EnHacke

Nuevo malware se propaga a través de Facebook e infecta a miles de usuarios

Publicado por el febrero 7, 2012 · Dejar un comentario 

Facebook se ha convertido en una fuente inagotable para la propagación de malware. En esta ocasión conocemos un caso que ha afectado a más de 60.000 usuarios. Bajo el reclamo de una noticia sobre el inicio de la Tercera Guerra Mundial, los usuarios son redirigidos a una web donde quedan infectados.

A comienzos de año se señalaba a Facebook como una de las principales plataformas por las que el malware se distribuiría entre los usuarios. Pocas previsiones han acertado tanto, puesto que en menos de dos meses hemos asistido a numerosos intentos de propagación de archivos maliciosos a través de la red social. Sus más de 800 millones de usuarios la convierten en un apetitoso caramelo para los ciberdelincuentes, puesto que cualquier porcentaje, por mínimo que sea, de usuarios que “piquen” sus anzuelos supone miles de usuarios a los que infectar o incluso estafar.

El último caso que hemos conocido utiliza otro gancho morboso para ganarse la confianza de los más incautos. Un falso enlace a la supuesta web del canal estadounidense CNN avisa de un inminente ataque militar de Estados Unidos contra Irán y Arabia Saudí, en lo que supondría el teórico inicio de la Tercera Guerra Mundial. El blog Sophos, de Naked Security, avisa de esta amenaza, puesto que al pulsar en dicho enlace el usuario es redirigido a una web falsa con la apariencia del citado medio de reconocido prestigio mundial.

En dicha web se intenta atraer la atención de las víctimas con supuestos vídeos sobre el citado conflicto. Sin embargo, para poder visualizarlos al pulsarlos se pide a los usuarios que instalen una supuesta actualización de Adobe Flash Player, momento en el que se descarga e instala el archivo malicioso, detectado como “Troj / Rootkit-JV”. Al tratarse de un rootkit, entraña los riesgos de este tipo de malware, convirtiendo el ordenador infectado en una fuente para que los intrusos puedan extraer de él todo tipo de información sin el permiso del usuario o ejecutar acciones de forma remota.

El ritmo de propagación del malware ha sido muy alto, ya que según alerta la empresa de seguridad, más de 60.000 usuarios han sido engañados en apenas tres horas. Sophos ha señalado que el código malicioso instalado en los ordenadores de los usuarios está enviando el mensaje a Facebook sin que los usuarios lo sepan, de modo que sus contactos son víctimas potenciales de este archivo.

Archivado en Sin categoría · Etiquetado con , , , , , , , , , , , , , , , , , , , , , , ,

Cibercriminales peruanos atacan ciudadanos colombianos

Publicado por el febrero 3, 2012 · Dejar un comentario 

Los delincuentes cibernéticos peruanos han afinado sus técnicas de ataque y han conseguido ser parte de la élite de la ciberdelincuencia de América Latina junto con los procedentes de Brasil, México, Argentina y Colombia debido a su alto nivel en desarrollo de paneles de gestión de infecciones, desarrollo de las botnets y por sus exitosos ataques de ingeniería social universal que han generado víctimas en toda Latinoamérica.

El equipo de análisis e investigación global de América Latina de la empresa de seguridad informática Kaspersky Lab, descubrió un reciente ataque de delincuentes informáticos peruanos a ciudadanos colombianos.

Dmitry Bestuzhev, director del mencionado equipo de análisis, explicó en el portal Viruslist que el 10 de enero del 2012 un criminal cibernético de Perú residente en la ciudad de Lima registró un nuevo dominio con un nombre muy llamativo que supuestamente publica las últimas noticias de Colombia. El mismo día el criminal lanzó un ataque de ingeniería social acompañado de un correo electrónico falso en el que invita a ver un supuesto video pornográfico de María Antonia Santos, la hija del presidente de Colombia, Juan Manuel Santos, teniendo relaciones sexuales en el palacio presidencial.

Si la víctima da un clic, se descarga malware del sitio web registrado previamente con un nombre muy parecido a uno real que podría difundir las últimas noticias de Colombia.

Bestuzhev explica que el ataque se dirige exclusivamente a víctimas de Colombia porque roba los PINes y las contraseñas de 3 diferentes instituciones bancarias de ese país. Seis días después del lanzamiento del ataque, sólo 22 de 43 antivirus detectan la amenaza. Kaspersky Anti-Virus detecta la amenaza mencionada como Trojan-Banker.Win32.Qhost.tsr.

 

Archivado en Sin categoría · Etiquetado con , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

El malware prolifera en los terminales Mac

Publicado por el enero 30, 2012 · Dejar un comentario 

Un estudio asegura que 2011 fue uno de los peores años hasta el momento en cuanto a ataques contra la plataforma de Apple. El sistema Mac comenzó a registrar ataques importantes contra su seguridad.

Aunque se trata todavía de ejemplos insignificantes, comparados con los ataques que sufre Windows, los usuarios de Apple ya no son inmunes al malware y deben prestar mucha atención a las amenazas que surgen de la ingeniería social, según los expertos de Intego que han realizado el estudio.

Según su constante análisis y su informe anual, 2011 fue el peor ejercicio para la seguridad de los usuarios de Apple, por la creciente sofisticación de los ataques.

El informe divide el año en dos mitades, antes y después del 2 de mayo, fecha en la que fue descubierto un ataque encubierto bajo la apariencia de software de defensa para MAC.

Antes de eso, la amezana a estos equipos era similar a la acostumbrada, es decir, un puñado de ataques de bajo nivel. Sin embargo, OSX/ MAcDefender. A  cambió la ecuación. Además de ser el primer ataque significativo como la apariencia de  antivirus, fue creado utilizando Java para dotarle de capacidad multiplataforma y alcanzar también equipos Windows y Linux.

En los siguientes días, aparecieron más versiones de este tipo bajo diferentes nombres, incluyendo Mac Protector y Mac Guard y CaShield, al tiempo que Apple recibía un creciente número de llamadas de soporte de usuarios que habían sido convencidos de instalar el software falso.

A lo largo del año, también aparecieron aplicaciones malware, como el Troyano Flashback un fantasma que ofrecía un aspecto convincente de Flash Player.

En pocas palabras, los criminales están de repente deseando escribir aplicaciones fantasma que les permita convencer a usuarios de Mac para descargar software malicioso.

Como se destaca en el propio blog de Intego, “2011 ha sido el año más activo en cuanto a malware para Mac, desde que se presentó Mac OS X. No sólo hemos encontrado más ejemplares de malware este año, además Mac Defender llevó sus ataques a un público masivo”.

Incluso, la propia compañía ha descubierto el año pasado una herramienta diseñada específicamente para arrancar Macs y utilizarlos en ataques DDoS, algo impensable hace solo un año.

La única buena noticia al respecto que trajo el pasado año fue el arresto de una pandilla Estonia (the arrest of the Estonian gang)

acusada de estar detrás del malware de redirección de búsqueda DNSChanger que ha sido una de las mayores molestias tanto para usuarios de PC como de Mac en muchos años.

Archivado en Sin categoría · Etiquetado con , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

Ataque masivo de malware Android puede haber infectado a 5 millones de usuarios

Publicado por el enero 28, 2012 · Dejar un comentario 

La campaña más grande jamás realizada de malware para Android puede haber engañado hasta 5 millones de usuarios con la descarga de aplicaciones infectadas de Android Market de Google, dijo hoy Symantec.

Apodado “Android.Counterclank” por Symantec, el malware ha sido empaquetado en 13 aplicaciones diferentes a partir de tres diferentes editoriales, con títulos que van desde “Puzzle Sexy Girls” a “Counter Strike Force”. Muchas de las aplicaciones infectadas estaban todavía disponibles en el Android Market a las 3 pm ET del viernes.

“Ellos no parecen ser los editores reales”, dijo Kevin Haley, director del equipo de Symantec Security Response, en una entrevista. “Estas no son aplicaciones re-empacadas, como hemos visto tantas veces.”

Haley se refiere a una táctica común por los fabricantes de programas maliciosos para Android, de volver a empaquetar una aplicación legítima, con código malicioso, y que luego es relanzada al mercado con la esperanza de que los usuarios confundan la aplicación falsa con la verdadera.

Symantec estima que el impacto mediante la combinación de los totales de descarga – que el Android Market muestra como un rango- de las 13 aplicaciones, oscila entre 1 millón en el extremo más bajo y 5 millones en el más alto. “Sí, este es el más grande brote de malware en el Android Market”, dijo Haley.

Android.Counterclank es un troyano que cuando se instala en un teléfono Android recopila una amplia gama de información, incluyendo copias de los marcadores y el fabricante de teléfonos móviles. También modifica la página de tu navegador Web de origen.

Los hackers han monetizado el malware empujando anuncios no deseados a teléfonos Android comprometidos.

Aunque las aplicaciones infectadas solicitan un número inusualmente grande de privilegios – algo que el usuario debe aprobar – Haley argumenta que poca gente se molesta leerlos antes de dar su aprovación.

“Si usted fuera una persona conspicua, podría preguntarse por qué las aplicaciones están pidiendo permiso para modificar el navegador o transmitir las coordenadas GPS”, dijo Haley. “Pero la mayoría de la gente no se alerta”

Android.Counterclank es una variación menor de un caballo de Troya llamado Android.Tonclank que fue descubierto en junio de 2011.

Algunas de las 13 aplicaciones que Symantec identificó como infectado han estado en el Android Market por lo menos un mes, de acuerdo a la revisión de las fechas publicadas en la tienda. Symantec, sin embargo, las descubrió ayer.

Los usuarios habían notado algo raro antes de esa fecha.

“El juego es decente … pero cada vez que se ejecuta el juego, un icono de búsqueda” se agrega al azar a uno de sus pantallas “, dijo un usuario el 16 de enero después de la descarga de “Deal and be millionaire”, una de las 13 apps. “Sigo borrando el icono, pero siempre vuelve a aparecer. Si presiono el icono aparece una página que se parece sospechosamente a la página de búsqueda de Google.”

Los usuarios de Android han otorgado a una de las aplicaciones infectadas, puntajes bajos de revisión, calificándola de “basura”.

Las 13 aplicaciones sospechosas están aún libres para la descarga al momento de escribir esta nota.

Los investigadores de Symantec han comunicado a Google de su descubrimiento, dijo Haley. Google, sin embargo, no respondió de inmediato a las preguntas y una solicitud de confirmación de las reclamaciones de la empresa de seguridad.

Haley dijo que los investigadores de Symantec están todavía “pelando las capas de la cebolla”, y añadió que la empresa va a publicar más información sobre la amenaza. “Lo interesante aquí es que en lugar de tomar las aplicaciones legítimas, [los autores de malware] han creado aplicaciones similares a las legítimas”, dijo Haley. “Eso, y las grandes cifras de descargas, por supuesto.”

Archivado en Sin categoría · Etiquetado con , , , , , , , , , , , , , , , , , , , , , , , ,

Aparece una nueva versión del troyano Carberp, con similitudes a Zeus pero más peligroso

Publicado por el enero 23, 2012 · Dejar un comentario 

Se trata de una nueva versión de Carberp, que puede ser utilizado para robar datos y para realizar estafas entre los usuarios. Expertos de seguridad aseguran que la nueva versión de Carberp tiene similitudes con el malware Zeus, pero cuenta con características que podrían evitar su identificación con antivirus. Las primeras estafas con Carberp ya se han localizado en Facebook.

Carberp es uno de los troyanos que más problemas ha dado en los últimos años. Ya en 2010 este malware, concentrado en el robo de datos bancarios, fue una seria amenaza para los usuarios. Dos años después, los hackers están utilizando una nueva versión de Carberp para volver a realizar sus actividades, que van desde el robo de datos a las estafas económicas.

En concreto, la nueva versión de Carberp tiene cierta similitud con el virus Zeus, uno de las amenazas que más problemas ha generado recientemente. La similitud ha sido identificada por un investigador de seguridad, Nicholls Marcos, citado por Infosecurity.

“Carberp presenta una funcionalidad similar a la de Zeus. Carberp incluye una funcionalidad para el robo de datos y la recolección de credenciales de los sistemas infectados. Además de ser un troyano para robar datos, también puede crear una botnet que ofrece control total sobre los servidores infectados. Aunque originalmente fue diseñado para ataques financieros, sus mecanismos de infección lo convierten en un candidato ideal para los ataques dirigidos”, ha explicado Nicholls Marcos.

De esta forma, los hackers han ampliado las posibilidades de Carberp, que además de tener cierta similitud con Zeus se ha perfeccionado para pasar desapercibido. Según Infosecurity, Carberp puede superar los antivirus sin ser identificado gracias a las novedades que le han incorporado. Además, este malware consigue ocultarse de los análisis de seguridad de los sistemas, lo que hace que sea aún más peligroso.

La compañía Trusteer ha confirmado la aparición de esta nueva versión de Carberp y ha asegurado que los ciberdelincuentes ya están utilizándolo en una estafa en Facebook. El troyano suplanta a las páginas de Facebook, de forma que redirige constantemente a los usuarios a una página de Facebook en la que aseguran que las cuentas han sido cerradas. Para volver a activar las cuentas, el sistema solicita el pago de 20 dólares y los datos de los usuarios. Todo el proceso se regula por medio de Carberp, que además recopila los datos de los usuarios.

Archivado en Sin categoría · Etiquetado con , , , , , , , , , , , , , , , , , , , , , , , ,

Un troyano compromete la seguridad de la Agencia Japonesa de Exploración Aeroespacial

Publicado por el enero 19, 2012 · Dejar un comentario 

Un comunicado de la Agencia Japonesa de Exploración Aeroespacial (JAXA) ha confirmado que sus sistemas se han visto comprometidos por un troyano. En concreto, el malware puede haber robado datos de un vehículo de transporte espacial utilizado para el envío de materiales a la Estación Espacial Internacional.

La Agencia Japonesa de Exploración Aeroespacial ha explicado toda la cronología del incidente, que ha podido comprometer de forma seria sus sistemas de seguridad. El incidente comenzó en agosto del año pasado. Los sistemas de seguridad internos de JAXA detectaron que uno de los equipos de su red presentaba un comportamiento anómalo.

Los técnicos informáticos de JAXA procedieron a la investigación del equipo y el día 17 de agosto determinaron que el equipo estaba infectado con un virus. Dicho equipo se usaba para distintos fines dentro de la organización, entre ellos el seguimiento dl vehículo de transferencia H-II, un vehículo espacial utilizado para el envío de varias provisiones a la Estación Espacial Internacional.

Según la Agencia Japonesa de Exploración Aeroespacial, los técnicos procedieron a la eliminación de¡l virus detectado. Tras los procesos de eliminación del malware localizado, el equipo fue devuelto a su puesto y se continuó utilizando con normalidad. Desde JAXA han asegurado en su comunicado que pese a haber erradicado el virus, los técnicos decidieron mantener el control sobre el equipo para garantizar su correcto funcionamiento.

La monitorización del funcionamiento del terminal se ha mantenido, y los técnicos han vuelto a identificar irregularidades en su sistema. Ante estas irregularidades, los informáticos de JAXA han procedido a su análisis, y han descubierto que un troyano había conseguido persistir a los procesos de eliminación de virus a los que el equipo había sido sometido. Según las investigaciones de JAXA, al menos entre el 6 y el 11 de agosto del año pasado, este troyano envió información del equipo al exterior, y siguen valorando si ha habido más fugas.

Como consecuencia de dicho troyano, JAXA ha confirmado que los datos a los que tenía acceso el trabajador que utilizaba el equipo han estado expuestos. Lo más preocupante es que desde ese equipo se operaba con el vehículo espacial H-II, del que había incluso especificaciones técnicas. Además, el troyano ha podido recopilar los datos de acceso a los sistemas que se han utilizado desde el equipo, así como direcciones y correos electrónicos.

La Agencia Japonesa de Exploración Aeroespacial ha confirmado que los procesos de investigación para determinar la causa y el alcance del problema continúan. Además, se han sustituido las contraseñas de los sistemas como medida de precaución y se ha advertido a las personas que podría verse implicadas de la vulneración de sus datos.

 

Archivado en Sin categoría · Etiquetado con , , , , , , , , , , , , , , , , , , , ,

Japón desarrolla un virus para neutralizar ciberataques

Publicado por el enero 4, 2012 · Dejar un comentario 

Japón está trabajando en un proyecto para neutralizar los ataques de piratas informáticos. El proyecto consiste en un virus que es capaz de rastrear la fuente de un ataque cibernético y neutralizar su programa.

Japón es uno de los países que más se preocupa por la ciberseguridad de sus ciudadanos. Concontinuos ataques de piratas informáticos a empresas, organizaciones y países de todo el mundo para hacerse con sus  datos, el Gobierno de Japón está llevando a cabo un proyecto para conseguir frenar este tipo de ataques.

La empresa encargada de desarrollar este sistema es Fujitsu. El proyecto consiste en el desarrollo de un virus informático que puede seguir la fuente de un ciberataque y neutralizarlo. Se trata de un proyecto de 2,3 millones de dólares (1,7 millones de euros) que lleva tres años en desarrollo. Fujitsu ha sido el fabricante elegido para desarrollar el virus y el equipo para monitorizar y analizar los ataques, según ha informado al diario The Times of India.

Tanto Estados Unidos como China han puesto en marcha proyectos parecidos con este tipo de “armas” cibernéticas, según el diario. Se trata de una prueba más de cómo los países están aumentando su inversión en desarrollar armas y medidas de seguridad informática.

Sin embargo, Japón tendrá que realizar una serie de modificaciones legales para poder utilizar su “arma” cibernética, ya que podría violar las leyes del país, actualmente en contra de la fabricación de cualquier virus informático. En la actualidad, el virus se está probando en un “ambiente cerrado” para examinar sus patrones aplicables.

PREOCUPADOS POR LOS CIBERATAQUES

Durante el pasado año, Japón -como mucho otros países del mundo- fue víctima de una serie de ataques que no solo han afectado a los usuarios, sino también a los sistemas informáticos locales, embajadas y consulados.

El pasado mes de noviembre, un sistema informático gestionado por cerca de 200 centros locales japoneses fue golpeado. En octubre, el parlamento de Japón fue objeto de ataques cibernéticos, al parecer desde el mismo correo electrónico vinculado a un servidor con sede en China que afectó a los equipos de varios legisladores.

Por otro lado, también se informó de que los equipos japoneses en las embajadas y consulados de nueve países fueron infectadas con el virus.

Archivado en Sin categoría · Etiquetado con , , , , , , , , , , , , , , , , , , , , , ,

Audio # 2 – Las botnets

Publicado por el enero 3, 2012 · Dejar un comentario 

En este audio hablaremos sobre las redes de ordenadores zombies o botnets. Estas redes estan conformadas de máquinas infectadas que obedecen a un bot master. Este tipo de ataques es muy utilizado en el cibercrimen para el robo y secuestro de información, para el famoso SPAM, o publicidad de algun producto, entre otros.

Este audio toca ciertos aspectos de las botnets como su definición, medios de difusión, formas de ataque, cibercrimen y  contramedidas. Esperamos sea de su agrado.

Play

Archivado en Audios · Etiquetado con , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,