha tratado como un caso de extorsión, los hackers aseguraron a la agencia Reuters que nunca intentaron conseguir dinero de parte de la empresa, y que todo el asunto fue un intento de avergonzar a la empresa por su mala seguridad.
En Pastebin se postearon una serie de correos electrónicos entre un empleado de Symantec llamado Sam Thomas, y un representante del grupo de hackers denominado “YamaThough”. En los e-mails, Symantec acepta pagar US$50.000 para que el grupo destruyera el código y – quizás lo que parece más grave – afirmara públicamente que nunca había conseguido acceso a esa información, negando así que sus sistemas hubiesen sido inseguros.
Sin embargo, YamaThough afirmó en Twitter que “no lo creerían, pero Symantec acaba de ofrecernos dinero para que nos quedemos en silencio” – algo que da a entender que la iniciativa monetaria partió de la compañía.
Symantec asegura que “Sam Thomas” en realidad era un agente policial - ”cuando llegaron a nosotros con el propósito de extorsionarnos, fuimos a la policía”, señaló un vocero a Forbes. Así, la oferta de los USD$50.000 habría sido un señuelo para intentar rastrear al hacker.
Un grupo que se autonombra como los “Lords of Dharamaja” aseguró que tenía el código de PCAnywhere en enero, lo que causó que Symantec pidiera a los usuarios que bloquearan todos los puertos de su computadora que estén asociados a esta aplicación.
Como sea, el grupo de atacantes publicó ayer un archivo torrent de 1.27 GB con el código de PCAnywhere en The Pirate Bay (sin tomar el dinero). Symantec dice estar analizando el código para saber si es auténtico o no, pero si eres usuario de este programa, valdría la pena empezar a preocuparse. En tanto, el código de Norton Antivirus será publicado hoy, según anunció YamaThough.
Nuevo malware se propaga a través de Facebook e infecta a miles de usuarios
Facebook se ha convertido en una fuente inagotable para la propagación de malware. En esta ocasión conocemos un caso que ha afectado a más de 60.000 usuarios. Bajo el reclamo de una noticia sobre el inicio de la Tercera Guerra Mundial, los usuarios son redirigidos a una web donde quedan infectados.
El último caso que hemos conocido utiliza otro gancho morboso para ganarse la confianza de los más incautos. Un falso enlace a la supuesta web del canal estadounidense CNN avisa de un inminente ataque militar de Estados Unidos contra Irán y Arabia Saudí, en lo que supondría el teórico inicio de la Tercera Guerra Mundial. El blog Sophos, de Naked Security, avisa de esta amenaza, puesto que al pulsar en dicho enlace el usuario es redirigido a una web falsa con la apariencia del citado medio de reconocido prestigio mundial.
En dicha web se intenta atraer la atención de las víctimas con supuestos vídeos sobre el citado conflicto. Sin embargo, para poder visualizarlos al pulsarlos se pide a los usuarios que instalen una supuesta actualización de Adobe Flash Player, momento en el que se descarga e instala el archivo malicioso, detectado como “Troj / Rootkit-JV”. Al tratarse de un rootkit, entraña los riesgos de este tipo de malware, convirtiendo el ordenador infectado en una fuente para que los intrusos puedan extraer de él todo tipo de información sin el permiso del usuario o ejecutar acciones de forma remota.
El ritmo de propagación del malware ha sido muy alto, ya que según alerta la empresa de seguridad, más de 60.000 usuarios han sido engañados en apenas tres horas. Sophos ha señalado que el código malicioso instalado en los ordenadores de los usuarios está enviando el mensaje a Facebook sin que los usuarios lo sepan, de modo que sus contactos son víctimas potenciales de este archivo.
Descubren un troyano para Android que muta con cada descarga
Las técnicas polimórficas, presentes desde hace años en el mundo del PC, acaban de aparecen en el de los dispositivos móviles, demostrando el creciente interés que para los hackers tienen los smartphones.
Investigadores de la empresa de seguridad Symantec han descubierto un nuevo troyano para Android capaz de modificar su código cada vez que es descargado con el fin de superar las detecciones antivirus.
Esta técnica, que lo que hace es generar virus polimórficos, no es nuevo en el mundo de los ordenadores, donde existe desde hace años, pero acaba de ser adoptada en el mercado móvil. La técnica se basa en un mecanismo que modifica ciertas partes del troyano con el fin de asegurar que cada aplicación maliciosa que descarga es única. Los expertos aseguran que es algo diferente de los polimorfismos locales, donde el malware modifica su propio código cada vez que se ejecuta.
Symantec ha identificado múltiples variantes de Android.Opfake, todas ellas distribuidas desde páginas webs rusas. El malware tiene instrucciones de enviar mensajes SMS a números premium desde varios países europeos y otros que antes pertenecían a Rusia.
Detectar amenazas de malware que utilizan polimorfismo puede ser difícil para algunos productos de seguridad, sobre todo si basan su capacidad de detección en firmas estáticas. En el caso de Android.Opfake el nivel de polimorfismo no es muy alto y sólo algunos de los archivos de datos del troyano son modificados por el servidor de distribución.
Los smartphones, que ofrecen capacidades similares a las de un ordenador, han llamado la atención de los ciberdelincuentes, que están aplicando todos sus conocimientos del mercado de ordenadores para hacer que sus creaciones tengan incluso más éxito.
La salida a Bolsa de Facebook puede ser un gancho para las estafas
La salida a Bolsa de Facebook puede ser un nuevo gancho para las estafas. Los ciberdelincuentes podrían aprovechar la cotización de Facebook en Bolsa para intentar engañar a los usuarios. Expertos de seguridad recomiendan extremar las precauciones ante esta posibilidad y no comprar títulos por medios poco fiables.
Facebook ha decidido salir a Bolsa en lo que puede ser una de los mayores estrenos bursátiles de la historia. La compañía pretende conseguir más de 3.800 millones de dolares de financiación con la operación y hay muchos inversores y usuarios interesados en conseguir participaciones de la compañía. Visto el éxito y crecimiento del servicio, las acciones de Facebook parece que tendrán un nivel de cotización muy elevado.
Como viene ocurriendo en los últimos meses, los ciberdelincuentes intentarán de aprovechar el interés de los usuarios para beneficiarse con sus estafas. En este caso, expertos de seguridad ya han prevenido sobre la posible proliferación de estafas y spam que utilicen la OPI de Facebook como reclamo.
Los cibercriminales previsiblemente empezarán a diseñar mensajes falsos que prometerán la venta o regalo de títulos de Facebook. Este tipo de estafas no son nuevas y en el portal Naked Security han explicado que en otras ocasiones se han producido. Desde 2011 se ha rumoreado que Facebook podría salir a Bolsa y desde entonces ya se han identificado amenazas que usaban este gancho.
Los expertos de seguridad recomiendan desconfiar de los mensajes no solicitados que ofrezcan acciones de Apple. Las estafas pueden prometer el regalo de los títulos o simplemente descuentos respecto a su precio, pero su intención será conseguir datos o dinero de los usuarios. Para prevenir estas circunstancias, desde Naked Security han aconsejado no acudir a mercados no oficiales para solicitar acciones de Facebook y desconfiar de cualquier mensaje o comentario en este sentido en espacios no conocidos.
Captan en vídeo troyano que vulnera CAPTCHA
Websense Security Labs grabó una secuencia de video de la variante Cridex del troyano que está infectando a las computadoras y rompiendo los CAPTCHAs para replicarse automáticamente.
Cridex es un troyano que roba información y que se parece a Zeus en la forma en que opera – registra el contenido de las sesiones en línea y las altera para recopilar más información del usuario al que infectó. Una vez que ha infectado el troyano se pone a trabajar, usando a esa computadora para crear cuentas falsas adicionales de email gratuito para enviar correo no deseado a otras cuentas y replicarse.
Para crear nuevas cuentas la variante utiliza un servidor automático para romper los CAPTCHAs. El blog completo y el video correspondiente muestran a este troyano rompiendo un CAPTCHA en sólo seis intentos.
“Las variantes de troyanos como Cridex están incrementando su sofisticación y la facilidad con la que se propagan para infectar a más usuarios y robar una importante cantidad de información personal. Esto incluye a los medios sociales y las credenciales bancarias y otra información valiosa”, señaló Elad Sharf, investigador de seguridad de Websense Security Labs.
“Estos tipos de infecciones, variantes del tristemente célebre troyano Zeus, son responsables de los intentos de robo de cientos de millones de dólares a través de cuentas bancarias en línea a escala mundial. Esta variante del troyano refuerza que los CAPTCHAs siguen siendo un problema de seguridad real. Los hackers ya están adaptando rápidamente las variantes para romper fácilmente los CAPTCHAs para autoreplicarse”.
Video:
Cibercriminales peruanos atacan ciudadanos colombianos
Los delincuentes cibernéticos peruanos han afinado sus técnicas de ataque y han conseguido ser parte de la élite de la ciberdelincuencia de América Latina junto con los procedentes de Brasil, México, Argentina y Colombia debido a su alto nivel en desarrollo de paneles de gestión de infecciones, desarrollo de las botnets y por sus exitosos ataques de ingeniería social universal que han generado víctimas en toda Latinoamérica.
El equipo de análisis e investigación global de América Latina de la empresa de seguridad informática Kaspersky Lab, descubrió un reciente ataque de delincuentes informáticos peruanos a ciudadanos colombianos.
Dmitry Bestuzhev, director del mencionado equipo de análisis, explicó en el portal Viruslist que el 10 de enero del 2012 un criminal cibernético de Perú residente en la ciudad de Lima registró un nuevo dominio con un nombre muy llamativo que supuestamente publica las últimas noticias de Colombia. El mismo día el criminal lanzó un ataque de ingeniería social acompañado de un correo electrónico falso en el que invita a ver un supuesto video pornográfico de María Antonia Santos, la hija del presidente de Colombia, Juan Manuel Santos, teniendo relaciones sexuales en el palacio presidencial.
Si la víctima da un clic, se descarga malware del sitio web registrado previamente con un nombre muy parecido a uno real que podría difundir las últimas noticias de Colombia.
Bestuzhev explica que el ataque se dirige exclusivamente a víctimas de Colombia porque roba los PINes y las contraseñas de 3 diferentes instituciones bancarias de ese país. Seis días después del lanzamiento del ataque, sólo 22 de 43 antivirus detectan la amenaza. Kaspersky Anti-Virus detecta la amenaza mencionada como Trojan-Banker.Win32.Qhost.tsr.
Un troyano aprovecha Google+ para expandirse
La red social de Google no escapa a la hora de ser utilizada como gancho por los desarrolladores de malware. Un troyano se está expandiendo por Internet en los últimos días haciéndose pasar por una invitación para las quedadas en Google+.
Las redes sociales se han convertido en uno de los principales vehículos para propagación de software malicioso por Internet. El más claro ejemplo es Facebook, cuyo ingente número de usuarios (más de 800 millones en todo el mundo), lo convierten en uno de los objetivos favoritos de los desarrolladores de estos programas. En los últimos meses nos hemos referido a varios casos de malware distribuido a través de la red social de Mark Zuckerberg que podrían acabar en estafas económicas a los usuarios más incautos.
A mediados del pasado año Google lanzaba su alternativa en el sector de las redes sociales. Google+ captó la atención de un buen número de usuarios, unos atraídos por el distinto concepto de “red social” y otros hastiados por los problemas de privacidad en Facebook. Sin embargo, parece que de lo que no huirán ni unos ni otros será de ser potenciales víctimas de software malicioso que aproveche el nombre de Google+.
Hangouts, la excusa empleada
Aunque por ahora no se conoce la distribución de ningún malware dentro de la red social de Google (suponemos que será cuestión de tiempo), sí sabemos de uno de los primeros casos que aprovechan la denominación Google+ para atraer a sus víctimas. Según ha publicado la empresa de seguridad informática BitDefender, el malware se está distribuyendo utilizando como cebo la invitación a las quedadas de la red social, denominadas Google+ Hangouts. Los usuarios reciben en su correo electrónico una supuesta invitación que requiere la descarga de un supuesto plugin.
Nada más lejos de la realidad. El enlace redirige a una página que imita a la red social de los de Mountain View y se le muestra un botón para la descarga del archivo. Una vez pulsado, se descargaría un archivo denominado “hangouts.exe” que oculta un troyano. Una vez instalado, como sucede con este tipo de software malicioso, el ordenador de la víctima queda expuesto a potenciales ataques externos y toda la información que se procese a través de dicho equipo pueda ir a parar a ciberdelincuentes.
Detienen a un hacker rumano que atacó la NASA y el Pentágono
El presunto delincuente informático habría copiado de los servidores archivos confidenciales que según la Justicia publicó en un blog y una página. La Casa Blanca busca nuevo responsable tecnológico.
El FBI y las Fiscalías de los Estados Unidos y Rumania confirmaron la detención de una supuesto hacker de 20 años que habría robado datos sensibles de la NASA y el Pentágono a través de una aplicación especial, que luego puso a la venta en su sitio web.
El pirata informático fue arrestado hoy en la ciudad de Timisoara, en el oeste del país europeo, acusado de haber atacado a servidores y publicado la información en un blog y en una página.
Además, divulgó un video en el que se podía seguir su acción pirata contra la administración norteamericana. Sus acciones provocaron el bloqueo temporal de los sistemas informáticos del Ejército y la NASA, “perturbando gravemente su funcionamiento”, según indicó la Fiscalía.
Rumania es conocida como una potencia mundial en criminalidad informática. Según estadísticas oficiales, un 80% de los casos de piratería que se producen en ese país afectan a ciudadanos estadounidenses.
Por su parte, la Casa Blanca busca un nuevo resposable de Tecnología (CTO), ya que Aneesh Chopra, actual encargado del área, dejará su cargo. Algunos expertos vaticinan que la labor de gobierno abierto impulsada por el propio presidente Barack Obama seguirá adelante.
El malware prolifera en los terminales Mac
Un estudio asegura que 2011 fue uno de los peores años hasta el momento en cuanto a ataques contra la plataforma de Apple. El sistema Mac comenzó a registrar ataques importantes contra su seguridad.
Aunque se trata todavía de ejemplos insignificantes, comparados con los ataques que sufre Windows, los usuarios de Apple ya no son inmunes al malware y deben prestar mucha atención a las amenazas que surgen de la ingeniería social, según los expertos de Intego que han realizado el estudio.
Según su constante análisis y su informe anual, 2011 fue el peor ejercicio para la seguridad de los usuarios de Apple, por la creciente sofisticación de los ataques.
El informe divide el año en dos mitades, antes y después del 2 de mayo, fecha en la que fue descubierto un ataque encubierto bajo la apariencia de software de defensa para MAC.
Antes de eso, la amezana a estos equipos era similar a la acostumbrada, es decir, un puñado de ataques de bajo nivel. Sin embargo, OSX/ MAcDefender. A cambió la ecuación. Además de ser el primer ataque significativo como la apariencia de antivirus, fue creado utilizando Java para dotarle de capacidad multiplataforma y alcanzar también equipos Windows y Linux.
En los siguientes días, aparecieron más versiones de este tipo bajo diferentes nombres, incluyendo Mac Protector y Mac Guard y CaShield, al tiempo que Apple recibía un creciente número de llamadas de soporte de usuarios que habían sido convencidos de instalar el software falso.
A lo largo del año, también aparecieron aplicaciones malware, como el Troyano Flashback un fantasma que ofrecía un aspecto convincente de Flash Player.
En pocas palabras, los criminales están de repente deseando escribir aplicaciones fantasma que les permita convencer a usuarios de Mac para descargar software malicioso.
Como se destaca en el propio blog de Intego, “2011 ha sido el año más activo en cuanto a malware para Mac, desde que se presentó Mac OS X. No sólo hemos encontrado más ejemplares de malware este año, además Mac Defender llevó sus ataques a un público masivo”.
Incluso, la propia compañía ha descubierto el año pasado una herramienta diseñada específicamente para arrancar Macs y utilizarlos en ataques DDoS, algo impensable hace solo un año.
La única buena noticia al respecto que trajo el pasado año fue el arresto de una pandilla Estonia (the arrest of the Estonian gang)
acusada de estar detrás del malware de redirección de búsqueda DNSChanger que ha sido una de las mayores molestias tanto para usuarios de PC como de Mac en muchos años.
Ataque masivo de malware Android puede haber infectado a 5 millones de usuarios
La campaña más grande jamás realizada de malware para Android puede haber engañado hasta 5 millones de usuarios con la descarga de aplicaciones infectadas de Android Market de Google, dijo hoy Symantec.
Apodado “Android.Counterclank” por Symantec, el malware ha sido empaquetado en 13 aplicaciones diferentes a partir de tres diferentes editoriales, con títulos que van desde “Puzzle Sexy Girls” a “Counter Strike Force”. Muchas de las aplicaciones infectadas estaban todavía disponibles en el Android Market a las 3 pm ET del viernes.
“Ellos no parecen ser los editores reales”, dijo Kevin Haley, director del equipo de Symantec Security Response, en una entrevista. “Estas no son aplicaciones re-empacadas, como hemos visto tantas veces.”
Haley se refiere a una táctica común por los fabricantes de programas maliciosos para Android, de volver a empaquetar una aplicación legítima, con código malicioso, y que luego es relanzada al mercado con la esperanza de que los usuarios confundan la aplicación falsa con la verdadera.
Symantec estima que el impacto mediante la combinación de los totales de descarga – que el Android Market muestra como un rango- de las 13 aplicaciones, oscila entre 1 millón en el extremo más bajo y 5 millones en el más alto. “Sí, este es el más grande brote de malware en el Android Market”, dijo Haley.
Android.Counterclank es un troyano que cuando se instala en un teléfono Android recopila una amplia gama de información, incluyendo copias de los marcadores y el fabricante de teléfonos móviles. También modifica la página de tu navegador Web de origen.
Los hackers han monetizado el malware empujando anuncios no deseados a teléfonos Android comprometidos.
Aunque las aplicaciones infectadas solicitan un número inusualmente grande de privilegios – algo que el usuario debe aprobar – Haley argumenta que poca gente se molesta leerlos antes de dar su aprovación.
“Si usted fuera una persona conspicua, podría preguntarse por qué las aplicaciones están pidiendo permiso para modificar el navegador o transmitir las coordenadas GPS”, dijo Haley. “Pero la mayoría de la gente no se alerta”
Android.Counterclank es una variación menor de un caballo de Troya llamado Android.Tonclank que fue descubierto en junio de 2011.
Algunas de las 13 aplicaciones que Symantec identificó como infectado han estado en el Android Market por lo menos un mes, de acuerdo a la revisión de las fechas publicadas en la tienda. Symantec, sin embargo, las descubrió ayer.
Los usuarios habían notado algo raro antes de esa fecha.
“El juego es decente … pero cada vez que se ejecuta el juego, un icono de búsqueda” se agrega al azar a uno de sus pantallas “, dijo un usuario el 16 de enero después de la descarga de “Deal and be millionaire”, una de las 13 apps. “Sigo borrando el icono, pero siempre vuelve a aparecer. Si presiono el icono aparece una página que se parece sospechosamente a la página de búsqueda de Google.”
Los usuarios de Android han otorgado a una de las aplicaciones infectadas, puntajes bajos de revisión, calificándola de “basura”.
Las 13 aplicaciones sospechosas están aún libres para la descarga al momento de escribir esta nota.
Los investigadores de Symantec han comunicado a Google de su descubrimiento, dijo Haley. Google, sin embargo, no respondió de inmediato a las preguntas y una solicitud de confirmación de las reclamaciones de la empresa de seguridad.
Haley dijo que los investigadores de Symantec están todavía “pelando las capas de la cebolla”, y añadió que la empresa va a publicar más información sobre la amenaza. “Lo interesante aquí es que en lugar de tomar las aplicaciones legítimas, [los autores de malware] han creado aplicaciones similares a las legítimas”, dijo Haley. “Eso, y las grandes cifras de descargas, por supuesto.”
