Adobe lanza una herramienta de código abierto para clasificar malware
Adobe Systems ha lanzado una herramienta de clasificación de malware que pretende servir de ayuda a la hora de responder a los incidentes de seguridad haciendo que a los investigadores y analistas les sea más fácil identificar archivos binarios maliciosos.
Bautizada como Adobe Malware Classifier, la herramienta utiliza algoritmos de aprendizaje para clasificar ejecutables de Windows y archivos DLL (dynamic link library), así como archivos maliciosos o desconocidos, explica Adobe en un post publicado en su blog.
Inicialmente, Malware Classifier se desarrolló en Adobe para que fuera utilizado por el equipo de respuesta a incidentes de seguridad de la compañía, que a veces tenía que analizar malware.
Cuando se ejecuta, la herramienta extrae siete atributos clave de cada archivo binario analizado y los compara con los datos obtenidos de otros miles de archivos maliciosos y de archivos limpios.
Ahora Adobe ha decidido lanzar la herramienta bajolicencia de código abierto y ya está disponible para su descarga desde SourceForge.
Apple finalmente lanza parches Java para malware Flashback
Apple lanzó hoy parches de seguridad para Java con la intención de solucionar 12 diferentes fallas luego de que se descubra que su sistema operativo OS X es vulnerable al Troyano Flashback. Es mas los expertos de seguridad estaban tan preocupados por el potencial daño de este malware que recomendaron desinstalar Java hasta que las fallas sean solucionadas.
Aunque las personas con el sistema operativo Windows estaban en un nivel de riesgo más alto inicialmente, el blog de seguridad Mac, Intego, encontró una nueva variante de Flashback a comienzos de marzo, creada específicamente para los usuarios de Apple OS X.
La nueva actualización esta disponible a través del administrador de actualización en OS X 10.6 y 10.7, y según Apple busca solucionar “múltiples vulnerabilidades que existen en Java 1.6.0_29, la mas seria de estas puede permitir que un applet Java ejecute código arbitrario afuera del sandbox Java. Visitar una pagina web con el applet Java malintencionado podría llevar a la ejecución arbitraria de código con los privilegios del usuario actual.”
Investigaciones de Sucuri Security ubicaron un número considerable de páginas infectadas usando versiones anteriores de WordPress con el plugin “ToolsPack” instalado. Análisis de este plugin reveló que simplemente es una puerta trasera que permite a los hackers ejecutar cualquier código desde una página infectada. Se cree que estas paginas redirigen los navegadores de los usuarios de Mac OS X a páginas con una nueva versión del malware Flashback.
Aunque es bueno que Apple finalmente parche estas vulnerabilidades que los usuarios de Windows superaron en febrero, según rumores una falla crítica sigue abierta, la cual según F-Secure esta siendo discutida activamente en foros subterráneos donde se intercambia dinero por el código de explotación.
“Se recomienda seriamente actualizar tu cliente Java a la ultima versión, deshabilitarlo cuando no sea necesario, o mejor aun, eliminarlo por completo si realmente no lo necesitas,” dijo la empresa de seguridad en su blog el día de ayer.
Los ataques raramente son serios para la plataforma Apple OS X, pero no hay duda que las fallas son cada vez de mayor interés para los hackers. Tal vez lo más preocupante de toda esta situación es la lentitud de Apple para responder a las fallas de seguridad.
Cuidado con la “moda” del secuestro de cuentas en Facebook
La compañía Kaspersky Lab alerta de la proliferación de estafas desde cuentas de Facebook apropiadas indebidamente.
Si usted recibe un mensaje de un contacto de Facebook que le pide dinero porque se ha quedado tirado en un aeropuerto, asegúrese bien de que es real antes de hacer una transferencia, porque podría estar siendo vícitima de uno de los timos de moda en la red social.
La compañía Kaspersky Labs alerta de la proliferación de estafas en Facebook en que los ciberdelincuentes, usando cuentas robadas o secuestradas, envían mensajes personales a los amigos o contactos simulando tener un problema.
Todo parte de compañías que crean cuentas falsas para luego venderlas a otros ciberdelincuentes. Cuantos más amigos tengan estas cuentas, más caras serán, porque pueden usarse para atacar a más usuarios.
Después, usando esas cuentas robadas o secuestradas, los delincuentes envían mensajes personales a los amigos o contactos simulando tener un problema: por ejemplo, con excusas como estar atrapados en un aeropuerto, reclaman unos euros para comprarse un pasaje de vuelta a casa. O cuentan que la clave de su cuenta bancaria online no les permite el acceso, y piden a la víctima usar las suyas.
En Suecia esta estafa ha provocada recientemente el robo de más de 135.500 dolares mediante la infección de ordenadores de muchas víctimas. Los atacantes utilizaron un troyano que enviaron a las víctimas y, una vez instalado, les permitía acceder a sus ordenadores.
Los delincuentes se aprovechan del hecho de que hay una gran cantidad de información personal publicada en Facebook, por lo que es fácil enterarse de si alguien en particular se ha ido de viaje. Y si están usando una cuenta robada, también tienen fácil acceso a la información de sus contactos.
Por eso, para prevenir este tipo de amenazas, Kaspersky Labs nos deja una serie de sencillos consejos para prevenir este tipo de ataques:
- Asegúrate de que la persona con quien te comunicas es realmente quién crees que es. Quizás deberías llamarla por teléfono, o ponerte en contacto con sus familiares para verificar que realmente se encuentra en el extranjero.
- Nunca facilites ninguna información sobre tus cuentas bancarias por Internet.
- No añadas o aceptes solicitudes de amistad de desconocidos.
- Asegúrate de contar con una solución antivirus instalada en tu ordenador.
- Recuerda cambiar frecuentemente tus contraseñas. Han de ser complejas y difíciles de adivinar, para lo cual conviene usar una combinación de letras, números y símbolos.
- No uses tu contraseña de Facebook para otros sitios, porque si la contraseña queda comprometida en un sitio, puede usarse para acceder a otros sitios.
Una vulnerabilidad en Office sirve para extender malware en OS X
Recientemente se ha descubierto que se está aprovechando una vieja vulnerabilidad parchada en Microsoft Office para Mac OS X con el objetivo de expandir malware de comando y control a través de los sistemas de Apple.
La vulnerabilidad utilizada en el ataque está recogida en el boletín de seguridad de Junio de 2009 de Microsoft, donde se aplicaba el parche a todas las versiones desde Office 2004 11.5.4 o anteriores hasta Office 2008 12.1.8 o anteriores, y a OpenXML Converter 1.0.2 o anteriores.
La vulnerabilidad fue parchada muy poco después de haberse encontrado, y actualmente todos los programas de Office son ajenos al problema. Lo que están intentando hacer los desarrolladores de software es explotar los sistemas no parchados y lo novedoso del caso es que se trata de la primera vez que los documentos de Office han sido utilizados como vehículo para lanzar ataques contra OS X.
Para que este ataque funcione se debe abrir, en un sistema no parchado, un archivo Word especialmente manipulado que haya sido distribuido a través de spam o de otra manera sospechosa. De esta forma el equipo quedará infectado con un malware del que se han detectado dos variantes.
Symantec alerta sobre el falso antivirus Windows Risk Minimizer
Symantec informó sobre una campaña de malware que pretende estafar a los usuarios a través de un supuesto antivirus denominado Windows Risk Minimizer. Según las investigaciones, el antivirus es falso y el objetivo es engañar a las víctimas para que paguen 99,99 dólares por una versión completa de la solución, que en realidad no tiene ninguna utilidad.
El malware y las estafas toman muchas formas y los cibercriminales no paran de innovar para encontrar los puntos débiles en los sistemas y los usuarios. Ahora que hay un gran número de virus, que los ataques aumentan y que la seguridad se ha convertido en una prioridad para empresas y particulares, los cibercriminales están apostando, como ya lo hicieron en el pasado, por intentar asustar a los usuarios con supuestos virus e infecciones.
El objetivo de esta estrategia es promover la adquisición de sistemas antivirus falsos, que solucionan problemas inexistentes. Symantec identificó una de estas amenazas en un sistema identificado como Windows Risk Minimizer. Al parecer, esta supuesta solución antivirus se está distribuyendo en la Red y su finalidad es engañar a los usuarios.
Para realizar la estafa, el supuesto antivirus ejecuta un análisis de los sistemas. Utilizando Flash, aparece un cuatro de diálogo que parece confirmar el análisis. En realidad no se está realizando ninguna comprobación. Al acabar, el sistema alerta sobre importantes virus en distintos servicios, como Chorme o BitTorrent, y se avisa a los usuarios sobre la necesidad de reparar el sistema por la gravedad de la incidencia.
Para completar la estafa, los cibercriminales hicieron que Windows Risk Minimizer ofrezca un sistema para comprar la versión completa del antivirus, que sería la solución para los falsos problemas registrados. De esta forma, se facilita a los usuarios la compra de Windows Risk Minimizer por 99,99 dólares.
Se trata de una estafa ya que los problemas identificados no existen y el antivirus no cuenta con ninguna protección para los usuarios. Ante esta amenaza, en Symantec recomiendan estar alerta ante Windows Risk Minimizer. Para evitar que los equipos puedan verse afectados por este malware y que los usuarios tengan que afrontar la estafa, la recomendación es mantener todos los sistemas tradicionales, navegadores y sistema operativo, totalmente actualizados.
Bitdefender detecta un nuevo troyano bancario muy difícil de rastrear
El virus, que ha sido detectado por Bitdefender, pone en marcha una complicada serie de descargas e instalaciones y, tras robar datos de las cuentas bancarias de la víctima, borra su rastro.
El proceso se inicia con la infección de webs muy visitadas con “applets” de Java maliciosos difundidos por ciberdelincuentes. Estos componentes de malware han sido detectados por Bitdefender como Trojan.Downloader.Java.OpenConnection.BA, y se disfrazan de Adobe Flash Player, anteponiéndose a los archivos html limpios para asegurarse su ejecución al abrir la página html infectada. Una vez que se ha ejecutado, este código malicioso descarga e instala otros archivos infectados en el ordenador del usuario.
El archivo descargado (Trojan.Generic.KD.218227) se guarda en el pc del usuario con el nombre temp_flash_file.phx. Descarga e instala malware desde una lista (codificada en el programa de descarga) de una docena de enlaces que remiten a diferentes troyanos bancarios.
Para asegurarse la ejecución automática, el virus crea un acceso directo a sí mismo en “%Start Menu%\Programs\Startup” con un nombre vacío con extensión “.lnk”. Cada vez que el sistema se abre, todos los programas con accesos directos presentes en la carpeta se inician automáticamente, incluido el malware.
Una vez que está en el sistema, el virus se actualiza por sí solo descargando nuevas versiones de otra lista de enlaces. Esas actualizaciones se esconden en diferentes ubicaciones para asegurar su continuidad incluso si se detecta algún archivo.
Este troyano es muy difícil de rastrear ya que solo se puede acceder a los enlaces de la segunda lista a través del virus, lo que dificulta a las empresas de seguridad rastrear el origen del malware.
Es decir, cuando un proveedor de antivirus se hace con una lista actualizada, normalmente puede seguir los enlaces, bloquearlos y añadir sus rutinas antimalware. Pero en esta ocasión solo tiene una lista con enlaces que no puede rastrear ya que una vez que el troyano descarga el malware se elimina automáticamente borrando cualquier resto tras él.
LulzSec podría volver en abril con un gran ciberataque
Los miembros de LulzCec parece que están reorganizándose para volver a la acción después de los arrestos de varios de sus integrantes. En un mensaje en vídeo y en varias cuentas de Twitter han asegurado que se están preparando para volver a la acción en abril. Por el momento no han especificado objetivos concretos.
A principios de mes miembros del FBI detenían a varios integrantes de LulzSec que al parecer eran miembros importantes para la organización de hackers. Las detenciones, que se produjeron gracias a la colaboración del hasta entonces líder de LulzSec, consiguieron frenar los ataques del grupo. Sin embargo, parece que la inactividad podría desaparecer y que el grupo ya está planificando su regreso.
En un vídeo publicado en YouTube a través de una cuenta supuestamente vinculada a LulzSec, se ha asegurado que “es ridículo creer que al arrestar a los seis miembros principales se ha acabado con LulzSec”. Los hackers aseguran que “son una facción activa” y anuncian que volverán a realizar ataques contra “el gobierno, corporaciones y agencias”. En el vídeo se comenta que el 1 de abril se dará inicio de nuevo a los ataques del grupo.
La naturaleza descentralizada de este tipo de grupos de hackers hace pensar que efectivamente las detenciones no han inhabilitado sus actividades. Sin embargo, que en el vídeo se anuncie que las acciones se retomarán el 1 de abril ha provocado dudas. Ese día se celebra en Estados Unidos y Reino Unido una festividad similar a la del día de Santos Inocentes en España, por lo que las intenciones de LulzSec son confusas.
Lo cierto es que los hackers podrían haber elegido dicho día para aprovechar los falsos contenidos que se publicarán y la alerta por la vuelta a la acción de LulzSec existe. Este grupo hacker ha demostrado en varias ocasiones su potencial y peligrosidad por lo que la amenaza, aun sin conocer objetivos ni intenciones, ha despertado las precauciones de seguridad.
Aplicaciones Web Maliciosas: Cómo Detectarlos, Cómo Eliminarlos
En estos días, una aplicación web puede ser realmente un malware. Aquí te mostramos lo que necesitas saber sobre esta amenaza, y qué hacer con al respecto.
Las aplicaciones Web son geniales. Están disponibles para usarlas virtualmente en donde sea, cuando sea, desde prácticamente cualquier tipo de dispositivo que tenga un explorador Web. También son fáciles de actualizar y de darles mantenimiento: el desarrollador sube la aplicación a un servidor Web, y todo el mundo que la tiene acceso a la última versión.
Pero las aplicaciones Web pueden tener más que lo que deseas, y en algunos casos pueden ser bastante maliciosos. Necesitas estar prevenido sobre estos riesgos que las aplicaciones pueden tener, y saber cómo mantenerte prevenido.
Ante de empezar, una breve explicación
¿Cómo es que una App Web puede ser peligrosa?
Una aplicación web es esencialmente una aplicación hecha y derecha que corre con un navegador Web. Así como una aplicación web puede darte recordatorios o jugar un videojuego, puede infectar tu PC.
Cameron Camp, investigador de seguridad de ESET, dice que las aplicaciones Web confían en el desarrollo de las tecnologías tales como Java o ActiveX, las cuales los desarrolladores de malware utilizan para entregarte hazañas malévolas. Adobe Flash es otra plataforma Web común que los desarrolladores de malware normalmente usan como blanco.
Tim Keanini, CTO de nCircle, dijo que los cibercriminales son talentosos, desarrolladores creativos quieres están motivados a encontrar infinitas maneras de tomar tu dinero o información.
Típicamente, una aplicación web maliciosa está en forma de un troyano: La aplicación demanda ser algo más, y de hecho puede funcionar como una legitima utilidad o aplicación, pero una vez que le das clic, corre un código malicioso escondido que puede comprometer tu sistema o descargar secretamente otro malware más poderoso.
Hablando de Aplicaciones Web, Camp advierte, “Mientras puedan incrementarse o funcionar con el navegador, los usuarios deben estar prevenidos para cualquier tipo de malware que puede entrar muy profundamente en tu sistema.”
Algunos ataques de malware intentan tentarte a hacer clic en un link dentro de un mensaje de mail, el cual te conecta a una aplicación maliciosa que infecta tu PC de malware. Otras aplicaciones tentadoras están acechando en la Web, esperando pacientemente por las víctimas. En algunos de los casos, los atacantes han explotado las vulnerabilidades dentro de un website o empleado ads envenenadas para insertar malware en alguna aplicación o sitio legal de confianza.
Fred Pinkett, vicepresidente de producto en Security Innovation, dice que los usuarios deberían acercarse a los websites desconocidos y sospechosos con mucha cautela y escepticismo. Explica, “Generalmente, pensamos que los sitios que mejor conocemos, los que más nos gustan están bien, pero esa no siempre es la verdad. Busca por medio de los trucos comunes, como la dirección IP, sitios vinculados, y buscando URLS divertidos con caracteres especiales en ellos, aunque estos no siempre son maliciosos.”
No asumas que estás seguro si evitas Microsoft Windows. Las aplicaciones webs normalmente apuntan a vulnerabilidades específicas, y Windows es el foco principal.
Defenderte contra los ataques de las Aplicaciones Webs
Keanini de ncircle dice que la mejor protección para las aplicaciones Webs maliciosas, es además una de las más difíciles de salvaguardar: educar a los usuarios sobre la necesidad de la seguridad online.
La regla numero uno es simple: si tienes cualquier duda, no des clic. Esta regla sencilla es la que mejor ayuda a la gente e no contraer un malware, pero parece que también es una de las más difíciles de seguir por lo usuarios. Dar clic en un enlace sin prestar atención sobre su seguridad es casi inevitable.
La regla número dos de defensa es mantener tu software al día: la mayoría del software puede prevenir los archivos maliciosos y bloquearlos, pero la más fuerte protección está en la actualización del software de seguridad, misma que puede identificar las amenazas actuales.
Las aplicaciones Web maliciosas explotan sus vulnerabilidades dentro de tu sistema operativo y la tercera parte de aplicaciones comprometen toda la integridad del PC. Debes permitir las Actualizaciones Automáticas para Windows y el resto del software que permita la actualización automática. Aplica las nuevas actualizaciones tan pronto como estén disponibles, en caso de que un código malicioso esté circulando en la red, puede ser que en el momento que el desarrollador esté generando un parche.
Tan rápido como los ataques web se desarrollan, los creadores de exploradores han añadido características de seguridad para proteger tu sistema. Los más populares navegadores tienen características que ayudan a identificar un verdadero dominio root de un website, y tener control de autobloqueó de sitios con código malicioso. Si estás usando un navegador desactualizado, aunque te puede proteger de los viejos malwares, te dejará desprotegido de los nuevos.
Más vale prevenir que lamentar
Una aplicación web puede necesitar de alguna información que obtiene a través de la misma sesión del navegador. Puedes abrir un sitio de modo seguro, indicado normalmente por el “https” en el inicio del link, no abre una pestaña externa en la misma ventana del navegador.
Deberías además tratar a los plug-ins y add-ons con precaución. Los Plug-ins y add-ons son bastante útiles para expandir la capacidad de tu navegador y para hacer ciertas tareas de manera más conveniente, pero también pueden contener un código con débiles spots que puede hacer explotar el malware basado en Web. Escoge tus pug-ins y add-ons con mucho cuidado, y sólo de las organizaciones que conozcas bien.
La gente se conecta a internet de muchos más y variados dispositivos que lo hacía antes. Las aplicaciones web son más convenientes y universales que el software local instalado por default, pero también traen algo de riesgo. Asegurate de entender la naturaleza de las amenazas, y toma los pasos para reconocer y defenderte contra las aplicaciones Web dañinas, para que así las puedas disfrutar de manera productiva, la gran mayoría no son maliciosas.
Las aplicaciones con publicidad en Android pueden ser un riesgo para la seguridad
Normalmente se dan permisos a las aplicaciones para el acceso a parte de la información de los terminales. Investigadores han descubierto que esos mismos permisos, por extensión, se dan a los sistemas de publicidad de las apps. Sistemas manipulados podrían facilitar la descarga de contenidos infectados y el robo de datos.
La voz de alarma se ha dado a conocer gracias a un estudio de la Universidad Estatal de Carolina del Norte, del que se ha hecho eco la web Telesemana. Según el estudio, el problema reside en que los sistemas deinserción publicitaria en las aplicaciones cuentan con los mismos privilegios de acceso que las apps pero pasan desapercibidos a los controles.
Cuando un usuario descarga una aplicación puede ver el listado de permisos que concede a la misma. En lo que no se suele reparar es en que en caso de que esa aplicación cuente con un sistema de publicidad, se están facilitando los mismos permisos a dichos sistemas.
Normalmente las empresas de publicidad usan la información de los usuarios, principalmente su ubicación, para determinar los anuncios más atractivos. Estos sistemas de publicidad mantienen una conexión constante con Internet para descargar los anuncios y ese es su principal riesgo.
Los hackers podrían publicar una aplicación legal, sin malware y desarrollar un sistema de publicidad para la misma. La aplicación pasaría desapercibida porque en origen no cuenta con malware. Sin embargo, los hackers podrían hacer que el sistema de publicidad recopilase datos y descargase algún tipo de sistema para la infección de los terminales. Teniendo los accesos aceptados al adquirir la aplicación, los terminales estarían desprotegidos ante el robo de datos o la infección con esta fórmula.
La recomendación para evitar este problema de seguridad potencial es que las bibliotecas de publicidad cuenten con sistemas aislados que evite que tengan acceso a la información de los usuarios y que sus contenidos puedan afectar a los terminales. Este tipo de práctica de seguridad es una responsabilidad y precaución que recae de forma directa sobre los responsables de las tiendas de aplicaciones. La investigación se ha realizado sobre terminales Android aunque su mecánica podría exportarse a otras tiendas de aplicaciones.
El troyano Hydraq vuelve a atacar tres años después
Investigadores de Symantec han alertado sobre el regreso de Hydraq, un troyano que atacó a empresas de Estados Unidos en 2009. Los nuevos ataques de este malware presentan diferencias con los del pasado. En esta ocasión, Hydraq aprovecha vulnerabilidades en varios sistemas y parece que ha ampliado su radio de acción a 20 países de todo el mundo.
Los ciberdelincuentes están llevando a cabo una serie de campaña de reciclaje de malware que vuelve a poner de actualidad sistemas que se creían olvidados. El último ejemplo es Hydraq, un troyano que se hizo muy popular en 2009 por atacar a empresas de Estados Unidos como Google. Aunque se creía que Hydraq había desaparecido, investigadores de Symantec han alertado sobre un nuevo brote detectado.
Parece que ciberdelincuentes han rescatado este troyano y están realizando campañas para su difusión cada 6 u 8 semanas. En un principio, Hydraq aprovechaba una vulnerabilidad en Internet Explorer para infectar los equipos y sus objetivos eran empresas estadounidenses de gran nivel. Sin embargo, en su regreso, parece que los hackers han decidido cambiar su estrategia para que Hydraq tenga éxito.
Desde Symantec han asegurado que “Hydraq nunca se fue” y que actualmente está atacando a empresas de todos los ámbitos. Los ciberdelincuentes están aprovechando distintas vulnerabilidades para intentar infectar los equipos y han ampliado los países y las empresas a las que dirigen la amenaza. En concreto ya se han detectados casos de Hydraq en 20 países de todo el mundo, lo que confirma el cambio en la estrategia.
Este malware intenta robar documentos que contengan contenidos de propiedad intelectual de las empresas y los datos que podría conseguir son de naturaleza muy sensible. Al parecer, los últimos ataques se están distribuyendo a través de correos electrónicos que contienen enlaces a un exploit que tras su descarga permitiría la instalación del troyano. Las campañas de spam con Hydraq por el momento están espaciadas pero son una señal inequívoca del regreso de este troyano.
