Las redes sociales se han convertido en uno de los principales vehículos para propagación de software malicioso por Internet. El más claro ejemplo es Facebook, cuyo ingente número de usuarios (más de 800 millones en todo el mundo), lo convierten en uno de los objetivos favoritos de los desarrolladores de estos programas. En los últimos meses nos hemos referido a varios casos de malware distribuido a través de la red social de Mark Zuckerberg que podrían acabar en estafas económicas a los usuarios más incautos.

A mediados del pasado año Google lanzaba su alternativa en el sector de las redes sociales. Google+ captó la atención de un buen número de usuarios, unos atraídos por el distinto concepto de “red social” y otros hastiados por los problemas de privacidad en Facebook. Sin embargo, parece que de lo que no huirán ni unos ni otros será de ser potenciales víctimas de software malicioso que aproveche el nombre de Google+.

Hangouts, la excusa empleada

Aunque por ahora no se conoce la distribución de ningún malware dentro de la red social de Google (suponemos que será cuestión de tiempo), sí sabemos de uno de los primeros casos que aprovechan la denominación Google+ para atraer a sus víctimas. Según ha publicado la empresa de seguridad informática BitDefender, el malware se está distribuyendo utilizando como cebo la invitación a las quedadas de la red social, denominadas Google+ Hangouts. Los usuarios reciben en su correo electrónico una supuesta invitación que requiere la descarga de un supuesto plugin.

Nada más lejos de la realidad. El enlace redirige a una página que imita a la red social de los de Mountain View y se le muestra un botón para la descarga del archivo. Una vez pulsado, se descargaría un archivo denominado “hangouts.exe” que oculta un troyano. Una vez instalado, como sucede con este tipo de software malicioso, el ordenador de la víctima queda expuesto a potenciales ataques externos y toda la información que se procese a través de dicho equipo pueda ir a parar a ciberdelincuentes.

Apodado “Android.Counterclank” por Symantec, el malware ha sido empaquetado en 13 aplicaciones diferentes a partir de tres diferentes editoriales, con títulos que van desde “Puzzle Sexy Girls” a “Counter Strike Force”. Muchas de las aplicaciones infectadas estaban todavía disponibles en el Android Market a las 3 pm ET del viernes.

“Ellos no parecen ser los editores reales”, dijo Kevin Haley, director del equipo de Symantec Security Response, en una entrevista. “Estas no son aplicaciones re-empacadas, como hemos visto tantas veces.”

Haley se refiere a una táctica común por los fabricantes de programas maliciosos para Android, de volver a empaquetar una aplicación legítima, con código malicioso, y que luego es relanzada al mercado con la esperanza de que los usuarios confundan la aplicación falsa con la verdadera.

Symantec estima que el impacto mediante la combinación de los totales de descarga – que el Android Market muestra como un rango- de las 13 aplicaciones, oscila entre 1 millón en el extremo más bajo y 5 millones en el más alto. “Sí, este es el más grande brote de malware en el Android Market”, dijo Haley.

Android.Counterclank es un troyano que cuando se instala en un teléfono Android recopila una amplia gama de información, incluyendo copias de los marcadores y el fabricante de teléfonos móviles. También modifica la página de tu navegador Web de origen.

Los hackers han monetizado el malware empujando anuncios no deseados a teléfonos Android comprometidos.

Aunque las aplicaciones infectadas solicitan un número inusualmente grande de privilegios – algo que el usuario debe aprobar – Haley argumenta que poca gente se molesta leerlos antes de dar su aprovación.

“Si usted fuera una persona conspicua, podría preguntarse por qué las aplicaciones están pidiendo permiso para modificar el navegador o transmitir las coordenadas GPS”, dijo Haley. “Pero la mayoría de la gente no se alerta”

Android.Counterclank es una variación menor de un caballo de Troya llamado Android.Tonclank que fue descubierto en junio de 2011.

Algunas de las 13 aplicaciones que Symantec identificó como infectado han estado en el Android Market por lo menos un mes, de acuerdo a la revisión de las fechas publicadas en la tienda. Symantec, sin embargo, las descubrió ayer.

Los usuarios habían notado algo raro antes de esa fecha.

“El juego es decente … pero cada vez que se ejecuta el juego, un icono de búsqueda” se agrega al azar a uno de sus pantallas “, dijo un usuario el 16 de enero después de la descarga de “Deal and be millionaire”, una de las 13 apps. “Sigo borrando el icono, pero siempre vuelve a aparecer. Si presiono el icono aparece una página que se parece sospechosamente a la página de búsqueda de Google.”

Los usuarios de Android han otorgado a una de las aplicaciones infectadas, puntajes bajos de revisión, calificándola de “basura”.

Las 13 aplicaciones sospechosas están aún libres para la descarga al momento de escribir esta nota.

Los investigadores de Symantec han comunicado a Google de su descubrimiento, dijo Haley. Google, sin embargo, no respondió de inmediato a las preguntas y una solicitud de confirmación de las reclamaciones de la empresa de seguridad.

Haley dijo que los investigadores de Symantec están todavía “pelando las capas de la cebolla”, y añadió que la empresa va a publicar más información sobre la amenaza. “Lo interesante aquí es que en lugar de tomar las aplicaciones legítimas, [los autores de malware] han creado aplicaciones similares a las legítimas”, dijo Haley. “Eso, y las grandes cifras de descargas, por supuesto.”

Para hacer más tentadora la oferta, se afirma que este supuesto festejo tiene barra libre y también garantizan que asisten la misma cantidad de chicos y chicas. Además, una vez que se llega al lugar, se prometen dos entradas para el famoso lugar de bailes Space Ibiza.

El fraude llega de parte de algún contacto que haya caído en el engaño y le pide al usuario que busque una frase concreta en Facebook o Google y que seleccione el primer resultado que aparezca. En ambos lugares se logra el objetivo del ciberdelincuente, pues si se escribe lo que explicita el mensaje, se obtiene como primera opción, el sitio de la estafa. Esta técnica de posicionar sitios maliciosos dentro de las primeras opciones es conocida como Black Hat SEO.

Una vez que se accede al resultado, se le pide a la persona que seleccione su país para luego completar un formulario que pide información personal como nombre y apellido, correo electrónico, número de teléfono celular y compañía, entre otros.

Los ciberdelincuentes solicitan esta última información con el objetivo de suscribir a la mayor cantidad de personas posibles, a costosos servicios de información mediante mensajes de texto o SMS. Para que la potencial víctima no sospeche, se le dice que el número de teléfono y compañía son necesarios para comunicarle el resultado en caso de ser ganador.

También se le ofrece al visitante la posibilidad de omitir este paso argumentado que si se conecta por Facebook, no tendrá que escribir todos esos datos. Si el usuario ingresa mediante este método y permite que la aplicación acceda a los datos de su cuenta, el scam le enviará a todos los contactos de la víctima las instrucciones de búsqueda para hacerlos caer nuevamente en esta estafa.

Para lograr aún una mayor cantidad de víctimas, en el sitio se le pide al usuario que si le gusta la fiesta, haga clic en el botón de Facebook “Me gusta”. De este modo, se estará expandiendo este fraude nuevamente, a través de esta red social.

Se le recuerda al usuario que nunca debe entregar información privada ni tampoco permitir que cualquier aplicación acceda a su cuenta de Facebook para poder evitar este tipo de ataques. Además, se recomienda la utilización de un antivirus con capacidad proactiva para sumar un nivel más de seguridad a sus computadoras.

Se trata de una tarjeta de débito personalizada cuyo nombre es “White Hat Bug Bounty Program” y permite acumular distintas cantidades económicas, dependiendo del precio que se pague por cadaagujero de seguridad descubierto. De hecho, por un solo fallo detectado el investigador puede ganar hasta 5.000 dólares. De esta manera, el usuario en cuestión la recibe en su domicilio y puede utilizarla como una tarjeta de débito normal y corriente, para hacer compras o incluso para sacar dinero del cajero automático. El tradicional sistema de cheques, utilizado por otras compañías ha dejado de estar en uso. Ahora lo que se lleva es la tarjeta negra de Facebook.

Si estás interesado en participar en este programa debes saber que Facebook paga un mínimo de 500 dólares, por cada fallo de seguridad detectado. De esta manera, eltrabajo esporádico en Facebook puede constituir para estos profesionales una auténtica fuente de ingresos adicionales. Por ahora, sabemos que Facebook ha pagado a un total de 81 investigadores, los que tienen una única responsabilidad: la de no divulgar ninguna información detectada acerca de los fallos de seguridad que van encontrando por el camino.

En los últimos tiempos, Facebook se ha convertido en un auténtico hervidero de fallos de seguridad y ataques. No hay que olvidar que la red social de Mark Zuckerberg ya cuenta con más de 600 millones de usuarios, de manera que pronto se ha convertido en un espacio de interés para los distintos cibercriminales que andan por la Red. Así no es extraño toparse con trampas fáciles y con sofisticados sistemas de estafa, confeccionados especialmente para cazar a los usuarios más incautos.

]]> http://www.enhacke.com/2012/01/10/facebook-paga-a-quienes-descubren-agujeros-de-seguridad/feed/ 0 http://www.enhacke.com/2012/01/10/mas-de-un-millon-de-sitios-afectados-por-un-ataque/ http://www.enhacke.com/2012/01/10/mas-de-un-millon-de-sitios-afectados-por-un-ataque/#comments Tue, 10 Jan 2012 19:43:25 +0000 admin http://www.enhacke.com/?p=201 Lilupophilupop es el nombre de la nueva amenaza que ya afectaría a más de un millón de páginas web. Este ataque se produce al introducir una línea de código dentro del sitio con la instrucción de redireccionar a la víctima a un sitio donde se le insta a descargar una versión falsa de Adobe Flash Player o incluso antivirus aparentemente legítimos. En realidad estos programas contienen malware que de instalarse afectaría al sistema del usuario.

En el último mes este ataque de inyección de código SQL ha experimentado un crecimiento más que notable. De 80 sitios infectados se ha pasado a más de un millón en solo un mes, aunque el método de contabilizarlo no es del todo fiable, ya que no se separa los sitios infectados de las webs en las que solo se hable del ataque. A través del código SQL se introduce el script Lilupophilupop dentro del código de JavaScript de las páginas web. Este script es el que envía al usuario a las páginas vulneradas y le insta a realizar la descarga de los falsos programas.

Los investigadores temen que este ataque esté automatizado o al menos parcialmente automatizado, lo que podría provocar que el número de sitios afectados aumentara considerablemente en los próximos meses. Los sitios más afectados son aquellos propios de Holanda (con el dominio .nl), aunque también se han detectado dominios de otros países y algunos sitios .org y .com.

Para saber que sitios pueden estar sufriendo este ataque, y para saber si tu propio sitio es uno de los atacados, basta con buscar en Google un parametro como vemos en la imagen de abajo. En caso de aparecer en los resultados de búsqueda el sitio tendrá todos los papeles para ser uno de los afectados. Aunque el ataque ya ha adquirido proporciones alarmantes, algunos analistas han instado a mantener la calma hasta que se realice una investigación más en profundo sobre su alcance real.

A continuación explicaré rapidamente que es el BLACK SEO.

SEO: Search Engine Optimization (Optimizacion para Motores de Busqueda)

Muchas paginas y portales utilizan SEO para mejorar su visibilidad y las posibilidades que tienen de aparecer antes que otras en los resultados de busqueda de motores como GOOGLE Y BING. Esto es totalmente normal y hasta ahi no hay daño a nadie.

Existen tecnicas especiales conocidas como BLACK SEO – Tecnicas OSCURAS de Optimizacion para Motores de Busqueda – que tienen como finalidad SI o SI aparecer en los mejores lugares o resultados de los buscadores comerciales.

Como utilizan esto las mafias?
Bueno, crean una pagina con contenido malicioso (descarga de malware invisible y automaticamente) y le ponen imagenes o contenido falso de algun tema en especial para que cuando el usuario incauto llegue a esta página, se infecte y la maquina pase a ser una mas de las computadoras esclavizadas por la mafia o hacker malicioso.

Entonces ya imaginan porque tener cuidado al buscar halloween o temas relacionados?

Ciertamente y tal como ya deben estar alucinando, como se acercan las fechas de halloween, los grupos de hackers maliciosos se encargan de hacer paginas con contenido de malware infeccioso y temas como: FIESTAS DE HALLOWEEN, DISFRACES DE HALLOWEEN, DISFRACES BARATOS, PROMOCIONES DE HALLOWEEN, DULCES DE HALLOWEEN, cosas por el estilo.

Como reconocer estas paginas?
Pues deben estar alertas a las direcciones que tienen las paginas antes de darle click en los resultados de busqueda.
Obviamente si veo en mi resultado de busqueda una pagina que me dice LA MEJOR FIESTA DE HALLOWEEN (en español) y derrepente veo que la URL dice algo como http://akz983.cn/h4llow33n.php
pues simplemente no entro!! porque? porque el dominio es chino. Este es solo un ejemplo!! No quiere decir que todas las paginas chinas son malas. Tambien deberiamos desconfiar de aquellas paginas que aun siendo .com tienen algo medio raro en la URL.

Ejemplo:

Claro, existe la posibilidad que una empresa de hosting china haya brindado algun descuento en masa y que posiblemente un latino compro uno de esas promociones y por eso hay una pagina de habla hispana en un servidor chino. Pero aun asi la pregunta es, vale la pena arriesgarse??

Saludos!!
ENHACKE S.A.C.
Su aliado en Seguridad T.I.

P.D: Por si quieren saber que podria suceder al darle click, hace unos meses hicimos un video donde se aprovecharon las busquedas por gripe porcina, se los dejo a continuacion.

ENHACKE – Video de Sensibilizacion en Seguridad de la Informacion from enhacke on Vimeo.

Este audio toca ciertos aspectos de las botnets como su definición, medios de difusión, formas de ataque, cibercrimen y  contramedidas. Esperamos sea de su agrado.

Play