En Pastebin se postearon una serie de correos electrónicos entre un empleado de Symantec llamado Sam Thomas, y un representante del grupo de hackers denominado “YamaThough”. En los e-mails, Symantec acepta pagar US$50.000 para que el grupo destruyera el código y – quizás lo que parece más grave – afirmara públicamente que nunca había conseguido acceso a esa información, negando así que sus sistemas hubiesen sido inseguros.

Sin embargo, YamaThough afirmó en Twitter que “no lo creerían, pero Symantec acaba de ofrecernos dinero para que nos quedemos en silencio” – algo que da a entender que la iniciativa monetaria partió de la compañía.

Symantec asegura que “Sam Thomas” en realidad era un agente policial - ”cuando llegaron a nosotros con el propósito de extorsionarnos, fuimos a la policía”, señaló un vocero a Forbes. Así, la oferta de los USD$50.000 habría sido un señuelo para intentar rastrear al hacker.

Un grupo que se autonombra como los “Lords of  Dharamaja” aseguró que tenía el código de PCAnywhere en enero, lo que causó que Symantec pidiera a los usuarios que bloquearan todos los puertos de su computadora que estén asociados a esta aplicación.

Como sea, el grupo de atacantes publicó ayer un archivo torrent de 1.27 GB con el código de PCAnywhere en The Pirate Bay (sin tomar el dinero). Symantec dice estar analizando el código para saber si es auténtico o no, pero si eres usuario de este programa, valdría la pena empezar a preocuparse. En tanto, el código de Norton Antivirus será publicado hoy, según anunció YamaThough.

El último caso que hemos conocido utiliza otro gancho morboso para ganarse la confianza de los más incautos. Un falso enlace a la supuesta web del canal estadounidense CNN avisa de un inminente ataque militar de Estados Unidos contra Irán y Arabia Saudí, en lo que supondría el teórico inicio de la Tercera Guerra Mundial. El blog Sophos, de Naked Security, avisa de esta amenaza, puesto que al pulsar en dicho enlace el usuario es redirigido a una web falsa con la apariencia del citado medio de reconocido prestigio mundial.

En dicha web se intenta atraer la atención de las víctimas con supuestos vídeos sobre el citado conflicto. Sin embargo, para poder visualizarlos al pulsarlos se pide a los usuarios que instalen una supuesta actualización de Adobe Flash Player, momento en el que se descarga e instala el archivo malicioso, detectado como “Troj / Rootkit-JV”. Al tratarse de un rootkit, entraña los riesgos de este tipo de malware, convirtiendo el ordenador infectado en una fuente para que los intrusos puedan extraer de él todo tipo de información sin el permiso del usuario o ejecutar acciones de forma remota.

El ritmo de propagación del malware ha sido muy alto, ya que según alerta la empresa de seguridad, más de 60.000 usuarios han sido engañados en apenas tres horas. Sophos ha señalado que el código malicioso instalado en los ordenadores de los usuarios está enviando el mensaje a Facebook sin que los usuarios lo sepan, de modo que sus contactos son víctimas potenciales de este archivo.

Cridex es un troyano que roba información y que se parece a Zeus en la forma en que opera – registra el contenido de las sesiones en línea y las altera para recopilar más información del usuario al que infectó. Una vez que ha infectado el troyano se pone a trabajar, usando a esa computadora para crear cuentas falsas adicionales de email gratuito para enviar correo no deseado a otras cuentas y replicarse.

Para crear nuevas cuentas la variante utiliza un servidor automático para romper los CAPTCHAs. El blog completo y el video correspondiente muestran a este troyano rompiendo un CAPTCHA en sólo seis intentos.

“Las variantes de troyanos como Cridex están incrementando su sofisticación y la facilidad con la que se propagan para infectar a más usuarios y robar una importante cantidad de información personal. Esto incluye a los medios sociales y las credenciales bancarias y otra información valiosa”, señaló Elad Sharf, investigador de seguridad de Websense Security Labs.

“Estos tipos de infecciones, variantes del tristemente célebre troyano Zeus, son responsables de los intentos de robo de cientos de millones de dólares a través de cuentas bancarias en línea a escala mundial. Esta variante del troyano refuerza que los CAPTCHAs siguen siendo un problema de seguridad real. Los hackers ya están adaptando rápidamente las variantes para romper fácilmente los CAPTCHAs para autoreplicarse”.

Video:

Los delincuentes cibernéticos peruanos han afinado sus técnicas de ataque y han conseguido ser parte de la élite de la ciberdelincuencia de América Latina junto con los procedentes de Brasil, México, Argentina y Colombia debido a su alto nivel en desarrollo de paneles de gestión de infecciones, desarrollo de las botnets y por sus exitosos ataques de ingeniería social universal que han generado víctimas en toda Latinoamérica.

El equipo de análisis e investigación global de América Latina de la empresa de seguridad informática Kaspersky Lab, descubrió un reciente ataque de delincuentes informáticos peruanos a ciudadanos colombianos.

Dmitry Bestuzhev, director del mencionado equipo de análisis, explicó en el portal Viruslist que el 10 de enero del 2012 un criminal cibernético de Perú residente en la ciudad de Lima registró un nuevo dominio con un nombre muy llamativo que supuestamente publica las últimas noticias de Colombia. El mismo día el criminal lanzó un ataque de ingeniería social acompañado de un correo electrónico falso en el que invita a ver un supuesto video pornográfico de María Antonia Santos, la hija del presidente de Colombia, Juan Manuel Santos, teniendo relaciones sexuales en el palacio presidencial.

Si la víctima da un clic, se descarga malware del sitio web registrado previamente con un nombre muy parecido a uno real que podría difundir las últimas noticias de Colombia.

Bestuzhev explica que el ataque se dirige exclusivamente a víctimas de Colombia porque roba los PINes y las contraseñas de 3 diferentes instituciones bancarias de ese país. Seis días después del lanzamiento del ataque, sólo 22 de 43 antivirus detectan la amenaza. Kaspersky Anti-Virus detecta la amenaza mencionada como Trojan-Banker.Win32.Qhost.tsr.

Las redes sociales se han convertido en uno de los principales vehículos para propagación de software malicioso por Internet. El más claro ejemplo es Facebook, cuyo ingente número de usuarios (más de 800 millones en todo el mundo), lo convierten en uno de los objetivos favoritos de los desarrolladores de estos programas. En los últimos meses nos hemos referido a varios casos de malware distribuido a través de la red social de Mark Zuckerberg que podrían acabar en estafas económicas a los usuarios más incautos.

A mediados del pasado año Google lanzaba su alternativa en el sector de las redes sociales. Google+ captó la atención de un buen número de usuarios, unos atraídos por el distinto concepto de “red social” y otros hastiados por los problemas de privacidad en Facebook. Sin embargo, parece que de lo que no huirán ni unos ni otros será de ser potenciales víctimas de software malicioso que aproveche el nombre de Google+.

Hangouts, la excusa empleada

Aunque por ahora no se conoce la distribución de ningún malware dentro de la red social de Google (suponemos que será cuestión de tiempo), sí sabemos de uno de los primeros casos que aprovechan la denominación Google+ para atraer a sus víctimas. Según ha publicado la empresa de seguridad informática BitDefender, el malware se está distribuyendo utilizando como cebo la invitación a las quedadas de la red social, denominadas Google+ Hangouts. Los usuarios reciben en su correo electrónico una supuesta invitación que requiere la descarga de un supuesto plugin.

Nada más lejos de la realidad. El enlace redirige a una página que imita a la red social de los de Mountain View y se le muestra un botón para la descarga del archivo. Una vez pulsado, se descargaría un archivo denominado “hangouts.exe” que oculta un troyano. Una vez instalado, como sucede con este tipo de software malicioso, el ordenador de la víctima queda expuesto a potenciales ataques externos y toda la información que se procese a través de dicho equipo pueda ir a parar a ciberdelincuentes.

El FBI y las Fiscalías de los Estados Unidos y Rumania confirmaron la detención de una supuesto hacker de 20 años que habría robado datos sensibles de la NASA y el Pentágono a través de una aplicación especial, que luego puso a la venta en su sitio web.

El pirata informático fue arrestado hoy en la ciudad de Timisoara, en el oeste del país europeo, acusado de haber atacado a servidores y publicado la información en un blog y en una página.

Además, divulgó un video en el que se podía seguir su acción pirata contra la administración norteamericana. Sus acciones provocaron el bloqueo temporal de los sistemas informáticos del Ejército y la NASA, “perturbando gravemente su funcionamiento”, según indicó la Fiscalía.

Rumania es conocida como una potencia mundial en criminalidad informática. Según estadísticas oficiales, un 80% de los casos de piratería que se producen en ese país afectan a ciudadanos estadounidenses.

Por su parte, la Casa Blanca busca un nuevo resposable de Tecnología (CTO), ya que Aneesh Chopra, actual encargado del área, dejará su cargo. Algunos expertos vaticinan que la labor de gobierno abierto impulsada por el propio presidente Barack Obama seguirá adelante.

Aunque se trata todavía de ejemplos insignificantes, comparados con los ataques que sufre Windows, los usuarios de Apple ya no son inmunes al malware y deben prestar mucha atención a las amenazas que surgen de la ingeniería social, según los expertos de Intego que han realizado el estudio.

Según su constante análisis y su informe anual, 2011 fue el peor ejercicio para la seguridad de los usuarios de Apple, por la creciente sofisticación de los ataques.

El informe divide el año en dos mitades, antes y después del 2 de mayo, fecha en la que fue descubierto un ataque encubierto bajo la apariencia de software de defensa para MAC.

Antes de eso, la amezana a estos equipos era similar a la acostumbrada, es decir, un puñado de ataques de bajo nivel. Sin embargo, OSX/ MAcDefender. A  cambió la ecuación. Además de ser el primer ataque significativo como la apariencia de  antivirus, fue creado utilizando Java para dotarle de capacidad multiplataforma y alcanzar también equipos Windows y Linux.

En los siguientes días, aparecieron más versiones de este tipo bajo diferentes nombres, incluyendo Mac Protector y Mac Guard y CaShield, al tiempo que Apple recibía un creciente número de llamadas de soporte de usuarios que habían sido convencidos de instalar el software falso.

A lo largo del año, también aparecieron aplicaciones malware, como el Troyano Flashback un fantasma que ofrecía un aspecto convincente de Flash Player.

En pocas palabras, los criminales están de repente deseando escribir aplicaciones fantasma que les permita convencer a usuarios de Mac para descargar software malicioso.

Como se destaca en el propio blog de Intego, “2011 ha sido el año más activo en cuanto a malware para Mac, desde que se presentó Mac OS X. No sólo hemos encontrado más ejemplares de malware este año, además Mac Defender llevó sus ataques a un público masivo”.

Incluso, la propia compañía ha descubierto el año pasado una herramienta diseñada específicamente para arrancar Macs y utilizarlos en ataques DDoS, algo impensable hace solo un año.

La única buena noticia al respecto que trajo el pasado año fue el arresto de una pandilla Estonia (the arrest of the Estonian gang)

acusada de estar detrás del malware de redirección de búsqueda DNSChanger que ha sido una de las mayores molestias tanto para usuarios de PC como de Mac en muchos años.

Un análisis de Bitdefender encontró 40.000 ejemplares de este tipo de malware – al que han bautizado como “Frankenmalware” – en un estudio de 10 millones de archivos infectados llevado a cabo a comienzos de enero, lo que supone un 0,4 por ciento del malware analizado. Si tenemos en cuenta que el malware activo en todo el mundo está en torno a los 65 millones, esto supone que 260.000 ejemplares de este tipo están amenazando los ordenadores de los usuarios.

“Si un usuario recibe uno de estos híbridos en su sistema, podría enfrentarse a pérdida de dinero, problemas informáticos, robo de identidad, y una oleada de spam lanzada desde su equipo”, señaló Loredana Botezatu, analista de amenazas online de Bitdefender y autora del estudio sobre malware híbrido. “la llegada de este tipo de malware da un nuevo giro al mundo del malware, ya que se propagan de manera más eficiente, y su comportamiento cada vez será más difícil de predecir”.

Aunque no hay datos antiguos sobre este tipo de malware, el número de híbridos ha crecido en los últimos años y probablemente seguirá aumentando al mismo ritmo que el malware en general. Un estudio de Bitdefender estima que el malware crecerá un 17 por ciento este año.

Todos los híbridos de malware analizados por Bitdefender hasta el momento se han creado de forma accidental. Sin embargo, el riesgo que representan estos combos podría aumentar drásticamente a medida que los delincuentes comiencen a fabricar sus propios compuestos, o a lanzar malware específicamente creado para provocar esa hibridación.

Bitdefender presentó su estudio después de encontrar ejemplares del gusano Rimecud infectados por el virus Virtobfile. Rimecud roba contraseñas de banca electrónica, cuentas de tiendas de compra online, redes sociales y correo electrónico, entre otras funciones. Virtob, por su parte, permite recibir órdenes de un atacante remoto, saltarse el cortafuegos, y asegurar su persistencia mediante la inyección de código en “Winlogon”, un proceso crítico del sistema.

“Ahora, imaginemos estas dos piezas de malware trabajando juntas – voluntariamente o no – en el mismo sistema,” señala Botezatu, que añade: “Ese PC se enfrenta a un malware doble con el doble de comandos y el doble de servidores para recibir instrucciones: además, hay dos puertas traseras abiertas, dos técnicas de ataque activo y varios métodos de propagación. Cuando uno falla, el otro tiene éxito”.

La botnet infectó alrededor de 41.000 ordenadores por todo el mundo y era capaz de enviar 3.800 millones de mails (spam) al día. Microsoft fue capaz de desmantelar la botnet a finales de septiembre.

El acusado trabaja como desarrollador en una firma de software y consultoría. Antes de esto trabajó como ingeniero de software y director de un proyecto que proporcionaba firewall, antivirus y software de seguridad.

Microsoft ha identificado a Sabelnikov con la ayuda de otro acusado del caso. La compañía considera que la actuación judicial es importante “por el daño causado por Kelihos y porque todos los participantes en la botnet deben entender que hay riesgos y consecuencias por participar en actividades maliciosas”.

Carberp es uno de los troyanos que más problemas ha dado en los últimos años. Ya en 2010 este malware, concentrado en el robo de datos bancarios, fue una seria amenaza para los usuarios. Dos años después, los hackers están utilizando una nueva versión de Carberp para volver a realizar sus actividades, que van desde el robo de datos a las estafas económicas.

En concreto, la nueva versión de Carberp tiene cierta similitud con el virus Zeus, uno de las amenazas que más problemas ha generado recientemente. La similitud ha sido identificada por un investigador de seguridad, Nicholls Marcos, citado por Infosecurity.

“Carberp presenta una funcionalidad similar a la de Zeus. Carberp incluye una funcionalidad para el robo de datos y la recolección de credenciales de los sistemas infectados. Además de ser un troyano para robar datos, también puede crear una botnet que ofrece control total sobre los servidores infectados. Aunque originalmente fue diseñado para ataques financieros, sus mecanismos de infección lo convierten en un candidato ideal para los ataques dirigidos”, ha explicado Nicholls Marcos.

De esta forma, los hackers han ampliado las posibilidades de Carberp, que además de tener cierta similitud con Zeus se ha perfeccionado para pasar desapercibido. Según Infosecurity, Carberp puede superar los antivirus sin ser identificado gracias a las novedades que le han incorporado. Además, este malware consigue ocultarse de los análisis de seguridad de los sistemas, lo que hace que sea aún más peligroso.

La compañía Trusteer ha confirmado la aparición de esta nueva versión de Carberp y ha asegurado que los ciberdelincuentes ya están utilizándolo en una estafa en Facebook. El troyano suplanta a las páginas de Facebook, de forma que redirige constantemente a los usuarios a una página de Facebook en la que aseguran que las cuentas han sido cerradas. Para volver a activar las cuentas, el sistema solicita el pago de 20 dólares y los datos de los usuarios. Todo el proceso se regula por medio de Carberp, que además recopila los datos de los usuarios.