El último caso que hemos conocido utiliza otro gancho morboso para ganarse la confianza de los más incautos. Un falso enlace a la supuesta web del canal estadounidense CNN avisa de un inminente ataque militar de Estados Unidos contra Irán y Arabia Saudí, en lo que supondría el teórico inicio de la Tercera Guerra Mundial. El blog Sophos, de Naked Security, avisa de esta amenaza, puesto que al pulsar en dicho enlace el usuario es redirigido a una web falsa con la apariencia del citado medio de reconocido prestigio mundial.

En dicha web se intenta atraer la atención de las víctimas con supuestos vídeos sobre el citado conflicto. Sin embargo, para poder visualizarlos al pulsarlos se pide a los usuarios que instalen una supuesta actualización de Adobe Flash Player, momento en el que se descarga e instala el archivo malicioso, detectado como “Troj / Rootkit-JV”. Al tratarse de un rootkit, entraña los riesgos de este tipo de malware, convirtiendo el ordenador infectado en una fuente para que los intrusos puedan extraer de él todo tipo de información sin el permiso del usuario o ejecutar acciones de forma remota.

El ritmo de propagación del malware ha sido muy alto, ya que según alerta la empresa de seguridad, más de 60.000 usuarios han sido engañados en apenas tres horas. Sophos ha señalado que el código malicioso instalado en los ordenadores de los usuarios está enviando el mensaje a Facebook sin que los usuarios lo sepan, de modo que sus contactos son víctimas potenciales de este archivo.

Las redes sociales se han convertido en uno de los principales vehículos para propagación de software malicioso por Internet. El más claro ejemplo es Facebook, cuyo ingente número de usuarios (más de 800 millones en todo el mundo), lo convierten en uno de los objetivos favoritos de los desarrolladores de estos programas. En los últimos meses nos hemos referido a varios casos de malware distribuido a través de la red social de Mark Zuckerberg que podrían acabar en estafas económicas a los usuarios más incautos.

A mediados del pasado año Google lanzaba su alternativa en el sector de las redes sociales. Google+ captó la atención de un buen número de usuarios, unos atraídos por el distinto concepto de “red social” y otros hastiados por los problemas de privacidad en Facebook. Sin embargo, parece que de lo que no huirán ni unos ni otros será de ser potenciales víctimas de software malicioso que aproveche el nombre de Google+.

Hangouts, la excusa empleada

Aunque por ahora no se conoce la distribución de ningún malware dentro de la red social de Google (suponemos que será cuestión de tiempo), sí sabemos de uno de los primeros casos que aprovechan la denominación Google+ para atraer a sus víctimas. Según ha publicado la empresa de seguridad informática BitDefender, el malware se está distribuyendo utilizando como cebo la invitación a las quedadas de la red social, denominadas Google+ Hangouts. Los usuarios reciben en su correo electrónico una supuesta invitación que requiere la descarga de un supuesto plugin.

Nada más lejos de la realidad. El enlace redirige a una página que imita a la red social de los de Mountain View y se le muestra un botón para la descarga del archivo. Una vez pulsado, se descargaría un archivo denominado “hangouts.exe” que oculta un troyano. Una vez instalado, como sucede con este tipo de software malicioso, el ordenador de la víctima queda expuesto a potenciales ataques externos y toda la información que se procese a través de dicho equipo pueda ir a parar a ciberdelincuentes.

Un análisis de Bitdefender encontró 40.000 ejemplares de este tipo de malware – al que han bautizado como “Frankenmalware” – en un estudio de 10 millones de archivos infectados llevado a cabo a comienzos de enero, lo que supone un 0,4 por ciento del malware analizado. Si tenemos en cuenta que el malware activo en todo el mundo está en torno a los 65 millones, esto supone que 260.000 ejemplares de este tipo están amenazando los ordenadores de los usuarios.

“Si un usuario recibe uno de estos híbridos en su sistema, podría enfrentarse a pérdida de dinero, problemas informáticos, robo de identidad, y una oleada de spam lanzada desde su equipo”, señaló Loredana Botezatu, analista de amenazas online de Bitdefender y autora del estudio sobre malware híbrido. “la llegada de este tipo de malware da un nuevo giro al mundo del malware, ya que se propagan de manera más eficiente, y su comportamiento cada vez será más difícil de predecir”.

Aunque no hay datos antiguos sobre este tipo de malware, el número de híbridos ha crecido en los últimos años y probablemente seguirá aumentando al mismo ritmo que el malware en general. Un estudio de Bitdefender estima que el malware crecerá un 17 por ciento este año.

Todos los híbridos de malware analizados por Bitdefender hasta el momento se han creado de forma accidental. Sin embargo, el riesgo que representan estos combos podría aumentar drásticamente a medida que los delincuentes comiencen a fabricar sus propios compuestos, o a lanzar malware específicamente creado para provocar esa hibridación.

Bitdefender presentó su estudio después de encontrar ejemplares del gusano Rimecud infectados por el virus Virtobfile. Rimecud roba contraseñas de banca electrónica, cuentas de tiendas de compra online, redes sociales y correo electrónico, entre otras funciones. Virtob, por su parte, permite recibir órdenes de un atacante remoto, saltarse el cortafuegos, y asegurar su persistencia mediante la inyección de código en “Winlogon”, un proceso crítico del sistema.

“Ahora, imaginemos estas dos piezas de malware trabajando juntas – voluntariamente o no – en el mismo sistema,” señala Botezatu, que añade: “Ese PC se enfrenta a un malware doble con el doble de comandos y el doble de servidores para recibir instrucciones: además, hay dos puertas traseras abiertas, dos técnicas de ataque activo y varios métodos de propagación. Cuando uno falla, el otro tiene éxito”.

El World War Web (la guerra mundial de Internet), como la califican ya muchos en las redes sociales, es una fiera batalla que mantienen dos bandos bien definidos, los que defienden la llamada “neutralidad de internet” y los que no, es decir, entre los que quieren mantener su estado actual y los que quieren regularla.

Un conflicto que se desarrolla tanto a nivel político, legislativo como económico y cuyas víctimas, como en toda guerra, son los ciudadanos de a pie, como hemos podido comprobar con los usuarios de Megaupload que en estos momentos deben estar preguntándose cómo van a recuperar el dinero de sus suscripciones o los contenidos que subieron a la página.

¿Por qué ahora?

Según Javier de la Cueva, abogado experto en derecho de internet, las polémicas leyes SOPA y PIPA en Estados Unidos, son ejemplos de ofensivas legislativas que esconden, no sólo intereses económicos sino el renovado afán político por controlar la red.

“Wikileaks, los disturbios en el norte de África… El poder político se ha aliado con la industria del entretenimiento porque tiene el mismo interés de controlar el internet”, explicó de la Cueva.

“La ley Sinde española le concede al gobierno la potestad de controlar internet, quitándole a los jueces esta potestad, y es lo que se está tratando de implantar en Estados Unidos”, aclaró.

Y a nivel económico no hay nada nuevo bajo el sol, dice, ya que la “tensión existente está describiendo el ciclo histórico que vivimos, el que existe entre la propiedad intelectual colectiva, representada por Wikipedia y Linux y una privativa, que es la de la industria del contenido”.

Antecedentes

Ya en 2005, J.D Lasica, periodista, bloguero y consultor sobre medios sociales hablaba sobre este fenómeno en su libro “La guerra de Hollywood contra la generación digital”, basado en entrevistas realizadas a actores de la industria del entretenimiento, del mundo tecnológico, periodistas y políticos.

En esta obra, profetizaba el intento de la industria de bloquear los contenidos de internet, así como la habilidad de los ciudadanos de generar y compartir contenido.

“Las tecnologías participativas online y “many to many” pueden desplazar el núcleo de la esfera de influencia mediática desde un reducido número de poderosos propietarios de medios de comunicación hasta la población entera”, citaba el libro.

Pero lo cierto, es que más allá de perder influencia como único medio de difusión de información y entretenimiento, es que internet está arrasando al sector.

Según Motion Pictures Association of America (MPAA) la industria pierde anualmente cerca de US$6.000 millones debido a las copias ilegales.

No sólo eso, a medida que internet se convierte en el medio favorito para disfrutar de este tipo de contenidos, en detrimento de la televisión o el cine, la industria ve peligrar cada vez más sus dividendos en beneficio de las empresas de internet que lo manejan, por lo que no es raro que emplee todos sus medios para recuperar terreno.

La ley como arma

En este sentido, leyes como la Sinde recientemente aprobada en España, la ley Lleras discutida y rechazada en Colombia, la ley Doring planteada en México, son como la SOPA y la PIPA: armas con las que la industria cuenta para retomar el control de sus contenidos.

“Buena parte de estas legislaciones lo que buscan es controlar los derechos de la propiedad intelectual y tiene como repercusión que el gobierno pueda controlar los contenidos de la red”, comenta Joel Gómez, especialista en derecho informático del despacho Lex informática abogados de México.

Una de las legislaciones más ambiciosas en este sentido, apuntó Gómez, es el Acuerdo comercial antifalsificación (ACTA), un marco legal internacional que se extiende a contenidos distribuidos en internet y al que los países pueden adherirse y cuyas negociaciones son secretas.

La batalla de cabilderos

Pero este tipo de regulaciones choca de frente con los intereses de una industria global, con fuerte presencia en Estados Unidos.

La industria de internet encarnada por los colosos de Silicon Valley ha pasado de ser un pequeño actor político en 1999 a uno de los mayores contribuyentes a la compaña de Obama en 2008.

Según datos de la Federal Election Comission, ese año Obama logró recaudar US$9,2 millones de la industria de internet, tres veces más de lo recaudado por cualquier otro político a lo largo de su carrera.

Se trataba de la primera vez que este sector superaba a la industria del entretenimiento.

Aún así Hollywood es un tradicional aliado del Partido Demócrata que Obama está lejos de querer perder.

Tras su retirada de apoyo de la ley Sopa, Hollywood reaccionó con amenazas de paralizar los fondos a su partido, lo que podría poner en riesgo su campaña presidencial en 2012

Algunos ven el cierre de Megaupload como un oportuno guiño de Obama a su tradicional aliado, ensombrecido no obstante por la decisión del senado de aplazar la discusión sobre la ley Pipa debido a las protestas.

Una victoria también mínima para Hollywood, dicen algunos, considerando que desaparecida Megaupload todavía existen decenas de recursos donde los usuarios pueden seguir compartiendo contenidos.

Anonymous

Paralelamente a este enfrentamiento entre titanes tenemos al grupo internacional de piratas informáticos Anonymous, que en respuesta al cierre de Megaupload bloqueó seis importantes páginas de internet, entre ellas las del Departamento de Justicia estadounidense y la de Universal Music Group.

Pero algunos consideran que sus actividades juegan un papel secundario en esta trama.

“Anonymous es una cosa muy efímera”, afirma de la Cueva, “tiene una importancia mediática efectiva, pero tan sólo supone dejar una página sin funcionar durante ocho horas. Su huella es muy nula”.

Daños colaterales

Como en toda guerra, los daños colaterales impactarán en el ciudadano de a pie dicen los expertos.

“Hay usuarios que usan de manera positiva estas herramientas y se van a ver afectados”, admite Gómez.

“Quieren intervenir las comunicaciones y fundamentalmente lo que nos están haciendo es impidiendo el acceso a la cultura”, dice por su parte de la Cueva.

No obstante, este último se muestra escéptico ante la posibilidad de un escenario en donde resulte imposible compartir archivos a través de la red.

“Continuamente hablamos de redadas contra la piratería, así seguiremos durante mucho tiempo. Pero internet se diseñó para resistir un ataque nuclear. La única forma en la que lograrán que no nos pasemos archivos por internet es desconectándolo todo”.

En EnHacke nos hemos ido haciendo eco de los numerosos casos de malware y estafa que aparecen en Facebook día a día. Los ciberdelincuentes encuentran en la red social por excelencia un campo de cultivo perfecto debido a sus grandes posibilidades virales. Unido a la poca persecución que hasta el momento sufren por parte de sus responsables.

Conoce las últimas amenazas

Europa Press se hace eco hoy de las últimas versiones aparecidas de estas estafas. Estas trampas se basan en ofrecer supuestos regalos para que los usuarios ofrezcan sus datos personales a los malhechores.

Según la compañía de seguridad BitDefender, uno de los ataques regalaría camisetas con el logo de Facebook a las 100.000 primeras personas que se unieran a un grupo creado a tal efecto. Al entrar en el “juego” el usuarios debíanclicar en “me gusta” sobra varias páginas e incluso ofrecer su código postal para terminar el proceso.

El segundo ataque ofrecería en su lugar tazas mediante un mensaje personal. Al seguir el link, los usuarios entrarían en una versión falsa de Facebook en la que se debe escribir la dirección de correo utilizada para entrar en la red. De esta forma se obtendría el control para publicar contenidos en el muro de la víctima y seguir propagando el ataque.

Ingeniería social al servicio del malware

Las amenazas son variadas y crecen a un ritmo preocupante. Podemos encontrar desde inocentes anuncios que prometen cambiar de color el perfil de tu página personal hasta vídeos de contenido sexual, en muchos casos “protagonizados” por famosos para hacer el gancho (o incluso por los propios usuarios). La finalidad siempre es la misma: hacerse con los datos personales de los incautos que piquen en el cebo, ganar dinero bombardeándoles con publicidad.

Algunas de estas estafas pueden llegar a provocar más de un dolor de cabeza, como es el caso de las que se basan en abonar el número de teléfonos de los usuarios a servicios “SMS Premium” con tarificación adicional.

Como declara BitDefender: “Este último ataque debería provocar que Facebook se replanteara su seguridad en torno a la publicación de mensajes vía email”. Esperamos que los responsables de seguridad de la compañía tomen las medidas necesarias para terminar con un problema que se agrava por momentos. Mientras tanto, les recomendamos ante todo máxima precaución.

El experto en malware de SophosLabs, Dirk Kollberg, y el investigador independiente, Jan Dröemer, han trabajado junto a un amplio equipo con el objetivo de desenmascarar dicha trama. Su excelente trabajo ha descubierto a los ciberterroristas, que han sido identificados como: Anton Korotchenko, Alexander Koltyshev, Roman Koturbach, Syvatoslav Polinchuk, y Stanislav Avdeiko.

En esta exclusiva, Dröemer y Kollberg comparten una gran cantidad de resultados, incluyendo los apodos de los perpetradores, las actividades online, su ubicación física y sus negocios: nakedsecurity.sophos.com

Koobface: un anagrama muy rentable
Koobface (un anagrama de “Facebook”) es un gusano que se propaga a través de las redes sociales, infectando PCs y construyendo una botnet de equipos contaminados. Su sofisticación es tal, que puede incluso llegar a crear sus propias cuentas de redes sociales, para así, poder publicar enlaces que ayuden a su propagación.

Los creadores de Koobface, cuyos nombres no habían sido conocidos hasta hoy, han ganado millones de dólares cada año, gracias a los ordenadores comprometidos.

Al respecto de la investigación liderada por Droemer y Kollberg, ésta se llevó a cabo entre octubre de 2009 y febrero de 2010. No obstante, las autoridades pidieron a los investigadores que fuese confidencial, para así disponer del tiempo necesario para construir un caso.

“Es una increíble historia de detectives, de investigación incansable, que ha supuesto barrer Internet, buscando registros de empresas y aprovechando los errores de colegial cometido por los presuntos delincuentes al no ser lo suficientemente cautos con sus perfiles en las redes sociales. Sabemos los nombres de la banda, sus números de teléfono, dónde están sus oficinas, qué aspecto tienen, qué coches conducen, incluso sus números de teléfono móvil”, afirma Pablo Teijeira, Gateway Business Development Manager Western Europe y experto en Seguridad de Sophos. “Ahora sólo nos queda esperar y ver lo que las autoridades harán contra la banda Koobface”.

El éxito de Facebook es un reclamo que cada vez atrae a más cibercriminales que buscan sacar provecho de la red social. Los más de 800 millones de usuarios son un público muy amplio para distribuir estafas, de forma que cada vez es más frecuente encontrar spam y estafas en la red social.

La muerte de distintas personalidades o vídeos de famosos son ya estafas habituales en la red social, pero los cibercriminales no paran de innovar.La última estafa registrada intenta engañar a los usuarios aprovechando el interés por personalizar su perfil en la red social. En concreto, los cibercriminales ofrecen la promesa falsa de cambiar el tradicional color azul del logo de Facebook por otros colores.

El portal de seguridad de Sophos, «Naked Security», ha confirmado que se ha registrado una amplia difusión de esta estafa. Los usuarios reciben una invitación de un contacto para aceptar la aplicación que en teoría cambia el color del logo de Facebook. Una vez aceptada la aplicación, los usuarios deben aceptar que el sistema envíe a sus contactos una nueva invitación, de forma que la estafa se propaga entre todos los contactos.

Después de invitar a sus amigos, el sistema solicita al usuario que registre un comentario sobre la aplicación para continuar con el cambio de color del logo de Facebook. El sistema utiliza estos comentarios para engañar a otras personas y así propagar la estafa. Por último, el sistema no cambia el color del logo de Facebook sino que redirige la navegación a una página en la que los estafadores cobran ingresos por publicidad por cada visita.

De esta forma, los cibercriminales consiguen dinero gracias al engaño y no cumplen su promesa de cambiar de color el logo de Facebook. Desde «Naked Security» han explicado que sí existen plug-ins en navegadores como Firefox para personalizar el color de Facebook, pero estas posibilidades no están dentro de la propia red social. Los usuarios tienen que tener cuidado ante este tipo de amenazas y limitar el uso de aplicaciones que solicita acciones como las descritas.

ESET anunció el descubrimiento de una masiva campaña de propagación de malware mediante mensajes de Facebook y Windows Live Messenger que convierte a los equipos infectados en parte de una red botnet y roba a los usuarios los datos de acceso de las redes sociales. Se trata de Win32/Dorkbot, el código malicioso de mayor propagación durante los últimos 6 meses en Latinoamérica, el cual también realiza ataques de phishing contra bancos de la región.

De acuerdo a los reportes del Laboratorio de ESET Latinoamérica, la distribución del malware se inicia con un simple mensaje de Ingeniería Social que despierta la curiosidad de los usuarios y los estimula a hacer click en un enlace, dando paso así la descarga de un archivo ejecutable malicioso. En este caso, los cibercriminales utilizan como cepo supuestas fotos de Hugo Chávez, el presidente de Venezuela, en estado agónico. En campañas anteriores de este ataque se utilizaron mensajes asociados a imágenes de la cantante Jennifer López para propagar el mismo código malicioso.

A partir del momento en que el sistema es infectado, el equipo pasa a formar parte de una red botnet y queda a la espera de recibir órdenes. Entre las capacidades de este código malicioso se encuentra también el robo de credenciales de Facebook, Gmail, Hotmail, Twitter y PayPal, entre otros servicios en línea.

Los comandos enviados de manera remota a cada equipo zombie integrante de la red le permiten al atacante definir mensajes para propagar la amenaza a través de estos servicios. De este modo, cuando el sistema infectado se conecte a sitios como Facebook o Windows Live Messenger, se enviarán mensajes a todos los contactos del usuario con un enlace al código malicioso, continuando de este modo el ciclo de propagación.

Por otro lado, al producirse la infección, el código malicioso descarga también un listado de direcciones URL con cinco bancos de Chile y seis bancos de Perú, de modo que cada vez que el usuario se conecte a estos dominios estará remitiendo las claves de acceso de su home banking al cibercriminal.

“Este tipo de ataques remarcan aquello que anticipamos en nuestro informe Tendencias 2012: la utilización de estrategias de Ingeniería Social continuará en ascenso y el eje de gran parte de los ataques será el robo de información, un activo cada vez más valioso”, aseguró Sebastián Bortnik, Coordinador de Awareness & Research de ESET Latinoamérica.

Redes sociales como Facebook y Twitter han sido ya victimas de multitud de ataques indiscriminados donde el spam ha sido capaz incluso de colmar la paciencia de muchos de sus usuarios. Por ello, las principales redes sociales pretenden reforzarse para mejorar y aumentar sus defensas contra un enemigo que nunca ha dejado de evolucionar y sofisticar su modus operandi, y que ahora adopta la etiqueta ‘social’ para convertirse en la nueva pesadilla de las redes sociales.

Atrás quedaron el spam tradicional y el correo basura. Grandes enemigos de internet que ahora adoptan una nueva forma valiéndose de las vulnerabilidades de las redes sociales para hacernos caer en el engaño con todo tipo de mensajes fraudulentos que parecen ser remitidos por nuestros contactos más directos. Y esta es principalmente la principal razón por la que el nuevo spam, prefiere moverse a través de las redes sociales, ya que a través de ellas, sus mensajes pueden propagarse de forma vírica a través de una cadena de fuentes de confianza, que además incrementa sus efectos adversos y la posibilidad de que más usuarios caigan en sus nuevas y sofisticadas trampas.

Según los expertos, las prácticas de spam a través de las redes sociales son cada día más comunes. Desde Facebook aseguran que al menos cerca del 4% de su contenido compartido es spam, y en el caso de Twitter 1,5% de todos sus tweets en 2010 fueron mensajes fraudulentos. Sin embargo desde ambas redes sociales se alerta sobre el hecho de que la cantidad de spam detectado está aumentando a un ritmo frenético, y podría convertirse en una problema de gran repercusión y alcance inclusive para el futuro de las propias redes sociales. Por ello, los equipos destinados a combatir estas campañas y ataques están siendo ampliados y reforzados.

No sólo spammers profesionales

Sin embargo, aunque cuando se menciona el término spam, solemos atribuirlo a las acciones indiscriminadas de spammers profesionales, también es cierto que existen otras formas de spam detectadas a través de este tipo de medios y donde sus preculsores, son simples usuarios que sin excesivos recursos tecnológicos ni malwares, a través de procedimientos y técnicas poco ortodoxas, buscan el beneficio propio generando todo tipo de acciones que bien podrían encajar en lo que se denomina como el nuevo ‘Spam social’.

Ahora que el compartir información es finalmente entendido como más que una tendencia que puede ayudar a muchas empresas y marcas a aumentar su visibilidad a través de estos canales, asoma de nuevo la larga y estrecha sombra del spam por parte de quienes siempre han recurrido a tales técnicas. Y es que también es habitual encontrarse con usuarios que recurren a todo tipo artimañas ( mensajes en el chat, mensajes reiterados, etiquetación falsa,…) usadas de forma indiscriminada y que terminan convirtiéndose en algo más que irritable y molesto para el resto de usuarios.

El malware Rammit infectó a 800 mil computadoras. La mayoría de los perfiles afectados se encuentran en Francia y el Reino Unido.

Lo que ya es un problema recurrente en nuestros correos electrónicos está empezando a crecer por las redes sociales. Un malware atacó por lo menos a 45.000 cuentas de Facebook, robándose la información de inicio de sesión de estos usuarios. Es que a la hora de enviar contenido malicioso siempre se encuentra alguna nueva forma.

Según la compañía de seguridad informática Seculert, más de 800 mil computadoras se encontraron infectadas con el virus Rammit, causante de este ataque. Este malware es conocido por robar información ligada al sector financiero corrompiendo sistemas de transacción, cuentas de online banking y varios sistemas internos bancarios.

“Creemos que los atacantes detrás de Rammit están usando la información robada para ingresar a las cuentas de Facebook de las víctimas para transmitir links maliciosos y esparcir el virus todavía más”, sostienen desde Seculert en su blog.

En este último año, el envío de spam y de links maliciosos aumentó considerablemente. Siempre con una rápida acción de parte de la empresa. En un post en Facebook, la empresa aseguró que recibe mil millones de inicios de sesión por día de los que sólo se ven corrompidos un 0,06 por ciento. La mayoría de las cuentas afectadas se encuentran localizadas en Francia y el Reino Unido.